Notes de réseau informatique-3

Others 2021-02-27 18:04:10 views: null

Notes de réseau informatique-3

Pare-feu

Deux pare-feu couramment utilisés: le pare-feu proxy et le pare-feu de filtrage de paquets. La
principale différence: le niveau de pile de protocole à exploiter et l'utilisation de l'adresse IP et du numéro de port ainsi déterminés

Pare-feu proxy

Un pare-feu proxy est un hôte exécutant une passerelle multicouche d'application, qui peut relayer le trafic entre deux connexions au niveau de la couche application. Mettre fin à la connexion entre TCP et UDP

Attribuez une adresse IP de routage globale à l'interface réseau externe et attribuez une adresse IP privée à l'interface réseau interne

Il existe deux formes de pare - feu proxy , pare-feu HTTP et pare-feu SOCKS

  • Pare-feu
    HTTP Le pare- feu HTTP est similaire à un serveur Web, fournissant une fonction de mise en cache Web, ainsi qu'un filtre de contenu, qui peut empêcher les utilisateurs d'accéder à certains sites Web sur la base d'une liste noire.
  • Pare-feu
    SOCKS Le pare- feu SOCKS est largement utilisé, prend en charge la transmission proxy, l'adressage IPv6, etc.

Pare-feu de filtrage de paquets

  • En tant que routeur Internet, un pare-feu de filtrage de paquets est configuré pour rejeter ou transférer les paquets qui répondent (ou ne satisfont pas) à certaines normes dans l'en-tête de paquet, et ces normes deviennent des filtres
  • La liste de contrôle d'accès ACT répertorie la politique de base du type de paquets de données qui doivent être rejetés ou transférés
  • Le filtre bloquera le trafic malveillant du réseau externe vers le réseau interne, mais ne limitera pas le réseau interne au réseau externe.

DMZ

La DMZ est une zone du réseau Une zone spéciale entre le réseau externe et le réseau interne est également une zone isolée. Il s'agit d'une zone tampon configurée pour résoudre le problème selon lequel le réseau externe ne peut pas accéder au réseau interne une fois le pare-feu installé.
En général, le réseau externe peut accéder au réseau interne de deux manières:

  • 1. L'hôte est placé dans le réseau LAN interne, le mappage des ports est effectué sur le routeur ou le pare-feu, et le port du routeur ou du pare-feu et le port de l'hôte sont ouverts. Dans ce cas, une fois le port ouvert sur le pare-feu, le pare-feu devient non sécurisé.
  • 2. Le serveur est placé dans la zone DMZ, le réseau DMZ est établi et les paramètres DMZ sont directement définis sur le routeur ou le pare-feu.

Règles d'accès

  1. Le réseau interne peut accéder au réseau externe Les
    utilisateurs de l'intranet doivent évidemment accéder librement au réseau externe. Dans cette stratégie, le pare-feu doit effectuer une traduction d'adresse source.
  2. L'intranet peut accéder à la DMZ.
    Cette stratégie consiste à faciliter l'utilisation et la gestion des serveurs de la DMZ pour les utilisateurs de l'intranet.
  3. Le réseau externe ne peut pas accéder au réseau interne, bien
    entendu, le réseau interne stocke les données internes de l'entreprise, et ces données ne sont pas autorisées pour les utilisateurs du réseau externe.
  4. Le réseau externe peut accéder à la DMZ
    . Le serveur de la DMZ lui-même doit fournir des services au monde extérieur, de sorte que le réseau externe doit pouvoir accéder à la DMZ. Dans le même temps, l'accès réseau externe à la DMZ nécessite que le pare-feu termine la conversion de l'adresse externe à l'adresse réelle du serveur.
  5. La DMZ ne peut pas accéder à l'intranet
    . Évidemment, si cette stratégie est violée, lorsque l'intrus compromet la DMZ, il peut attaquer davantage les données importantes de l'intranet.
  6. La DMZ ne peut pas accéder au réseau externe
    Il existe des exceptions à cette stratégie. Par exemple, lorsqu'un serveur de messagerie est placé dans la DMZ, il doit accéder au réseau externe, sinon il ne fonctionnera pas correctement. Dans le réseau, la zone démilitarisée (DMZ) fait référence à un segment de réseau isolé qui fournit des services à des systèmes non approuvés. Son objectif est de séparer les réseaux internes sensibles des autres réseaux qui fournissent des services d'accès et d'empêcher la communication directe entre le réseau interne et le réseau externe. Assurer la sécurité de l’intranet.

La différence entre DMZ et mappage de port

La DMZ et le mappage de port de NAT sont essentiellement différents. Parce que NAT lui-même est un pare-feu, il empêche les paquets de données externes non autorisés de passer par le routeur.

  • En partant du principe que la fonction DMZ n'est pas activée, tous les paquets de données externes qui ne sont pas conformes à l'entrée de la table NAT arrivent au routeur en tant que paquets de données non autorisés et sont tous rejetés.
  • Lorsque le routeur active la fonction DMZ, ces paquets de données non autorisés seront directement transmis à l'hôte DMZ. À ce stade, la DMZ est en fait complètement exposée sur Internet, ce qui peut être considéré comme un hôte sur Internet, ce qui est plus dangereux; si l'adresse IP de l'hôte DMZ Lorsqu'elle n'existe pas, la fonction est tout à fait incapable d'ouvrir la DMZ, mais le routeur ajoute une charge de transfert.

Le mappage de port est juste un mappage entre un seul port externe et un seul port hôte interne. En fait, un élément statique est créé dans la table de traduction NAT. Tout paquet de données externe conforme à l'entrée de la table NAT est directement transmis à un certain interne hôte.
cartographie Port est juste mappage des ports désignés, DMZ est équivalente à la cartographie de tous les ports et exposer directement l'hôte à la passerelle, ce qui est plus pratique que le mappage des ports , mais peu sûr.

NAT

NAT sépare l'espace d'adressage du système interne de l'espace d'adressage d'Internet, et tous les systèmes internes peuvent accéder à Internet en utilisant une adresse IP privée attribuée localement.
Le principe de fonctionnement du NAT est de réécrire les informations d'identification des paquets de données passant par le routeur. (Modifiez l'adresse IP source du paquet de données à l'adresse de l'interface réseau Internet et modifiez le code de contrôle en même temps)

NAT est divisé en NAT de base et NAPT

  • Le NAT de base utilise l'adresse du pool d'adresses pour réécrire l'adresse IP. Deux adresses IP sont requises à partir du même port.
  • NAPT réécrira le numéro de port pour distinguer le trafic de différents hôtes

L'hôte dans le NAT lance le processus de connexion TCP

  1. La destination est l'hôte du serveur Web (adresse IPv4 212.110.167.157) et le paquet de données est représenté par (IP source: le port est 10.0.0.126: 9200, l'IP de destination: le port est 212.110.167.157: 80).
  2. En tant que routeur par défaut, NAT recevra ce paquet. Notez que l'indicateur SYN dans l'en-tête TCP est ouvert, ce qui est une nouvelle connexion. L'IP source dans le paquet de données sera modifiée en IP de l'interface externe du routeur NAT (IP source: le port est 63.204.134.177: 9200, l'IP de destination: le port est 212.110.167.157: 80), puis le paquet de données est transmis.
  3. NAT crée également un état interne (session NAT) qui représente le traitement des nouvelles connexions. L'état comprend au moins le port source et l'IP du client, appelé mappage NAT.
  4. Le serveur répond avec l'adresse externe NAT et le port initial (port réservé). Une fois que NAT l'a reçu, il compare le mappage et détermine l'hôte interne.

Passerelle et routage

passerelle

  • L'essence de la passerelle

Une passerelle est essentiellement une adresse IP d'un réseau vers d'autres réseaux. Ce n'est que lorsque l'adresse IP de la passerelle est définie que le protocole TCP / IP peut réaliser la communication entre différents réseaux.

  • IP de la passerelle

L'adresse IP de la passerelle est l'adresse IP de l'appareil avec la fonction de routage, y compris: les routeurs, les serveurs compatibles avec le protocole de routage et les serveurs proxy

  • La fonction de la passerelle

La passerelle est utilisée pour connecter les sous-réseaux qui exécutent différents protocoles sur la couche réseau et peut réaliser la communication de périphériques hétérogènes. Les principales fonctions sont: protocole de conversion, format des données de conversion, taux de conversion pour atteindre l'unité.

  • Passerelle par défaut

La passerelle par défaut est le concept de la couche réseau. L'hôte lui-même ne dispose pas de capacités d'adressage de routage, de sorte que le PC envoie tous les paquets IP à une adresse de transit par défaut pour le transfert, qui est la passerelle par défaut.

routage

  • Compréhension du routage

Le routage est l'acte et l'action de transférer des données d'un endroit à un autre. Un routeur est une machine qui effectue de telles actions.
Les routeurs sont utilisés pour connecter des périphériques réseau sur plusieurs réseaux ou segments de réseau. Le travail principal est de trouver un chemin de transmission optimal pour chaque trame de données passant par le routeur, et de transmettre efficacement les données au site de destination.

  • La fonction du routage

Fonctions principales:
1. Interconnexion réseau. Le routeur prend en charge diverses interfaces LAN et WAN. Il est principalement utilisé pour interconnecter le LAN et le WAN et réaliser la communication entre différents réseaux;
2. Traitement des données, y compris le filtrage des paquets, le transfert de paquets, la priorité et multiplexage Fonctions telles que l'utilisation, le cryptage, la compression et le pare-feu
3. Gestion du réseau Le routeur fournit des fonctions telles que la gestion de la configuration, la gestion des performances, la gestion tolérante aux pannes et le contrôle de flux.

la différence

La différence entre la passerelle et le routeur est de savoir s'il faut se connecter à différents réseaux
. Différents réseaux au niveau logique font référence à des réseaux publics et privés
. Différents réseaux au niveau physique font référence à différents supports de réseau, tels qu'Ethernet, SDH et ATM.
La passerelle est un concept logique, le routeur est un périphérique physique, le routeur peut être utilisé comme passerelle et le routeur peut réaliser la fonction de la passerelle.

ICMP

Protocole de contrôle des messages Internet ICMP

  • Utilisé pour transférer les messages de contrôle entre les hôtes IP et les routeurs, y compris les informations d'erreur de paquet, les informations sur l'état du réseau et les informations sur l'état de l'hôte.
  • Coopérez avec la soumission de paquets de données IP pour améliorer la fiabilité. Encapsulé dans des paquets de données IP pour la transmission.

Les messages ICMP sont divisés en messages de rapport d'erreur et messages de requête

  • Type d'erreur: objectif inaccessible, redirection, timeout, etc.
  • Les messages de requête apparaissent généralement par paires et les messages de demande / réponse d'écho sont largement utilisés, généralement appelés ping

Le message ICMP est encapsulé dans un datagramme IP et envoyé. L'hôte qui envoie la demande peut recevoir le message de réponse, indiquant que le protocole IP peut être utilisé pour communiquer entre les deux hôtes, et il peut également prouver que l'hôte source et la destination host are all Les fonctions de réception, de traitement et de transfert du routeur sont normales.

Je suppose que tu aimes

Origine blog.csdn.net/MinutkiBegut/article/details/113848335
conseillé
Classement
du quotidien
Plus
2024-06-10(0)
2024-06-09(0)
2024-06-08(0)
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)
2024-06-04(2)
2024-06-03(0)
2024-06-02(1)
2024-06-01(0)

Code World

© 2018 codetd.com