网管程序员论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

查看: 1950|回复: 0

H3C安全网关关键特性介绍

[复制链接]
发表于 2007-8-30 15:57:56 | 显示全部楼层 |阅读模式
特性简介:

1)
黑名单黑名单,指根据报文的源IP地址进行过滤的一种方式。同基于ACL的包过滤功能相比,由于黑名单进行匹配的域非常简单,可以以很高的速度实现报文的过滤,从而有效地将特定IP地址发送来的报文屏蔽。
黑名单最主要的一个特色是可以由SecPath防火墙动态地进行添加或删除,当防火墙中根据报文的行为特征察觉到特定IP地址的攻击企图之后,通过主动修改黑名单列表从而将该IP地址发送的报文过滤掉。因此,黑名单是防火墙一个重要的安全特性。


2)
MAC绑定MACIP地址绑定,指防火墙可以根据用户的配置,在特定的IP地址和MAC地址之间形成关联关系。对于声称从这个IP地址发送的报文,如果其MAC地址不是指定关系对中的地址,防火墙将予以丢弃,是避免IP地址假冒攻击的一种方式


3)
ACL安全网关为了过滤数据包,需要配置一系列的规则,以决定什么样的数据包能够通过,这些规则就是通过访问控制列表ACLAccess Control List)定义的。访问控制列表是由permitdeny语句组成的一系列有顺序的规则,这些规则根据数据包的源地址、目的地址、端口号等来描述。ACL通过这些规则对数据包进行分类,这些规则应用到安全网关接口上,安全网关根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。


2
特性的优点
1)
黑名单黑名单可以以很高的速度实现报文的过滤,从而有效地将特定IP地址发送来的报文屏蔽。
2)
MAC绑定可以有效的避免IP地址假冒攻击。
3)
ACLACL通过这些规则对数据包进行分类,这些规则应用到安全网关接口上,安全网关根据这些规则判断哪些数据包可以接收,哪些数据包需要拒绝。
3 使用指南3.1
使用场合1)
对特定ip地址进行访问控制,使其在一定时间甚至永久不能进行访问内网或外网。(黑名单)2)
可以将发现的地址和端口扫描攻击的发起方的IP地址,动态添加到黑名单,进行一定时间的阻断。(黑名单)3)
只接收IPMAC地址同时满足设定条件的数据,从而避免IP欺骗。(MAC绑定)4)
将数据流按照特定条件进行分类处理。(ACL
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|最新更新|网管程序员社区 鄂ICP备11008024号-3

GMT+8, 2019-11-16 07:06 , Processed in 0.078001 second(s), 22 queries .

Powered by 网管论坛

© 2001-2018 www.027safe.com Inc.

快速回复 返回顶部 返回列表