目录
近日准备某场比赛,涉及到了有关防火墙的知识点,由于之前没有学习过,所以整理如下,主要作笔记用,各位可以作为参考;因为主要用于比赛应急,没有对原理进行深究,请各位理解。
安全区域的划分:用于对内外网的区分
① trust 信任区域(内网)
② untrust 非信任区域(外网)
③ local 本地区域(防火墙上所有接口均为local)
④ DMZ 非军事化区域(主要用于放置服务器)
① untrust 区域:5
② trust 区域:85
③ DMZ 区域:50
④ local 区域:100
关于区域之间的互访:高优先级区域能够访问低优先级区域,但是低优先级区域不能访问高优先级区域。
display zone:查看安全区域
firewall zone xxxx :进入xxxx区域(xxxx可以是区域类型)
set priority xxxx:配置区域优先级
firewall zone xxxx //进入xxxx区域
add int G X/X/X //将 G X/X/X 添加进对应区域
默认策略:
outbound:高优先级访问低优先级
inbound:低优先级访问高优先级
策略配置:
firewall packet-filter default permit interzone xxxx xxxx direction inbound/outbound
防火墙的回包问题:
当数据到达防火墙时,防火墙会记录该信息,(生成会话表项);当回包时查看该信息,发现进出信息一致,则允许数据返回
查看会话表项:
display firewall session table
会话表项中包含五元组(五元组表项):
IP协议、源IP、源端口、目的IP、目的端口
数据进行访问时:先查五元组表项,再查策略;
会话表项存在有效时间,查看会话表项的有效时间:
display firewall session aging-time
会话表项有效时间修改
firewall session aging-time service-set + 协议 + 时间
undo firewall packet-filter default permit interzone xxxx xxxx direction in/out //删除默认规则
policy interzone xxx xxxx in/out //配置policy
policy 1
action permit
policy source xxxx mask xx
① 端口扫描防御:
firewall defend port-scan enable //开启功能
firewall defend action discard //默认丢弃
② IP地址扫描攻击
firewall blacklist enable //开启黑名单(默认不开启)
firewall defend ip-sweep enable //开启IP地址扫描防御功能
① Smurf 报文攻击:
firewall defend smurf enable
② Land报文攻击:
firewall defend land enable
③ Fraggle报文攻击:
firewall defend fraggle enable
④ IP分片攻击:
firewall defend ip-fragment enable
⑤ 全局IP欺骗攻击:
firewall defend ip-spoofing enable
⑥ 死亡ping:
firewall defend ping-of-death enable
⑦ TCP Flag攻击:
firewall defend tcp-flag enable
⑧ Teardrop攻击:
firewall defend teardrop enable
⑨ Winnuke攻击:
firewall defend winnuke enable
IGMP报文防御:
① 重定向报文
firewall defend icmp-redirect enable
② 不可达报文
firewall defend icmp-unreachable enable
③ 超大ICMP报文
firewall defend large-icmp enable
firewall defend large-icmp max-length XXX //默认4000
Tracert报文防御:
firewall defend tracert enable
① USG5500
[FW1]slb //进入服务器负载均衡配置
[FW1-slb]rserver 0 rip x.x.x.x weight x //配置实服务器及其权重
[FW1-slb]rserver 1 rip x.x.x.x weight x
[FW1-slb]rserver 2 rip x.x.x.x weight x
[FW1-slb]group ser //建立服务器组
[FW1-slb-group-ser]metric weightrr //负载均衡算法为加权轮询
[FW1-slb-group-ser]addrserver 1
[FW1-slb-group-ser]addrserver 2
[FW1-slb-group-ser]addrserver 3
[FW1-slb]vserver xxx vip x.x.x.x group xxx
② USG6000V
[FW1]slb //进入服务器负载均衡配置
[FW1-slb]group 0 server001 //建立服务器组
[FW1-slb-group-0]metric weight-roundrobin //负载均衡算法为加权轮询
[FW1-slb-group-0]health-check type xxxx //服务器健康检查协议设置
[FW1-slb-group-0]rserver 0 rip x.x.x.x weight x //配置实服务器及其权重
[FW1-slb-group-0]rserver 1 rip x.x.x.x weight x
[FW1-slb-group-0]rserver 2 rip x.x.x.x weight x
[FW1-slb]vserver 0 server001 //创建虚拟服务器
[FW1-slb-vserver-0]vip x.x.x.x //配置虚拟IP地址
[FW1-slb-vserver-0]protocol any
[FW1-slb-vserver-0]group server001 //关联实服务器组
只在USG6000V上实现了,USG5500没成功(可能命令不对,也可能不支持)
[FW1]healthcheck name out_health
[FW1-healthcheck-out_health]destination x.x.x.x interface g x/x/x protocol xxx
[FW1-GigabitEthernet1/0/2]healthcheck out_health
[FW1-GigabitEthernet1/0/2]gateway x.x.x.x
[FW1-GigabitEthernet1/0/2]bandwidth ingress xxxxx threshold xx
[FW1-GigabitEthernet1/0/2]bandwidth egress xxxx threshold xx
我有一个在Linux服务器上运行的ruby脚本。它不使用rails或任何东西。它基本上是一个命令行ruby脚本,可以像这样传递参数:./ruby_script.rbarg1arg2如何将参数抽象到配置文件(例如yaml文件或其他文件)中?您能否举例说明如何做到这一点?提前谢谢你。 最佳答案 首先,您可以运行一个写入YAML配置文件的独立脚本:require"yaml"File.write("path_to_yaml_file",[arg1,arg2].to_yaml)然后,在您的应用中阅读它:require"yaml"arg
我已经在Sinatra上创建了应用程序,它代表了一个简单的API。我想在生产和开发上进行部署。我想在部署时选择,是开发还是生产,一些方法的逻辑应该改变,这取决于部署类型。是否有任何想法,如何完成以及解决此问题的一些示例。例子:我有代码get'/api/test'doreturn"Itisdev"end但是在部署到生产环境之后我想在运行/api/test之后看到ItisPROD如何实现? 最佳答案 根据SinatraDocumentation:EnvironmentscanbesetthroughtheRACK_ENVenvironm
华为OD机试题本篇题目:明明的随机数题目输入描述输出描述:示例1输入输出说明代码编写思路最近更新的博客华为od2023|什么是华为od,od薪资待遇,od机试题清单华为OD机试真题大全,用Python解华为机试题|机试宝典【华为OD机试】全流程解析+经验分享,题型分享,防作弊指南华为o
system-view进入系统视图quit退到系统视图sysname交换机命名vlan20创建vlan(进入vlan20)displayvlan显示vlanundovlan20删除vlan20displayvlan20显示vlan里的端口20Interfacee1/0/24进入端口24portlink-typeaccessvlan20把当前端口放入vlan20undoporte1/0/10删除当前VLAN端口10displaycurrent-configuration显示当前配置02配置交换机支持TELNETinterfacevlan1进入VLAN1ipaddress192.168.3.100
之前在培训新生的时候,windows环境下配置opencv环境一直教的都是网上主流的vsstudio配置属性表,但是这个似乎对新生来说难度略高(虽然个人觉得完全是他们自己的问题),加之暑假之后对cmake实在是爱不释手,且这样配置确实十分简单(其实都不需要配置),故斗胆妄言vscode下配置CV之法。其实极为简单,图比较多所以很长。如果你看此文还配不好,你应该思考一下是不是自己的问题。闲话少说,直接开始。0.CMkae简介有的人到大二了都不知道cmake是什么,我不说是谁。CMake是一个开源免费并且跨平台的构建工具,可以用简单的语句来描述所有平台的编译过程。它能够根据当前所在平台输出对应的m
注意:本文主要掌握DCN自研无线产品的基本配置方法和注意事项,能够进行一般的项目实施、调试与运维AP基本配置命令AP登录用户名和密码均为:adminAP默认IP地址为:192.168.1.10AP默认情况下DHCP开启AP静态地址配置:setmanagementstatic-ip192.168.10.1AP开启/关闭DHCP功能:setmanagementdhcp-statusup/downAP设置默认网关:setstatic-ip-routegeteway192.168.10.254查看AP基本信息:getsystemgetmanagementgetmanaged-apgetrouteAP配
1.1.1 YARN的介绍 为克服Hadoop1.0中HDFS和MapReduce存在的各种问题⽽提出的,针对Hadoop1.0中的MapReduce在扩展性和多框架⽀持⽅⾯的不⾜,提出了全新的资源管理框架YARN. ApacheYARN(YetanotherResourceNegotiator的缩写)是Hadoop集群的资源管理系统,负责为计算程序提供服务器计算资源,相当于⼀个分布式的操作系统平台,⽽MapReduce等计算程序则相当于运⾏于操作系统之上的应⽤程序。 YARN被引⼊Hadoop2,最初是为了改善MapReduce的实现,但是因为具有⾜够的通⽤性,同样可以⽀持其他的分布式计算模
我是ruby的新手,正在配置IRB。我喜欢pretty-print(需要'pp'),但总是输入pp来漂亮地打印它似乎很麻烦。我想做的是默认情况下让它漂亮地打印出来,所以如果我有一个var,比如说,'myvar',然后键入myvar,它会自动调用pretty_inspect而不是常规检查。我从哪里开始?理想情况下,我将能够向我的.irbrc文件添加一个自动调用的方法。有什么想法吗?谢谢! 最佳答案 irb中默认pretty-print对象正是hirb被迫去做。Theseposts解释hirb如何将几乎所有内容转换为ascii表。虽
我想在IRB中浏览文件系统并让提示更改以反射(reflect)当前工作目录,但我不知道如何在每个命令后进行提示更新。最终,我想在日常工作中更多地使用IRB,让bash溜走。我在我的.irbrc中试过这个:require'fileutils'includeFileUtilsIRB.conf[:PROMPT][:CUSTOM]={:PROMPT_N=>"\e[1m:\e[m",:PROMPT_I=>"\e[1m#{pwd}>\e[m",:PROMPT_S=>"FOO",:PROMPT_C=>"\e[1m#{pwd}>\e[m",:RETURN=>""}IRB.conf[:PROMPT_MO
我正在使用Ruby/Mechanize编写一个“自动填写表格”应用程序。它几乎可以工作。我可以使用精彩CharlesWeb代理以查看服务器和我的Firefox浏览器之间的交换。现在我想使用Charles查看服务器和我的应用程序之间的交换。Charles在端口8888上代理。假设服务器位于https://my.host.com。.一件不起作用的事情是:@agent||=Mechanize.newdo|agent|agent.set_proxy("my.host.com",8888)end这会导致Net::HTTP::Persistent::Error:...lib/net/http/pe
