【正文】 合屏蔽規(guī)則的數據流，而允許轉發(fā)其他所有數據流。按采用的主要技術劃分：包過濾型防火墻、代理型防火墻 按具體實現劃分：（1）多重宿主主機：安放在內聯網絡和外聯網絡接口上的一臺堡壘主機，它提供最少兩個網絡接口，一個與內聯網絡連接，另一個與外聯網絡連接。（2）篩選路由器：用一臺放置在內聯網絡與外聯網絡之間的路由器來實現。它對進出內聯網絡的所有信息進行分析，并按照一定的信息過濾規(guī)則對進出內聯網絡的信息進行限制，允許授權信息通過，拒絕非授權信息通過。（3）屏蔽主機：由內聯網絡和外聯網絡之間的一臺過濾路由器和一臺堡壘主機構成。它強迫所有外部主機與堡壘主機相連接，而不讓他們與內部主機直接相連。（4）屏蔽子網：它對網絡的安全保護通過兩臺包過濾路由器和在這兩個路由器之間構筑的子網來實現。（1）防火墻是網絡安全的屏障（2）防火墻實現了對內網系統的訪問控制（3）部署NAT機制（4）提供整體安全解決平臺（5）防止內部信息外泄（6）監(jiān)控和審計網絡行為（7）防火墻系統具有集中安全性（8）在防火墻上可以很方便的監(jiān)視網絡的信息流，并產生警告信息。（1）限制網絡服務（2）對內部用戶防范不足（3）不能防范旁路連接（4）不適合進行病毒檢測（5）無法防范數據驅動型攻擊（6）無法防范所有威脅（7）配置問題。防火墻管理人員在配置過濾規(guī)則時經常出錯。（8）無法防范內部人員泄露機密信息（9）速度問題（10）單失效點問題第二章（1）概念：又稱為報文過濾技術，執(zhí)行邊界訪問控制功能，即對網絡通信數據進行過濾。（2）技術原理：（3）過濾對象：，查看每個IP數據包的包頭，將包頭數據與規(guī)則集相比較，轉發(fā)規(guī)則集允許的數據包，拒絕規(guī)則集不允許的數據包。阻止存在泄漏用戶網絡敏感信息的危險的ICMP數據包進出網絡；拒絕所有可能會被攻擊者利用、對用戶網絡進行破壞的ICMP數據包。，常見的為端口過濾和對標志位的過濾。，要么阻塞某個端口，要么聽之任之。（4）優(yōu)點：包過濾技術實現簡單、快速；包過濾技術的實現對用戶是透明的；包過濾技術的檢查規(guī)則相對簡單，因此操作耗時極短，執(zhí)行效率非常高（5）缺點：包過濾技術過濾思想簡單，對信息的處理能力有限；當過濾規(guī)則增多時，對過濾規(guī)則的維護是一個非常困難得問題； 包過濾技術控制層次較低，不能實現用戶級控制。（1）技術原理：狀態(tài)檢測技術根據連接的“狀態(tài)”進行檢查，當一個連接的初始數據報文到達執(zhí)行狀態(tài)檢測的防火墻時，首先要檢查該報文是否符合安全過濾規(guī)則的規(guī)定。如果該報文與規(guī)定相符合，則將該連接的信息記錄下來并自動添加一條允許該連接通過的過濾規(guī)則，然后向目的地轉發(fā)該報文。以后凡是屬于該連接的數據防火墻一律予以放行，包括從內向外和從外向內的雙向數據流。在通信結束、釋放該連接以后，防火墻將自動刪除該連接的過濾規(guī)則。動態(tài)過濾規(guī)則存儲在連接狀態(tài)表中，并由防火墻維護。（2）狀態(tài)：狀態(tài)根據使用的協議的不同而有不同的形式，可以根據相應協議的有限狀態(tài)機來定義，一般包括NEW ,ESTABLISHED ,RELATED ,CLOSED。（3）狀態(tài)檢測技術的優(yōu)點安全性比靜態(tài)包過濾技術高；與靜態(tài)包過濾技術相比，提高了防火墻的性能。（4）狀態(tài)檢測技術的缺點主要工作在網絡層和傳輸層，對報文的數據部分檢查很少，安全性還不夠高； 檢查內容多，對防火墻的性能提出了更高的要求。（1）代理的執(zhí)行分為以下兩種情況：一種情況是代理服務器監(jiān)聽來自內聯網絡的服務請求；另一種情況是內部主機只接收代理服務器轉發(fā)的信息而不接收任何外部地址主機發(fā)送的信息。（2）代理代碼：（3）代理服務器的實現：雙宿主網關的IP路由功能被嚴格禁止，網卡間所有需要轉發(fā)的數據必須通過安裝在雙宿主網關上的代理服務器程序控制。由此實現內聯網絡的單接入點和網絡隔離。（4）代理技術優(yōu)點：代理服務提供了高速緩存；代理服務器屏蔽了內聯網絡，所以阻止了一切對內聯網絡的探測活動； 代理服務在應用層上建立，可以更有效的對內容進行過濾；代理服務器禁止內聯網絡與外聯網絡的直接連接，減少了內部主機直接受到攻擊的危險；代理服務可以提供各種身份認證手段，從而加強服務的安全性； 代理防火墻不易受IP地址欺騙的攻擊；代理服務位于應用層，提供了詳細的日志記錄，有助于進行細致的日志分析和審計； 代理防火墻的過濾規(guī)則比包過濾防火墻的過濾規(guī)則更簡單。（5）代理技術的缺點代理服務程序很多都是專用的，不能夠很好的適應網絡服務和協議的發(fā)展； 在訪問數據流量較大的情況下，代理技術會增加訪問的延時，影響系統的性能； 應用層網關需要用戶改變自己的行為模式，不能夠實現用戶的透明訪問； 應用層代理還不能夠支持所有的協議；代理系統對操作系統有明顯的依賴性，必須基于某個特定的系統及其協議； 相對于包過濾技術來說，代理技術執(zhí)行的速度較慢。第三章：過濾路由器對經過它的所有數據流進行分析，按照預定義的過濾規(guī)則，也就是網絡安全策略的具體實現，對進出內聯網絡的信息進行限制。允許經過授權的信息通過，拒絕非授權的信息通過。（1）過濾路由器優(yōu)點：快速、性能高、透明、容易實現過濾路由器是從普通路由器發(fā)展而來，繼承了普通路由器轉發(fā)速率快的優(yōu)點； 購買過濾路由器比單獨購買獨立的防火墻產品具有更大的成本優(yōu)勢； 過濾路由器對用戶來說是完全透明的； 過濾路由器的實現極其簡單。（2）缺點：過濾路由器配置復雜，維護困難；過濾路由器只針對數據包本身進行檢測，只能檢測出部分攻擊行為； 過濾路由器無法防范數據驅動式攻擊；過濾路由器只針對到達它的數據包的各個字段進行檢測，無法確定數據包發(fā)出者的真實性；隨著過濾規(guī)則的增加，路由器的吞吐量會下降；過濾路由器無法對數據流進行全面的控制，不能理解特定服務的上下文和數據。（1）表3—1給圖填數據（2）由規(guī)則生成策略（協議具有雙向性，一寫就寫倆）（3）逐條匹配深入原則（填空）：當排在過濾規(guī)則表后面的一條規(guī)則能匹配的所有數據包也能被排在過濾規(guī)則表前面的一條過濾規(guī)則匹配的時候，后面的這條過濾規(guī)則將永遠無法得以執(zhí)行，這種沖突稱為屏蔽沖突。（1）定義：堡壘主機是一種網絡完全機制，也是安全訪問控制實施的一種基礎組件。通常情況下堡壘主機由一臺計算機擔當，并擁有兩塊或者多塊網卡分別連接各內聯網絡和外聯網絡。（2）作用：隔離內聯網絡和外聯網絡，為內聯網絡設立一個檢查點，對所有進出內聯網絡的數據包進行過濾，集中解決內聯網絡的安全問題。（3）設計原則：：盡可能減少堡壘主機提供的服務，對于必須設置的服務，只能授予盡可能低的權限；：用戶必須加強與堡壘主機的聯系，對堡壘主機的安全情況進行持續(xù)不斷的監(jiān)測，仔細分析堡壘主機的日志，及時對攻擊行為作出響應。（4）類型 采用一臺堡壘主機作為連接內聯網絡和外聯網絡的通道，在這臺堡壘主機中安裝多塊網卡，每一塊網卡都連接不同的內聯子網和外聯網絡，信息的交換通過應用層數據共享或者應用層代理服務實現，而網絡層直接的信息交換是被絕對禁止的。與此同時，在堡壘主機上還要安裝訪問控制軟件，用以實現對交換信息的過濾和控制功能。多重宿主主機有兩種經典的實現：第一種是采用應用層數據共享技術的雙宿主主機防火墻，另一種是采用應用層代理服務器技術的雙宿主網關防火墻。（1）優(yōu)點：作為內聯網絡與外聯網絡的唯一接口，易于實現網絡安全策略；使用堡壘主機實現，成本較低。（2）缺點：，入侵者可以通過諸如竊聽、破譯等多種手段獲取用戶的賬號和密碼進而登錄防火墻；，當數據庫的記錄數量逐漸增多時，管理 員需要花費大量的精力和時間對其進行管理和維護，這項工作是非常復雜的，容易出錯；，會降低堡壘主機本身的穩(wěn)定性和可靠性，容易出現系統運行速度低下甚至崩潰等現象；，對主機的安全性是一個很大的威脅。用戶的行為是不可預知的，各種有意或者無意的破壞都將給主機帶來麻煩，而且這些行為也很難進行有效的監(jiān)控和記錄。（3）雙宿主主機構成（填空）：雙宿主主機防火墻是一臺具有安全控制功能的雙網卡堡壘主機，兩塊網卡中的一塊負責連接內聯網絡，另一塊負責連接外聯網絡。（1）工作原理：在防火墻主機上安裝各種網絡服務的代理服務器程序。當內聯網絡中的主機意圖訪問外聯網絡時，只需要將請求發(fā)送至雙宿主網關防火墻相應的代理服務器上，通過過濾規(guī)則的檢測并獲得允許后，再由代理服務器程序代為轉發(fā)至外聯網絡指定主機上。而外聯網絡中的主機所有對內聯網絡的請求都由（2）優(yōu)點，防火墻提供的服務具有良好的可擴展性，屏蔽了內聯網絡的主機，阻止了信息泄露現象的發(fā)生（3）缺點，因此防火墻主機的安全配置非常復雜且重要，一旦防火墻主機停止運行，則內聯網絡的鏈接將全部中斷 8屏蔽主機（1）工作原理過濾路由器的路由表是定制的，將所有外聯網絡對內聯網絡的請求都定向到堡壘主機處，而堡壘主機上運行著各種網絡服務的代理服務器組件，外聯網絡的主機不能直接訪問內聯網絡的主機，對內聯網絡的所有請求必須要由堡壘主機上的代理服務器進行轉發(fā)，對于內聯網絡到發(fā)起的連接或由過濾路由器重新定向到堡壘主機，對于特定的主機和特定的服務，則直接訪問（2）優(yōu)點：（3）缺點：在堡壘主機和其他內聯網絡的主機放置在一起，他們之間沒有一道安全隔離屏障，如果堡壘主機被攻破，那么內聯網絡將全部曝光于攻擊者的面前 屏蔽子網（1）非軍事區(qū)DMZ：又稱屏蔽子網，在用戶內聯網絡和外聯網絡之間構建的一個緩沖區(qū)域，目的是最大限度地減少外部入侵者對內聯網絡的侵害，內部部署了安全代理網關（執(zhí)行安全代理功能）和各種公用的信息服務器（執(zhí)行網絡層包過濾）在邊界上，通過內部過濾器與內聯網絡相聯，通過外部過濾路由器與外部網絡相聯。（2）優(yōu)點：，內部結構無法探測，外聯網絡只能知道外部路由器和非軍事區(qū)的存在，而不知道內部路由器的存在，也就無法探測到內部路由器后面的內聯網絡了，減輕了堡壘主機的壓力，增強了堡壘主機的可靠性和安全性，通過內部路由器的隔離作用，機密信息流受到嚴密的保護，減少了信息泄露的發(fā)生（3）缺點第四章 1防火墻性能指標（1）可靠性（2）可用性（3）可擴展性（4）可審計性（5）可管理性（6）成本耗費2防火墻的評估參數（1）吞吐量（2）時延（3）丟包率（4）并發(fā)連接數（5）工作模式：路由模式，NAT模式，透明模式（6）配置管理（7）接口的數量和類型（8）日志和審計參數 3防火墻技術的發(fā)展趨勢（1）分布式執(zhí)行和集中式管理：分布式或分層的安全策略執(zhí)行，集中式管理（2）深度過濾：正?；?，雙向負載檢測，應用層加密和解密，協議一致性（3）建立以防火墻為核心的綜合安全體系（4）防火墻本身的多功能化，變被動防御為主動防御（5）強大的審計與自動日志分析功能（6）硬件化（7）專用化第六章 入侵檢測1入侵檢測：對企圖入侵，正在進行的入侵或者已經發(fā)生的入侵進行識別的過程 2入侵檢測的作用：（1）識別并阻斷系統活動中存在的已知攻擊行為，防止入侵行為對受保護系統造成損害（2）識別并阻斷系統用戶的違法操作行為或者越權操作行為，防止用戶對受保護系統有意或者無意的破壞（3）檢查受保護系統的重要組成部分及各種數據文件的完整性（4）審計并彌補系統中存在的弱點和漏洞，其中最重要的一點是審計并糾正錯誤的系統配置信息（5）記錄并分析用戶和系統的行為，描述這些行為變化的正常區(qū)域，進而識別異常的活動（6）通過蜜罐等技術手段記錄入侵者的信息，分析入侵者的目的和行為特征，優(yōu)化系統安全策略（7）加強組織或機構對系統和用戶的監(jiān)督與控制能力，提高管理水平和管理質量3入侵檢測按數據來源劃分：（1）基于主機的入侵檢測：通過分析特定主機上的行為來發(fā)現入侵，判斷的依據是系統內的各種數據及其相關記錄 優(yōu)點：能夠確定攻擊是否成功不需要額外的硬件來主持能夠適合加密的環(huán)境可監(jiān)視特定的系統文件 缺點：額外產生的安全問題不具有平臺無關性，可移植性差實時性差依賴性強，檢測效果取決于日志系統占用主機資源，影響主機性能如果主機數目多，維護和管理代價大隱蔽性差，對入侵者不透明（2）基于網絡的入侵檢測 優(yōu)點：具有平臺無關性不影響受保護主機的性能對主機來說是透明的檢測范圍廣，監(jiān)測主機數量大時相對成本低實時檢測和響應可檢測基于底層協議的攻擊行為 缺點：很難發(fā)現應用層的攻擊行為很難處理加密傳輸對于交換網絡的不足不能及時有效的分析處理大規(guī)模的數據容易受到拒絕服務攻擊很難進行復雜攻擊的檢測（3）混合式的入侵檢測4入侵檢測按檢測方法劃分：異常檢測和濫用檢測（1）異常檢測根據系統或者用戶的非正常行為或者對于計算機資源的非正常使用檢測出入侵行為的檢測技術，基礎是建立系統正常活動狀態(tài)或用戶正常行為模式的描述模型，異常檢測的操作是將用戶當前的行為模式或系統的當前狀態(tài)與該正常模型進行比較，如果當前值超出了預設的閾值，則認為存在著攻擊行為（2）濫用入侵檢測通過對現有的各種手段進行分析，找到能夠代表該攻擊行為的特征集合，對當前數據的處理就是與這些特征集合進行匹配，如果匹配成功則說明發(fā)生了一次確定的攻擊 第七章1入侵檢測的性能指標：有效性（攻擊檢測率，攻擊誤警率，可信度），可用性，安全性（抗攻擊能力，數據通信機制）2入侵檢測的發(fā)展趨勢：標準化的入侵檢測，高速入侵檢測，大規(guī)模分布式的入侵檢測，多種技術的融合，實時入侵響應，入侵檢測的評估，與其他安全技術的聯動VPN篇1定義：是企業(yè)在因特網等公共網絡上的延伸，指將物理上分布在不同地點的網絡通過公用網絡連接成邏輯上的虛擬子網，并采用認證，訪問控制，保密性，數據完整性等技術，使得數據通過安全的“加密隧道”在公用網絡中進行傳輸2原理：在直接和公用網絡連接的計算機之間建立一條專用通道，私有網絡之間的通信內容經過發(fā)送端計算機或者設備打包，通過公用網絡的專用通道進行傳輸，然后在接收端解包，還原成私有網絡的通信內容，轉發(fā)到私有網絡中3按應用范圍劃分：遠程接入VPN，企業(yè)內部VPN，企業(yè)擴展VPN 4按隧道協議劃分：第二層隧道協議，第三層隧道協議 5按隧道建立方式劃分：自愿隧道，強制隧道 6特點：具備完善的安全保障機制，具備用戶可接受的服務質量保證，總成本低可擴展，安全性，靈活性管理便捷7安