华为赛门铁克hscsasecurity认证培训网络课程防火墙

1、防火墙概述防火墙持汪: 流量必须能够经过防火墙 *合法数据包可以通过自身高可靠可同时连接务个网络.可明确划分不同等级的逻辑区域-主动防御攻击Hucwe SyiYtantec Technologies Co. Lid.page 5防火墙分类一包过滤防火墙TCP§*IP层数据链路层L性能高Z无法动态适应3 一简单包过滤陆火堵 不检章数据区p<3ge 6数協链路层*:Hucwei Symantec Tecnnolog-s 匚o , Ltd.L处迎速度慢 Z升级困难 3.MW认证4 较高安全性P4M ServerI对IB求Jfi行安全检査.不逋过则齟新连播防火墙分类一代理防火墙通过拎査

2、石与Server 立连捲Huowffi S/mantecTechnologies 匚o J td.page7Huawei Symantec向Swvec发送授文A'向防火牯发送回应报文BIntei nal network7-一 苍-Outbou RdInbound卜 Mtn Hal!_ 一neLworit0/2 I、，l Ze壮_= 斗OUbo岬、| InboundS eiver /GSO/1Server防火墙安全区域 ±4Zone:防火墙上引人的一亍重要的逻報概念；通过将接口加入域并在安全区域 之问启动安全绘畳（称为安全策略）+从而对流经不同安全区域的信息流进行安全过滤；一个

3、安全区域包括一个或多个接口的组合，具有一个安全级别。IntxnjfxJ防火堵自带区蛾：trust, untrust. dmz. locQb - Pt区域刑方向:inbound outbound 安全策略：歎认拒室、默认允许状态检测防火墙工作原理(单通道协议)在状态防火墙中会动态维护着一个Session表项'通过Session表项来检测 基于TCP/UDP连接的连接状态，动态地判断报文是否可以通过，从而决 定哪些连接是合送访问.哪些是非法访问I用户阴抬化一个Telnet会话用户戌其ftUftilTelncIffi文播阻塞不施通11«« 3貼火墙匹K&essio

4、n衷励报文！户*的问阳诫请逅馨Hticwei Symantec Technologies 匚c . Ltd.pcge 12HudrvnI SymantecASPF概述 ASPF (Application Specific Packet Filter)是一种高级通信过滤,它检 杳应用层协议信息并且监控连接的应用层协议状态对于持定应用协议 的所有连接，每一个连接状态信息都将被ASPF维护并用于动态的决定数 据包是否被允许通过防火墙或丢弃监祝ifi信过程中的报文聂池建和删除过注规则丰富的aspf功蜒保辽北槪业势时安全性隈到保证ASPF与ACL的比较出较内窖ACLASPF煤理对埠于IP数巻包按照Ifi

5、户所足X 的甫能规则（访问投制列表， ACL）进行过曲.创过聽不昔芸 话的狀态.也苹分析憐对于毎_吓应附层也破窪立会话信思以反状 恵信3.实时检測朝報壶的状态信.吕并动 态的腹援状态信息决疋数挺魏的动作«*n简单设计实现简单夏杂.必领支持冬可褪參拘底用层愣氐，以 保证周戸的正幫巫用*并曰需要冥时增血协 坟的支将对亲址性陸影响速SJt.但鎖賂过雾会导致世醴 龍區下障希雯泄育:tt态检3（埠复毎处煙.过率相為于 戌匚L低.芥且消衽那补玉城冏聃对茁通道协仗的支特平盍椅非育通用于誘磐动态玮狂逹接第应用协仪安全性钛"无汪枪测棠些来自于应用尿 的攻击齐为筒*毛讐槟据躍拉的秋态风应用罠很

6、丈内琴 进行过轉，有奴防范攻击卜'poge U状态检测技术一多通道协议单通道协议：通信过程中只需占用一个端口的协议。如：WWW 只需占用80端口多通道协议：通信过程中需占用两个或两个以上端口的协如FTP被动模式下需占用号端口以及一个随机端口厂使用单纯的包过滤方法，如何精确' 定义（端口级别）多通道协议所使 用的端口呢？占遇到使用随机协商端口的协议.单纯的 I包过滤方法无法进行数据流定义。HuanwEi SyrrhantBCASFF对多通道协议的支持 ASPF (Application Specific Packet Filter)是针对应用层的包过滤你却主尅撫通道Sessian

7、BFTP:】:4927 1:2】ServerMcp 表inside'Ad dress : Port Gio be l*Ad dress :Port Pro AppType TTL Left1: 4尹52tep FTP DATA OOlO 1 *00 00CvTTvsrrtccHuawei Symantec Techrwlogies Ccw Lid.page 16防火墙工作模式一路由模式Internal networkExternal network Sf?|W|r优势：支持业务丰富劣势：需更改网络拓扑结构亠眇Hudnisi Svrru Hucnv已 iS¥mctnt若竝 T芒uhnotQQieL杞口电总芒 $7防火墙工作模式一透明模式PCLAN202 10.0.2/24 .z202 10 0.1/24、PC誌 InternetServer TrustInternal neiworkRouterUntruslExternal network忧势：部耨简单劣势：业务较单一jwq SvmaHuawei Syn