全国直销电话:4006-854-568
IT-technology
以人为本,众志成城,以“用户至上”.“服务上乘”为原则,
追求产品和服务高质量,努力实现与客户之间真诚有效的沟通,
不断地圆梦、奔跑与腾飞。
新闻动态   NEWS
网站首页 所有新闻 行业资讯 53 张图详解防火墙的 55 个知识点-北京赛维博信科技发展有限公司
53 张图详解防火墙的 55 个知识点-北京赛维博信科技发展有限公司
来源:本文摘自网络,如有侵权请联系删除 | 作者:svbx001 | 发布时间: 2022-05-16 | 4616 次浏览 | 分享到:
18、如何防范非法报文?


为了防止非法报文的流入和流出,防火墙会对报文的头部和数据进行解析。常见的有:IP 头部解析、TCP 头部解析、UDP 头部解析

IP 头部解析

数据帧和 IPv4 头部的解析内容如下:

以太网类型与 IP 版本:以太网数据帧头部的类型字段为 0x0800 时表示 IPv4 ,同时 IPv4 头部的版本也是 4 。类型字段为 0x86DD 时表示 IPv6 ,IP 头部的版本也是 6 。
IP 头部:确认数据是否完整,并检查报文长度与实际长度是否一致。
IP 协议号、TTL :检查字段值,如果值为 0 就丢弃报文。
源地址、目的地址:确认是否存在 LAND attack 。
数据总长度:确认是否存在 ping of death 攻击。
标志位、分片偏移:丢弃无法进行分片的报文。
可选项:丢弃无用可选项的报文。

TCP 头部解析

TCP 头部的解析内容如下:

TCP 头部:确认各个字段是否完整、是否有被中途截断。
数据偏移:确认数据偏移字段的值是否是 5 以下,TCP 头部长度最小是 5 字符 = 20 字节。
校验和:确认校验和是否错误。
端口号:确认源端口号和目的端口号是否为 0 。
控制位:检查 SYN 、ACK 等字段是否存在组合不正确的情况。

UDP 头部解析

UDP 头部的解析内容如下:

UDP 头部:确认各个字段是否完整、是否有被中途截断。
校验和:确认校验和是否错误。
19、什么是安全区域?


防火墙有安全区域( Security Zone ,简称区域)的概念。防火墙的物理接口和逻辑接口会分配到不同的区域中,也就是将防火墙的网段分别划分到不同的区域中。一个网络接口只能属于一个区域。
在同一个区域内,可以自由进行通信,但是跨区域通信,必须符合安全策略才行。当然,防火墙也可以设置安全策略,根据源或目的地址等条件,判断在同一区域内能否允许通信。
信任区域( Trust Zone ),也叫做内部区域,所属接口是 G1/1 、tunnel1 、Loopback1 ,是指公司内部网络区域,表示可以信赖的区域。通常区域内是可以自由通信。
不信任区域( Untrust Zone ),也叫做外部区域,所属接口是 G1/2 ,是指公司外部网络区域,比如互联网。与信任区域相对,是不可信任的区域,通常只会拦截通信,不允许所有通信。也可以设置安全策略,允许从信任区域到不信任区域的通信。
DMZ 区域( DeMilitarized Zone ),所属接口是 G1/4 ,是对外公开的服务器使用的区域,与信任区域是分开的。
 

服务热线

1391-024-6332