IT之道-艾锑知道

您当前位置: 主页 > 资讯动态 > IT知识库 >

网络运维|防火墙的服务


2020-06-08 16:02 作者:艾锑无限 浏览量:
网络运维|防火墙的服务
 
大家好,我是一枚从事IT外包网络安全运维工程师,今天和大家分享的是网络安全设备维护相关的内容,在这里介绍下防火墙的服务,网络安全运维,从Web管理轻松学起,一步一步学成网络安全运维大神。

网络维护是一种日常维护,包括网络设备管理(如计算机,服务器)、操作系统维护(系统打补丁,系统升级)、网络安全(病毒防范)等。+

北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务,北京网络维修信息查询,同时您可以免费资讯北京网络维护,北京网络维护服务,北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+


北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息

服务简介

介绍服务相关概念及基本用法。
管理员有时需要限定需控制流量的协议类型,除了可以直接指定知名协议外,还可以通过服务自定义协议类型。
USG支持以下两种类型的服务:
  • 预定义服务
预定义服务是指系统缺省已经存在,可以直接选择的服务类型。预定义服务通常都是知名协议,例如HTTP、FTP、Telnet等。
预定义服务不能被删除。
  • 自定义服务
自定义服务是指管理员可以通过指定端口号等信息来自行定义一些协议类型。
自定义服务包括三大类:
  • 对于TCP和UDP的报文,通过指定一系列端口范围来区分协议类型。
  • 对于ICMP报文,通过ICMP类型和代码两个字段来区分ICMP报文类型。
  • 通过IP报文首部中的协议字段的取值来指定协议类型。关于IP报文首部中的协议字段的数值与具体协议的对应关系,可以参考RFC1340 《Assigned Numbers》。
  • 服务组
服务组的组成,包括预定义服务、自定义服务和其他服务组。
 说明:
预定义服务通过端口来定义知名协议。所以当实际网络中协议所使用端口与设备预定义的端口不同时,需要为其创建自定义服务。例如,预定义服务ILS对应端口号为1002,但是某些旧版软件可能使用389端口来接收ILS报文。此时需要自定义一个端口号为389的服务,并在包过滤等功能中引用,以实现对这些软件报文的控制。
各种服务可能出现重复的情况,例如端口21既属于预定义服务FTP,又可以被划入到一个自定义服务中。而每种服务都可以单独定义其老化时间。所以有必要对各种服务的老化时间定义优先级顺序。报文在实际老化时,根据其所属各个服务中优先级最高的服务的老化时间进行老化。主要包括以下几条规则:
  • 预定义服务内部不存在重复情况,所以不需要定义优先级。自定义服务可能出现重复情况,所以可以通过配置调整各个自定义服务之间的优先级顺序。缺省情况下,越先创建的自定义服务优先级越高,越先和会话进行匹配。
  • 对于知名端口和非知名端口的会话,都优先匹配预定义服务。如果匹配成功,按照预定义服务的老化时间进行老化;如果未匹配成功,再查找自定义服务。
  • 如果预定义服务和自定义服务都没有匹配成功,按照会话表缺省老化时间进行老化。
 说明:
在使用服务的过程中,如果只需要使用少量预定义服务,可以在各个特性配置时直接引用预定义服务。如果需要同时引用多个服务,可以将这些服务加入到Group类型的自定义服务后再引用,这样可以方便管理员对服务的引用的管理。

预定义服务

配置设备的安全策略时,将引用服务。预定义服务集是指系统缺省已经包含,可以直接选择的服务类型。预定义服务通常都是知名协议,例如IP、TCP、Telnet等。

查询预定义服务

  1. 选择“防火墙 > 服务 > 预定义服务”。
 说明:
安全策略不支持引用动态端口的预定义服务,即端口信息标识为“dynamic port”的预定义服务。
以上文章由北京艾锑无限科技发展有限公司整理
 

相关文章

IT外包服务
二维码 关闭