您現在的位置: 18luck新利全站下载 >> 行業分類>> 電力行業>> 資料信息

某工程安全策略配置(pdf 46頁)

所屬分類:
電力行業
文件大小:
710 KB
下載地址:
相關資料:
工程安全, 安全策略, 配置
某工程安全策略配置(pdf 46頁)內容簡介
某工程安全策略配置內容提要:
統一安全網關放置於內部網絡和外部網絡之間,可以保護內部網絡不受外部網絡上惡意用戶的侵害,有著明確的內外之分。統一安全網關提出安全區域的概念,為屬於不同安全區域的用戶提供不同級別的安全保障。
對於DMZ 安全區域的解釋如下:DMZ 起源於軍方,是介於嚴格的軍事管製區和鬆散的公共區域之間的一種有著部分管製的區域。
統一安全網關引用了這一術語,指代一個邏輯上和物理上都與內部網絡和外部網絡分離的安全區域。該安全區域可以放置需要對外提供網絡服務的設備,如WWW 服務器、FTP 服務器等。
DMZ 安全區域很好地解決了服務器的放置問題。上述服務器如果放置於外部網絡,則統一安全網關無法保障它們的安全;如果放置於內部網絡,外部惡意用戶則有可能利用某些服務的安全漏洞攻擊內部網絡。
3.1.3 長連接概述
實際應用中,統一安全網關某些會話的老化時間相對較短,而對應數據流需要長時間不被老化。為解決這一矛盾,統一安全網關提出長連接特性 長連接功能用於設置特定數據流的超長老化時間。該數據流由ACL 確定。數據流的老化時間不受全局老化時間限製。
分片緩存概述網絡設備傳輸報文時,如果設備上配置的MTU(Maximum Transfer Unit)小於報文長度,則會將報文分片後繼續發送。理想情況下,各分片報文將按照固定的先後順序在網絡中傳輸。實際傳輸過程中,可能存在首片分片報文不是第一個到達USG5000 統一安全網關的現象。此時,統一安全網關將丟棄該係列分片報文。
為保證會話的正常進行,統一安全網關增加分片緩存功能。將先於首片分片報文到達的後續分片報文存於分片緩存,等首片分片報文到達後再進行轉發,保證會話的正常進行。如果首片分片報文無法到達統一安全網關,存於分片緩存的後續分片報文將被丟棄。
包過濾概述隻有當數據在兩個安全區域之間流動時,才會激活統一安全網關的安全規則檢查功能。包過濾即是統一安全網關安全規則檢查的重要組成部分。
包過濾功能實現對IP 報文的過濾。對於需要轉發的報文,統一安全網關先獲取報文頭信息,包括IP 層所承載的上層協議的協議號、報文的源地址、目的地址、源端口號和目的端口號等,然後和設定的ACL 規則進行匹配,並根據ACL 的設定動作允許或拒絕對報文的轉發。當拒絕轉發時,統一安全網關會丟棄相應報文。
..............................

Baidu
map