第章 网络安全知识与安全组网技术李文媛

电子商务安全技术主讲教师：李文媛第5章网络安全知识与安全组网技术网络安全即通过采用各种技术和管理措施保护计算机网络系统中的硬件、软件及其数据不因偶然或恶意原因而遭到破坏、更改和泄漏，保障系统可以连续可靠地正常运行，网络服务不中断。学习目标3了解网络通信威胁与信息传输安全了解网络安全协议掌握防火墙技术掌握入侵检测技术掌握网络常见的攻防技术本章目录5.1网络安全问题概述5.2

网络相关知识5.3防火墙技术5.4入侵检测技术5.5网络常见的攻防技术5.6案例分析5.1网络安全问题概述5.1.1网络通信的威胁威胁定义为对缺陷（Vulnerability）的潜在利用，这些缺陷可能导致非授权访问、信息泄露、资源耗尽、资源被盗或被破坏等。计算机网络上的通信存在威胁的原因：（1）资源共享是计算机网络的重要特点（2）网络协议(TCP/IP)的主要设计目标不是安全（3）缺乏系统的安全标准55.1网络安全问题概述5.1.2信息传输的安全与目标信息传输安全：就是指在信息传输过程中，保护信息免受各种类型的威胁、干扰和破坏，防止信息被窃听、复制、篡改或插入伪数据。从内容上说，信息传输安全包括：通信系统或通信网络的安全信息自身的安全65.1网络安全问题概述5.1.2信息传输的安全与目标为保障信息传输的安全，即对付主动攻击和被动攻击，需采用数据传输加密和数据完整性鉴别等技术。①数据传输加密技术：链路加密、结点加密、和端到端加密技术。②数据完整性鉴别技术：报文鉴别、加密校验技术。③防抵赖技术：数字签名技术。75.1网络安全问题概述5.1.2信息传输的安全与目标计算机网络信息传输安全的目标：保密性完整性可用性可控性不可抵赖和不可否认8本章目录5.1网络安全问题概述5.2

网络相关知识5.3防火墙技术5.4入侵检测技术5.5网络常见的攻防技术5.6案例分析5.说2妹网络台相关赵知识闪与安猎全组琴网技府术5.搏2.榜1打IS坛O/稳OS电I七款层协认议开放豆系统造互联异参考眯模型OS早I/陶RM（简栏称OS疼I）：捎国际虎标准卫化组总织IS狡O于19恳84年提茶出的纤一种蚁标准皱参考瓶模型料。OS世I包括承了体出系结扇构、践服务叫定义召和协卵议规竿范三止级抽馅象。OS灿I/磨RM并非臭具体善实现预的描霸述，丙它只穿是一竿个为目制定遮标准芽而提臣供的柱概念容性框朗架。105.健2表网络柱相关疲知识汪与安疲全组口网技行术5.疼2.币1赶IS情O/哨OS誉I七灾层协衰议OS钞I/责RM采用粉结构监描述毒方法房诚，即判分层军描述甚的方年法，弄将整孙个网贤络的通信河功能同划分凝成7个层疾次，搞由低瓣层至敬高层妻分别浙称为物理晓层、数据你链路漆层、网络届层、传输亚层、会话烂层、表示股层和应用脾层。如贩下图寻所示绕。115.俱2往网络鞭相关厕知识单与安问全组不网技咳术5.墙2.品1连IS俗O/威OS敏I七颈层协券议12应用层表示层会话层传输层网络层链路层物理层应用层表示层会话层传输层网络层链路层物理层应用进程A传输介质应用进程B计算机A计算机BDATAAHPHDATAAHDATAPHDATAAHSHPHDATAAHSHTHPHDATAAHSHTHNHPHDATAAHSHTHNHDHDT比特流OS牲I参辆考模型伶及数台据封叶装过紧程5.乡丰2咬网络免相关蒸知识激与安共全组歪网技恩术5.仓2.启1模IS躁O/免OS辟I七毅层协叫议1.扒O季SI哀参考爬模型共各层戏的功框能（1武）物理躁层物理摸层是OS紫I参考哥模型扭的第红一层趴，它惕向下湾直接等与传露输介庄质相熔连接绍，是烫开放秒系统聪和物蛛理传粘输介绘质的填接口蜂，向烤上相附邻且淋服务赌于数乔据链痛路层擦。概括溉起来胖说，忌物理良层的侵功能阔就是汉实现茎在传骨输介秒质上苹传输婚各种合数据迈的比茧特流污。育物理艰层只治能看丘见0和1，传怜输介轨质是结同轴逗电览牢、光淡缆、终双绞苍线等皆。物理烦层可矮能受牌到的堂安全皇威胁糊是搭正线窃多听和浪监听栏，可榨以利窝用数针据加忍密、导流量铺填充酬等方猫法保减护物学理层泼的安肢全。135.粱2蚀网络弓相关违知识而与安摸全组阁网技魂术5.突2.厚1姿IS牌O/违OS铅I七邪层协叨议（2般）数据震链路旁层数据数链路耍层有住两个虹责任匀：发高送和寇接收轮数据磨。它港将网烧络层沃交下与来的IP数据蚀报（新也称险分组域）组均装成先帧（Fr励am露e），浑在两末个相驶邻结做点间的眨链路初上传煤送以却帧为熊单位莲的数抖据。数据彼链路报层提激供数简据链圈路的嫩流量袭控制炮，检聚测和消校正绢物理炼链路茄产生塘的差雹错。145.垦2缴网络兴相关玩知识爪与安输全组制网技很术5.猛2.涂1结IS杨O/挺OS趣I七搬层协哗议（3失）网络瞧层网络挑层实啦现路闹由选尼择、躁拥塞据控制裹、网拥络互事连等垄功能色，它呈的主痕要任岸务是副负责流：①为催分组丧交换丝式网上稀的不巾同主耻机提搬供通讯信；②选倡择合迅适的狱路由客，使虾源主往机传帅输层华所传抛下来供的分枕组能惰够交楼付到蒸目的僚主机撇。155.倘2荐网络夕相关嚷知识鱼与安抽全组缓网技艰术5.叫2.妇1迹IS涉O/科OS柴I七国层协贪议（4闭）传输蚂层传输聪层的防主要非功能倘是完说成网泊络中及不同涛主机召上的愚用户跟进程畜之间桑的可例靠的惊数据予通信玩。传惜输层带提供钓了端逢到端围（最炕终用及户到歇最终件用户撞）的羽透明毕的、敬可靠著的数垂据传委输服炉务。路所谓栽透明里的传绝输是尾指在促通信乞过程雅中传遵输层校对上晃层屏原蔽了颂通信婆传输恶系统笛的具林体细预节。165.吴2拥网络沸相关截知识疑与安恰全组誓网技价术5.咐2.忆1葱IS川O/论OS惜I七克层协礼议（5素）会话透层会话巧层提弓供两豆进程津间建批立、犯维护剧和结冬束会洒话连醉接的束功能乖，提赖供交侨互会点话的仆管理舱功能领，如窝允许趁信息睁同时侄双向果传输侄或任欠一时旦刻只纪能单惰向传圈输。175.血2够网络鞭相关品知识侍与安印全组争网技鸭术5.育2.虎1复IS黑O/帆OS串I七紫层协妻议（6认）表示眨层下5层完掘成了盏数据学的可弯靠的靠、无秆差错乎的传个送。病但是归传送寺数据旅最终煮目的刻是要场实现辈对数忆据的凝使用臂。由知于各渣种系柴统对姐数据定的定挡义并童不完毒全相美同,如键躺盘上蒸的某笑些键锁的含两义在腔许多伯系统泰中都惕有差畅异。蠢这自粱然给艘利用萝其它煎系统渴的数幼据造纪成了个障碍煌。表示外层提茫供通蚂信实东体间叨数据木交换扩的标垂准接蜻口，脂完成预对数谅据编剥码格丙式进睁行转绘换、罚数据贩压缩斗与解誉压、馋建立登数据亭交换坦格式沉、数僵据的尸安全窑与保毒密等晒特定寨功能美。185.侍2歉网络燥相关节知识语与安识全组撞网技回术5.筐2.否1灿IS威O/兔OS为I七昼层协屈议（7伴）应用姑层应用译层提朝供给炎用户请网络革服务姨的应真用程杨序，禽如电杀子邮负件、肥文件差传输穷、远腐程登波录等机，每寸个应点用程弱序必晒须使滥用自纸己的障协议饺与下路层协窃议进堂行通温信。产应用霜层是沈用户袜应用惰程序烘与网捕络间料的接党口，哨它使总得用企户的顾应用岛程序奖能够我与网做络进远行交堪互式猪联系疗。195.钳2社网络李相关启知识救与安备全组邻网技秧术5.至2.哪1刷IS驳O/甩OS压I七忘层协受议2.架O窑SI真参考灵模型喊中的米数据记流封装物理进通信逻辑含通信20TC该P/柳IP协议21应用层UDPTCPIP物理层TC嫩P/什IP协议胸是In据te流rn鸡et采用犬的协蝇议标赛准，饮也是芦全世违界采秆用的歌最广炉泛的革工业壤标准殊。它智是一及组协附议的呆集合点，用浙来将泉各种围计算染机和暗数据骄通信蛮设备役组成穴实际抖的计氧算机耗网络虹。225.死2.纤2钻IP讯协议IP（网末际协路议）些提供徐了一续种不糕可靠啊的、撕无连农接的猪、尽盈力而宋为的邀数据销报传哀输服蜂务，抹其功算能在语于对斑主机云进行讯编址采并以读数据吐报的候形式超在主乞机间等传输突信息谷。5.顺2住网络光相关砌知识逼与安泻全组暖网技扬术5.汉2匀网络父相关花知识业与安带全组龄网技踩术5.腊2.光2响IP除协议1.攀IP数据秧报格狡式235.案2钞网络群相关躬知识太与安识全组水网技谜术5.源2.尽2彩IP城协议2.抛IP氏地址IP地址兰用于纲标识IP网络傍中的撤每台事计算害机（泼或路屈由器经）和裹一条臂链路颗的接甲口。IP地址替现由扛因特沸网名村字与菊号码爷指派押公司IC照AN欢N进行晃分配角。IP地址饮是一俯个32载bi甩t的二死进制宁序列专。为想了提融高可偿读性造，采浇用点沈分十掉进制岗记法嫂，如仓某台树主机叉的IP地址之为：今。245.赏2刮网络旱相关尊知识快与安倦全组牙网技怀术5.清2.净2狼IP浅协议(1描)I券P地址虾分类每一矮类地挡址都妥由网亡络号ne剪t-狂id和主虚机号ho丑st池-i翠d两部辨分组弱成。网络总号字荒段标预志主悟机（驰或路浊由器污）所率连接称到的租网络锈；主机梢号字隔段表拜示该雀主机祸（或保路由愤器）向。五贼类IP地址寨如下露图所段示：255.屈2丹网络弊相关松知识暮与安萍全组驴网技往术5.疫2.铜2盈IP兄协议(2伤)划分踏子网为了糖解决IP地址留空间箱利用溉率低随且不紫够灵藏活，王于19炮85年提络出了袍划分悠子网米。划睬分子枪网是手通过额增加宏一个唯“子湖网号盆字段桑”，花即从碎网络朽的主亩机号宽借用彩若干众比特贱作为违子网吃号su暂bn母et找-i裳d，而妈主机慌号也臣就相究应减蜓少了弯。子网偿掩码遣是用会来让TC悉P/盈IP协议箱快速耻地判央断两存个IP地址猪是否捷属于已同一誉子网舒。265.浓2厉网络智相关配知识竭与安群全组屿网技耍术5.僚2.饥2桌IP梨协议(3宋)专用IP地址有一齿些IP地址备只能拳用于窃机构男的内凳部通策信，期不能救用于静和因困特网治上的另主机宫通信筑，这垄些地互址称秆为专按用地辫址。如到275.霸2捞网络齐相关奸知识灯与安扎全组楼网技诵术5.倘2.芳2葱IP啊协议3.摘IP协议晚安全喂问题IP协议见的主工要缺委陷是眼缺乏美有效留的安军全认仰证和泼保密差机制妨，其芦中最喷主要帅的因取素就悠是IP地址粒的问长题。当前TC弱P/摧IP网络织的安区全机廉制主坐要是信基于IP地址判的包坝过滤旗和认滥证技关术，挪它们潮的正畅确有黎效性移依赖懒于IP包的拾源地折址的没真实孝性。仔然而IP地址规存在比许多磁问题压，最剩大的刷缺点畅就是缸缺乏男对IP地址燥的保益护，苦缺乏垦对IP地址当真实蛛性的递认证却与保蜡密机霉制，蜜这也角是整忍个TC押P/污IP协议束不安桶全的检根本标所在饼。285.宪2败网络惊相关申知识过与安乞全组这网技兔术5.炭2.不2压IP非协议4.休IP裂v6IP绞v4定义仇的有点限地鹅址空复间将巾被耗恩尽，茂为了扭扩大隐地址称空间殊，通摇过IP正v6重新辨进行状定义昂。295.质2办网络妥相关械知识植与安赠全组牺网技昼术5.兼2.芝3驳TC菠P协立议TC菠P（传犁输控胞制协叉议）绑是一显个面总向连环接的万协议列，它负婶责将多数据被从发锻送方正确桶地传递辛到接骂收方拨，是财端到千端的隐数据手流传销送。在传联送数本据前称，需另要建异立连盗接。叨它提准供可斧靠传黄送机这制以强保证宝数据歌可靠鬼、有妙序的扒传递扒。305.场2苦网络粒相关冲知识根与安圾全组饭网技局术315.圾2.滔3撤TC员P协达议1.俩TC持P报文扒段格祝式315.催2烤网络纽奉相关精知识渡与安诞全组历网技职术325.悟2.济3扣TC德P协优议2.端口TC离P协议茧和UD德P协议醉通过称使用洪“端剧口”坚来标杂识源仍端和树目标墙端的点应用芝进程兰。5.肿2接网络猛相关予知识承与安恰全组趣网技胞术335.轨2.乌3雅TC和P协主议3.曾TC格P的委运输烤连接话管理TC关P是期面向雾连接渠的协矮议，聚运输沉连接芹管理妈就是蛋使运路输连助接的姻建立弃和释狐放都盯能正篇常进趁行。（1裙）T载CP尺建立扭连接须的三意次握盗手过判程：任何库两台圾计算间机Cl猪ie许nt颤s和Se僵rv隆er脆s之间止欲建第立TC馆P连接亩，都共需要傻一个陵两方正都确糟认的欺过程霉，称内三次乡丰握手仿，可乡丰分解僻为下蒙图表超示：(1爪)C向S发送SY输N，表锋示想祥发起寺一次TC寄P连接细，假抢定序篮列号劲是X；(2渗)S接到予请求伴后，诉产生(S乖YN石|A必CK筑)响应仁，包排括：犁向C发送AC漠K，AC换K的值炎为X+抖1，表颈示数至据成竖功接倍收，桌并告扬知下凡一次蓄希望查接收级到字恼节的嫁序号颗是X+交1；同午时，S向C发送鱼自己完的序狼号，挡假定泊为值Y；(3圆)C向S发送AC逮K，表障示接盯收到S的回用应。初这次残它的置序号妙值为X+裂1，同醋时它英的AC留K值为Y+谈1。连接阴开放粪，C与S可以盗进行狼数据治传输忙。345.剥2利网络孔相关逮知识旦与安膝全组震网技厕术355.败2.大3合TC据P协京议（2视）T姜CP袭释放哗连接恩的四盘次握孕手过而程：FIN,SEQ=xACK,SEQ=y,ACK=x+1FIN,ACK,SEQ=yACK=x+1主机A主机BACK,SEQ=x+1ACK=y+15.巴2讯网络骑相关暖知识找与安译全组仇网技饱术365.袄2.笔3贤TC伸P协有议4.昏TC麦P的安导全缺狮陷针对TC那P连接澡建立转时“逼三次展握手尖”机彻制的标攻击堪；未加蒸密的TC烛P连接擦被欺算骗、旨被劫冷持、南被操斯纵；现存庸的主薯要攻睡击有TC仗P腔SY谱N淹没宴攻击摸、TC话P序列荡号攻肤击、TC云P会话腐劫持费、TC迫P连接尾不同伪步状纲态攻筑击、SY性N鱼Sn老ip喘in叉g攻击傅、TC锯P端口构扫描私等。本章王目录5.君1琴网笨络安剑全问允题概士述5.柜2网络怖相关塑知识5.冠3防火痰墙技激术5.盐4入侵贼检测居技术5.想5网络桨常见眯的攻库防技令术5.段6案例冤分析5.滤3吓防火泻墙技烤术自从19粮86年美储国Di厉gi疏ta轻l公司脸在In则te捞rn串et上安酒装了技全球湿第一喊个商桑用防遣火墙明系统盏后，剖防火览墙技及术得忆到了都飞速坑的发挂展，恢先后句出现抬了包扁过滤歉防火困墙、贿代理狭防火城墙等弓防火电墙技生术，胶目前骆的防椅火墙朗已经钞演变上成一板个全险方位椅的安且全技貌术集泳成系么统。385.脊3笋防火耍墙技珍术防火尝墙(Fi写re武wa租ll)的本裙义：俊古代带人们哥房屋想之间躬修建情的墙蜘，这挡道墙什可以虫防止笼火灾叼发生悲的时精候蔓怒延到西别的沾房屋取。在计衣算机沟世界创中，伐防火咏墙是既一种弃形象驻的说童法，湿它是男一种冲得到倒广泛浅使用侵的网握络安遭全技毕术。防火弓墙的恢概念旦：防火川墙是庸一种均由计出算机堂软件善或/和硬绕件的锻组合崇，它越定义胁了接圈入访态问控坝制策伤略以夏保护厨内部填网络橡或计呀算机吸系统组免受败非法种用户底的侵蓄入岩。395.顾3阁防火流墙技楼术防火曲墙是陷指设买置在不同要网络（如吴可信殊任的妖企业称内部及网和储不可讲信的咽公共孩网）夹或网谈络安男全域垦之间扑实施糕访问疾控制修策略猾的一魂个或瘦一组五系统讯。40防火墙访问控制策略允许TCP端口80访问，拒绝TCP端口440TCPPort440被保护的网络未被保护的网络TCPPort80基于捉网络顷的防与火墙基于夕网络至的防励火墙5.娱3揭防火乱墙技香术简言室之，像防火押墙将侮网络俱分隔疾为不供同的雁物理宇子网补，限熊制威贿胁从遮一个姐子网拜扩散删到另匠一个究子网饱；防攻火墙袭用于详保护脸可信绪网络廊免受骨非可尖信网少络的挑威胁艰，同赖时仍岂有限踢制地昏允许辜双方曾通信督。防火戚墙已钻经成慰为将狼内部租网接站入外宽部网剥时所责必需危的安需全措桨施，祖是提典供信盐息安掌全服狡务、回实现角网络化和信耽息安奋全的躬基础悦设施体。415.唯3详防火枪墙技轮术基于仆主机节的防爱火墙在系中统本辜身内魄部实市施，侨如微监软的娱因特友网连鸣接防拿火墙IC字F。425.连3滩防火筒墙技命术防火品墙具同有的算属性鸭：防火要墙是符不同捕网络剃或网子络安烂全域到之间剧信息耕的唯股一出疫入口图，如乖图所钳示。它能聪够根面据安债全策耽略（管允许吐、拒记绝、燃监测捐）控凝制出白入网际络的渔信息次流；本身绘具有堂较强胁的抗迟攻击茅能力雾。435.泽3.普1古防火直墙基缠本功雅能1.防火伪墙是型网络券安全转的屏龟障防火恭墙允漠许网勒络管槽理员络定义漠一个既中心忽控制险点来炭防止毅非法妻用户炒进入逃内部培网络脂，从汇而能钻极大都地提趣高一绵个内判部网洽络的船安全疾性，洽并通勉过过长滤不胜安全育的服挥务而映降低愧风险裕，抗困击来垃自各哑种线贴路的愉攻击挪。445.采3.扇1狮防火遍墙基税本功僵能2.防火法墙可烧以强拼化网瞒络安丙全策已略防火啄墙能讨强化咱安全酷管理汁，网络捞安全剖性在如防火柿墙系驼统上晚得到度加固俊，而恭不是啊分布若在内风部网氧络的胸所有省主机钻上。通过哭以防溜火墙规为中裁心的凯安全令方案跨配置踩，能剖将所指有安字全软仔件（蒸如口判令、唤加密钱、身杜份认携证、绣审计想等）拒配置摸在防牺火墙贪上。抚与将蓝安全升方案挡分散拿到各嚷个主秒机上该相比芹，防胆火墙寨的集刊中安偷全管导理更旱经济宴。455.捉3.伴1似防火醒墙基趣本功反能3.对网插络存务取和泄访问嗓进行泼监控凯审计对一耕个内进部网邮络已绸经连局接到题互联业网上枪的机隐构来再说，观检测吃到何喷时会条受到帐攻击熔十分塘重要国。如正果所肚有的肃访问营都经香过防和火墙怪，那俊么防绸火墙滥就能惕记录泼下这身些访矩问并学做出献日志违记录腥，当件发生矛可疑出动作沿时，博防火吸墙能宿进行镇适当筑报警治，并山提供室网络厦是否杰受到袄监测将和攻泡击的早详细碎信息雷。防火研墙同演时也彩能提米供网顺络使镜用情裹况的赴统计慎数据崭，查染出潜挎在的荡带宽势瓶颈承的位液置，教并能携根据示机构虹的核范算模爹式提闹供部泳门级蹲的计墨费。465.躁3.政1赏防火丽墙基毕本功天能4.防止幼内部秆信息绞外泄对于云一些际内部歉网络甚结点行来说雅，保会密性赤非常呀重要尼。因存为一铸个内停部网聋络中耕不引肺人注肠意的熟细节船可能誉包含疫了有霉关安杨全的醒线索奸而引哑起外语部攻喝击的坟兴趣姻，甚坦至因童此暴数露了型内部捕网络有的某扛些安旧全漏汉洞。徐使用蔬防火丢墙可坦以阻弱塞那同些透叹漏内如部细舅节的宴服务除。475.肥3.萄1乱防火贫墙基系本功狸能5.向客甘户发姥布信叉息防火争墙作菊为部滩署We黄b服环务器撑和F早TP撞服务矮器的库地点择非常耗理想答，还令可以通对防柱火墙精进行口配置爸，允超许互牲联网放访问早上述售服务期，而勾禁止戒外部孩对受慨保护怕的内认部网匆络其畜他系斜统的碌访问怎。485.糟3.肺1幼防火驼墙基晒本功问能6.防火爽墙的秃抗攻称击能丑力作为丝式一种厚安全松的防取护设都备，订防火龟墙在堂网络是中自贡然是蜻众多润网络巾攻击诉者的允目标大，因剥而抗哈攻击浊能力类也是甚防火该墙的竹必备号功能冒。除了禁安全锐作用施，防徐火墙眨还支梳持具口有因氏特网讲服务拉特性残的企碧业内厉部网易络技范术体闯系VP猪N。喜通过合VP闲N，滚将企痒事业禾单位桂在地惰域上闯分布御在全鸡世界涂各地徐的L闻AN叉或专研用子茄网有东机地蹄连成街一个社整体悉，不明仅省彩去了亩专用白通信凤线路产，而厉且为择信息用共享滴提供鸣了技败术保沾障。495.岸3.驴1题防火警墙基泼本功崭能要注意的是：防火墙只是能提高网络的安全性，不能保证网络绝对的安全。事实上，仍然存在一些防火墙不能防范的安全威胁，如防火墙无法防范不经过防火墙的攻击。防火墙很难防范来自于网络内部的攻击以及病毒的威胁。505.番3.谢2旗防火茄墙常谎见体株系结颤构安全孔的网灵络拓贵扑结枕构对先阻止迷网络念攻击赠有很却大帮烦助，喜并能糊够使绩网络毁安全锣设备置的安厦全特驼性得糖到最绒有效陶地发武挥。防火交墙在悦网络渐中的惜放置斤方式波称为防火晕墙的突体系唇结构。只掀有正写确合没理地她配置餐防火卸墙在障整个肆网络页中的汪拓扑辰位置滑，才奋能完践全发战挥其脊作用拜。防火耕墙可图以分啦为三邮种体辫系结概构，便分别刊是：双宿/多灭宿主主嚼机体栏系结糖构；主机截屏蔽左体系竭结构截；子网泛屏蔽钩体系凑结构框。515.盈3.贱2环防火执墙常思见体梨系结棍构几个坏概念①非旋军事拉区（DM率Z）为了胃配置破和管旨理的汁方便脏，通常喉将内吃网中激需要并向外脾提供型服务寇的服描务器损设置尤在单睛独地羞网段艇，这个悬网段最被称为盘非军璃事区晒。非军浙事区专位于题内网浩之外叛，使英用与筋内网鹿不同及的网采络号会连接嫂到防僻火墙骗，并胶对外轰提供党服务戒。525.涂3.鸟2醒防火接墙常温见体郑系结泻构②堡昂垒主绢机即经堵过加夹固，英安装镰了防训火墙起软件伞，但爸没有IP笋转发个功能遣的计钢算机集。该主腾机对档外提程供一偷些必迁要的聋服务刊，也蜓可以亮被内摔部用效户访顷问。停堡垒偏主机筒一般打位于权非军荡事区食。535.款3.肢2吃防火继墙常众见体昏系结串构堡垒浓主机零的类赶型：单宿倘主堡物垒主准机。具有诞一块弊网卡柴的堡带垒主哥机做点防火党墙，型通常氧用于锐应用晒级网祸关防锻火墙塌。双宿纤主堡帜垒主图机。具有乌两块套网卡坐的堡字垒主惧机做诊防火西墙，停两块坚网卡顺分别汽与内块网和至外网紫相连粮。内放网和帖外网遵之间煎不能换直接盐通信每，两伐网之携间的督数据禽流被灾双宿墓主堡后垒主拼机完甲全切院断。内部板堡垒畅主机川。堡垒捎主机历与内愤网通疯信，战转发黎从外饺网获洽得的寨信息橡。外部核堡垒苦主机让。通过春开放遭有限仰的端成口来散为互泪联网土提供诞有限乱的公宿共服仰务，闸不向宪内部脊网转非发任跌何请巧求，栏而是率自己普处理钻请求归。545.倘3.源2耐防火站墙常婚见体你系结腐构③填屏蔽扶路由撇器在路伞由器陈上安赚装包破过滤束软件生，实莫现包骡过滤洗功能晶，由砖此可饶以实愚现一焦部分挂防火咏墙的坑功能县，因龄此，牺有人驼把屏隙蔽路带由器配也称堵为防贫火墙锻的一莫种。屏蔽絮路由孤器放鸽置在评内网摄和外菌网之勉间，市用于魄执行枪包过爷滤功省能。该路捐由器内作为糊内外麦连接妈的唯瞧一通刮道，肺所有嘴经过响的数纱据包闭都必骗须检询查。555.旺3.纽奉2雀防火庆墙常意见体为系结尸构(1镇)双阻宿/岁多宿促主主盆机体逐系结树构双宿/多宿谜主机兽防火睡墙是淡一种架拥有胞两个络或多弄个连给接到耍不同吐网络薪的网侧络接计口的具防火早墙，通常似是一恰台装室有两守块或剧多块催网卡傲的堡宅垒主壤机，两块躲或多虾块网暖卡各缓自与舞受保军护网下络和描外部士网络城相连哪。56网络接口板

网络1网络2网络3可选路由功能多宿主机网络接口板网络接口板典型镰的多功宿主道机5.它3.昼2炼防火太墙常派见体膊系结属构由于谣堡垒区主机增具有扭两个探以上芽的网默卡，烤可以唐连接抛两个税以上误的网份络，肝所以么计算昂机系世统可吸以充牵当这辰些网朴络之欺间的妨防火立墙，瓦从一愉个网腾络到听另一村个网林络发宅送的IP数据辫包必仗须经笋过双江宿主萄机的瓦检查捏。双捐宿主委机检好查通叶过的倾数据债包，吐并根锯据安珍全策我略进透行处况理。575.从3.得2家防火蔽墙常厦见体龄系结脉构双宿领主堡生垒主典机通窑过代让理服叶务的列方式居提供赔安全将控制征服务熟。建爬立双连宿主歪堡垒溪主机泄防火永墙的关键皇是要颠禁止淹路由患功能，网络咬之间酬通信炉的唯条一途苍径是捐通过浇应用尊层的滔代理妨软件。5.酸3.散2娃防火严墙常混见体杂系结次构(1巷)双锈宿/堂多宿屈主主续机体匪系结嫩构59主机A主机B路由斤功能婆被禁衬止的胜双宿奴主机若意凉外地垒配置凳了路典由，瞒且允仙许转这发IP包，塔那么充双宿块主防秆火墙抗的应谜用层割功能侵就可滤能被类越过厘。5.阁3.裳2兰防火夏墙常搅见体碍系结墙构(2鼓)则屏蔽错主机夜体系浙结构屏蔽缩慧主机以体系绞结构温由堡垒遍主机和屏蔽(过奇滤)路由规器组成镰。即任堡垒鞠主机册并不励直接惭与因鸣特网赏相连申。堡宴垒主逼机位叛于内昨部网蛛中，呜路由宋器则滋放置块在堡绳垒主领机和In抚te教rn选et之间雷。过滤航规则止配置腊在屏古蔽路嫌由器域上，顷使得胞屏蔽吐路由闻器强弄迫所部有到满达路蒜由器砍的数办据包宜被发困送到充堡垒帝主机特。所铺以，焰入侵勇者在竖破坏察内部隔网络倍的安戴全性返之前底，必少须首婚先渗松透两办种不栏同的吴安全支系统棚。它淡的结仪构如派图所满示。605.忠3.蚁2织防火项墙常跳见体宇系结境构615.赞3.稻2草防火歌墙常布见体得系结哲构此系将统结蚀构的雄第一歌个安智全设圾施是友过滤烛路由薪器，讨它阻葵塞外裙部网界络进役来的耗除了陡通向快堡垒蒜主机贿的所豆有其邻他信呆息流散。对于删到来鹿的信蒜息流选，首先茂要经延过过肝滤路贴由器用的过裤滤，熔过滤挠后的秘信息梢流被口转发次到堡黄垒主盖机上供，然果后由痕堡垒浅主机零上的作应用正服务案代理调对这承些信环息流印进行波分析透，并粉将合晋法的拣信息赴流转塞发到肾内部盛网络傲的主谢机上匙。625.刚3.辩2申防火徒墙常宰见体没系结长构63当然俘，并偿不是死所有默服务奶的入采站连艘接都弟会被稼路由昨到堡苍垒主祝机上俭，屏鞠蔽路伐由器竿根据菜安全界策略侨允许残或禁鸽止某呼种服墨务的哀入站靠连接(外部美到内船部的竟主动质连接)。对于提外出木的信部息流抽，首先柿经过厨堡垒恭主机灯上的骡应用块服务喷代理洋的检迅查，丹然后臂被转坛发到贸过滤炮路由命器，挪由过渔滤路毒由器娃将其握转发斜到外男部网读络上结。5.乡丰3.屈2抛防火御墙常裁见体迅系结践构64过滤答路由笛器是虽否正供确配邪置是敬这种脉防火形墙安欺全与注否的邀关键酱，过璃滤路讯由器遗的路固由表趴应当庸受到抬严格沈的保聋护，宫否则驻，如加果路插由表娃被攻匹击者瓜破坏件掉，道数据漠包就疼不能工被路筐由到掏堡垒猾主机省上，晋导致蜜堡垒负主机擦被越幼过，痰从而闲导致膜严重随后果窑。5.殿3.硬2柴防火邪墙常娃见体躬系结认构65(3当)屏史蔽子妙网体菠系结淋构在被关屏蔽勿主机痒结构吼中，星堡垒大主机排最容堂易受焦到攻催击。穿而且膜内部谜网对轿堡垒垮主机竞是完拌全公滤开的鉴，入蓬侵者蛇只要比破坏图了这喉一层芦保护艺，那碑么内疤部网献就暴偿露在例入侵个的攻贤击之吓下。5.蛛3.花2侨防火使墙常客见体耗系结馒构66屏蔽蜜子网捧的结锣构本眼质上烘和屏目蔽主烈机是眠一样叠的，丙它是钳在屏伏蔽主患机结鞭构中疑再增嗽加一祸台路堆由器勒，它脂的作滥用在初于在义内部宿网和并外部鸟网之苗间构泪筑出撑一个丽安全曾子网迹。从稳而给羊内部绢网络逝增加派了一援层保仰护体忌系——非军嫌事区。非军翼事区(D芹MZ刃)是一西个安沙全层荐，是缴在外减部网璃络与温被保痰护的瞒内部拒网络星之间黎的附站加的重网络诱。这种电结构蚂使得但非军芳事区亲和内捞部网鼓的通桃信被美内部酷屏蔽逢路由革器分介开，非军梦事区繁和外联部网层的通痕信被城外部术屏蔽兆路由乓器隔蛛开，这薄样内显部网漆和外循部网球之间储有两豪层保欧护体深系。5.殊3.咳2灾防火穿墙常鸦见体当系结醒构堡垒年主机买位于值非军巨事区衔中，废用于袋给外转部网池的用窃户提刑供应事用服蒸务。柄它是竭内、栏外网古的连纸接点煎，这陆样增母加了更内部哑网的蜡安全兵性。非军事区5.房诚3.受2裕防火脾墙常蜓见体滴系结掩构用两鲜个包摧过滤欢路由金器和扔一个卷堡垒盏主机块，在造内部乓网络卧与In去te裤rn许et之间笔形成套一个其小型乎的独擦立网故络，笋即通芹过添屋加非烘军事侄区更笨进一袄步地蜂把内求部网杯络与In桶te败rn说et隔离灾开。非军泰事区5.扫3.屈2抗防火购墙常凯见体忘系结察构两个践屏蔽倾路由智器放工在DM尼Z网高络的住两端允，将DM盼Z网络菠分别亦与外玻网和申内网坚分开茂，在DM个Z网络到构成疮一个纳“缓久冲地妻带”选。两个蕉路由壁器一享个控鞋制内斧网数榴据，治另一沉个控专制外有网数坡据，目内网奋和外馅网均停可访夫问DM允Z网络承，而通远过DM古Z网络秤直接暮进行刑传输林是严汤格禁礼止的薪。DM锯Z网秤络中铺安装脉的堡翼垒主昌机是最为内拉部网察络和暴外部销网络程的互拳相访芒问提拣供代部理服辆务，两但是施来自寇两个哈网络肃的访纱问都扫必须窜通过情两个叮屏蔽完路由拉器的溉检查阅。5.宁3.利2讽防火肺墙常做见体赴系结棍构70对于挽到来船的信子息流柴：外层肆的路杆由器必用于托防范齐通常班的外负部攻哀击并夹管理阀外部震网络素到DM栋Z网昨络的闪访问卸。它营只允塑许外姜部系呀统访狗问堡盲垒主延机。内层芳的路傍由器翠提供域第二氏层防摄御，且只接嗓收源通于堡毯垒主蚂机的搅数据曲包，标负责墓的是纠管理DM孩Z网白络到格内部径网络扑的访辽问。对于悔外出话的信蛛息流岛：内层鼠的路赵由器验管理行内部凯网络膜到DM腾Z网屑络的椒访问写，它绒允许鸡内部艺系统挖只访滚问堡娱垒主右机。外层谷的路亲由器涌的过岂滤规形则要子求只锁接收若来自夸堡垒浮主机偿的去威往外秀部网肢络的鞭数据谱。5.讯3.饥2货防火膜墙常渴见体杨系结嘱构71对于跪此结沾构的听防火颗墙，墙入侵兽者必绪须突槽破三咱个不独同的腊设备拿都能绣侵袭科内部切网络栽：外部拥路由抱器、堡垒宋主机和内部汇路由馆器。由于篇外部召路由庆器只咐能向钩外部芬网络周通告DM挖Z网笨络的罗存在靠，这陆样保落证了舍内部故网络块的“锣不可瞒见”伍。由于李内部粮路由逮器只晕向内先部网愚络通耻告DM串Z网勉络的溜存在笨，内粒部网鹿络上闭的系竟统不隙能直轻接通稀往外筑部网挤络，测这样尤保证附了内斯部网鸟络上雕的用升户必骂须通舟过驻死留在黑堡垒珠主机贯上的范代理苦服务欲才能灵访问搜外部音网络辽。5.奇3.玻3竿防火裙墙技走术分丧类72防火佛墙技黎术可历根据设防范岸的方拳式和路侧重钉点的歉不同懂分为湿很多撒种类惩型，奶但总摩体来嘉讲可缘瑞分为羞包过返滤、价应用粘层网珠关、货状态浩检测撤等几抛大类兵。1.版包派过滤课技术包是区网络期上信摘息流字动的匪基本诞单位超，数交据包匹过滤毛技术锄是在界网络闭中的邀适当宜位置(网背络层克)对数肢据包栏实施叉有选桂择的欺通过怪的技绩术--蛇即制醒定过渔滤规吼则。5.环3.约3星防火亭墙技应术分锐类选择星好过秩滤规衰则后株，只惭有满怠足过北滤规乳则的五数据钱包才杰被转翻发至则相应宽的网突络接期口，笼而其虏余数至据包周则从银数据局流中铺被丢绢弃。5.踩3.圈3岩防火信墙技繁术分榴类包过换滤一鼠般要氧检查陶下面糠几项日：(1绿)I散P源地负址(2锯)I区P目的灰地址陪；(3勉)协议定类型(T屿CP包、UD盐P包、IC均MP包)；(4扰)T秘CP或UD磨P的源沉端口邮；(5务)T济CP或UD托P的目嗽的端刮口；(6仪)I挑CM医P消息舟类型证；(7盒)T青CP报头裳中的AC源K位。另外状，TC番P的序屋列号韵、确浅认号英，IP校验乱以及梨分段券偏移先也往拍往是牵要检凳查的仆选项锋。5.絮3.肉3趋防火渠墙技伪术分床类数据变包过带滤可症以控萍制站吼点与绕站点茅、站素点与两网络飘、网武络与蠢网络纤之间册的相像互访化问，名但不司能控山制传乳输的骑数据葬内容谋，因欢为内锋容是梨应用喂层数候据。5.痕3.析3朴防火唐墙技宇术分静类包过招滤防兔火墙酒对接割收的巾数据梢包进杀行审迫查以靠便确谢定其待是否惭与某牲一条非包过助滤规缺则匹烛配，鸭进而坊来做护允许吧或拒僻绝的荐决定批。不蓝管是香否符担合过消滤规绑则，吨防火罩墙一害般要涉记录债数据泻包情缩慧况。不符垦合规容则的安包要受报警烧或通秒知管告理员届。对月于丢与弃的见数据焦包防被火墙滋可以赴给发下送方称一个也消息概，也嫁可以溉不发童送，菠这取丽决于之包过筐滤规伙则。如果湾返回若一个考消息烫，攻抵击者浊可能主会根萌据拒敲绝包乞的类配型猜侨测包冶过滤辅规则蚀的大未致情肿况。5.价3.辰3方防火盖墙技惧术分芒类数据数包过悬滤技聋术是拣防火扭墙中适最常画用的础技术垂。对站于一毕个充旁满危县险的湿网络厉，过沃滤路僻由器肠提供危了一忌种方医法，取用这抹种方蒜法可耽以阻晨塞某控些主嘉机和胃网络飘连入听内部孙网络道，也验可以皂限制洪内部尚人员弦对一炼些站桨点的穿访问艘。优点凡：简单鲜实用潜、成貌本低她、一饥定程召度上皇保证乐系统按安全饿。缺点畜：首先兵，无劈燕法识奋别应忙用层逃的入点侵，决并且贞数据什包信尘息很缎容易辜被窃朗听；其次沙，过抬滤规算则受罩到过摧滤器上的限烛制，游且规伯则数捉目过占多，甘会影便响网棉络传县输的扎性能银；再次它，要决求管辆理员腹的水也平比慰较高售。5.祝3.拳3批防火饰墙技示术分带类2.炕应菌用层要网关军技术应用悟层网衡关技尝术也屈称为躬代理危技术咬，它鸟与包旷过滤司技术旅完全坐不同斑，包毅过滤控技术限是在叔网络早层拦霉截所惯有的观信息冬流，苗代理仅技术阿是针据对每环一个些特定府应用榆都有嗓的一赛个程盈序，往是在应用贯层实现瓶防火贿墙的敢功能浴。代理雨服务朝是在佛防火邪墙主流机上流运行追的专典门的蛇应用烧程序蒜或服况务器岔程序米，这拨些程虏序根读据安完全策财略处货理用氏户对斗网络罗服务六的请麦求。代理邻服务嘱具有忠两个根部件弃：一个扣是服惕务器型端代早理，一个肺是客得户端覆代理，其港工作斜原理肥如下秀图所记示。5.旨3.育3祥防火竭墙技篇术分恐类代理客户代理服务器5.惠3.塑3谢防火涝墙技驻术分司类代理费使得惭网络护管理剂员能摸够实师现比端包过同滤路良由器忘更严柿格的览安全散策略肿，它鬼能够番对应弟用程洪序的背数据惯进行仰校验泊以确肾保数而据格埋式可礼以接厘受。应用诉层网闸关不艰用依尸赖包晴过滤回工具果来管好理In秋te繁rn堡et服务垒在防补火墙从系统甘中的贝进出信，而隶是采趴用为揭每种吐所需昨服务赛在网铜关上慕安装您特殊占代码饶（代诞理服堪务）搬的方富式来玩管理In刃te辰rn幼et服务触，即部进行详协议全过滤品。应用购层网剑关能对够让咬网络升管理乖员进诱行全膏面的吓控制隐。如抬果网鸟络管葱理员仰没有拒为某诸种应然用安赛装代等理编怠码，尖那么却该项晌服务回就不迷支持躺并且宣不能林通过栋防火配墙系潮统来截转发革。5.奸3.祝3搬防火灰墙技摆术分黄类3.殃电扬路层题网关眠技术电路闪层网肤关也御称回荡路层素代理送，工咐作原天理与勿组成脉结构做和应疗用层平网关厘相似我。电路党层网柴关并耻不针融对专括门的趣应用士协议桃，它用兔来监誉控受在信任谈的客至户或价服务玩器与他不受忠信任英的主新机间疾的TC湾P握手按信息,这样裕来决述定该泪会话非是否叹合法怎。一旦铃网关辈认为庄会话胶是合述法的碑，就乳为双葬方建长立连蹄接，叔并维线护一僚张合桥法会铺话连撒接表差，当度会话渔信息梦与表惩中的广条目尽匹配仗时，眉才允或许数丧据通枪过，浆会话减结束材后表猴中的嫂条目昌就被虹删除票。5.桶3.遗3枪防火站墙技列术分双类连接洽的发艰起方堡不直射接与宗响应摄方建京立连户接，拍而是蜡与电订路层健网关棍交互尊，由男它再销与响请应方铁建立砖连接轿。这样密，电堪路层众网关左将建榨立两血个TC难P连耳接，调一个歇是在怀电路羞层网毁关和告内部士主机住上一扇个T羡CP董用户师之间厨；另页一个忠是在蜓电路甲层网够关和组外部区主机顺上一塌个T聪CP喘用户微之间因。5.耽3.理3勺防火耐墙技鹊术分取类优点菜：能搏够提拳供网历络地改址转臂换（NA算T）功恨能，中在使哭用内栽部网俯络地摸址机所制时赴为网琴络管匙理员签实现猾安全败提供毒了很绑大的枕灵活杂性。缺点班：要齐求终叹端用泰户通付过身和份认挖证；角不能乞很好谢地区察分包孤的真渴实意跃图，柄容易执受到掉诸如IP欺骗示等攻唱击。5.彻3.板3师防火且墙技贷术分请类4.蛋状疯态检补测技馆术状态场检测秆技术垦采用阅的是酬一种沟基于罪连接造的状挖态检堵测机牧制，缎将属茅于同影一连惯接的编所有拨包作食为一傲个整强体的轰数据蚂流看顺待，萝构成船连接袍状态存表，腹通过借规则打表与诸状态角表的长共同韵配合胳，对予表中巨的各换个连腿接状杏态因怪素加老以识捎别。本章降目录5.赞1席网碌络安宜全问族题概蓄述5.酸2网络界相关般知识5.肝3防火遮墙技凡术5.源4入侵犯检测冲技术5.芝5网络施常见芬的攻乞防技稀术5.房诚6案例冲分析5.雾4兆入侵椒检测赌技术入侵蜜检测(I留nt月ru第si裂on薄D获et锣ec谦ti漠on衫)是对献入侵挪行为蓝的发府觉，足它通逼过对得计算点机网吸络或危计算懂机系境统中偿的若额干关使键点挤收集少信息谣并对昨其进幕行分币析，孟从中肯发现蓄网络豆或系泽统中贴是否井有违悠反安卧全策壁略的乏行为渡和被摔攻击民的迹而象，云并在带不影涂响网胳络性默能的扫情况响下，赴对网召络进遇行检禽测，挨提供谜对内济部攻彻击、黑外部前攻击井和误湿操作项的实处时保魔护。5.盲4补入侵例检测度技术入侵堵检测向系统冰（ID里S）：肥进行县入侵后检测姜的软使件与芦硬件洞的组萌合。入侵盗检测拨技术怜是动搁态安私全技迎术的家最核终心技明术之山一，抵它是陵防火乓墙的悲合理播补充现，被兄认为勇是防触火墙脱的第虫二道青安全哨防线喇。入侵笋检测姥技术的能够觉：帮助灯系统主动对付浓网络斜攻击幼；扩展了系物统管询理员屑的安液全管困理能标力（察包括花安全酿审计捡、安萝全监勇视和铲检测楚、入码侵识和别、宏入侵骡取证输和响菊应）喂。5.袜4.吸1舌入侵捏检测熔技术量的分躲类1.根据雾数据尖来源舟（信首息源冬）分梨类(1兽)基于嚷主机天的入辟侵检膛测系耍统（HI鼻DS）HI擦DS为早摊期的轰入侵缩慧检测抢系统昼结构书，其富检测找目标恒主要罚是主机坝系统和系统剪本地公用户。如篮图所平示。89报警攻击模式库配置系统库入侵分析引擎

响应处理

数据采集安全控制主机系统系统操作审计记录/协议数据简单猛的入岂侵检典测系戴统示昆意图检测贡原理写：在每昆一个将需要码保护照的主赛机（牢端系派统）分上运圈行代办理程交序，失根据晒主机牵的审务计数蓄据和症系统喇的日寄志发已现可棉疑事帐件，易从而矿实现矩监控券。因此愈：HI味DS依赖母于审情计数纷据或压系统蔑日志爪的准猾确性互和完热整性脏，以地及安喷全事该件的捐定义乞。5.促4.良1鹊入侵浮检测遮技术衣的分倦类5.量4.思1毛入侵屑检测躬技术槐的分开类HI瓣DS的优测势：⑴能菠够精务确地振判断盖入侵洁行为京，并愁及时数响应锄；⑵监指控主贼机上必特定巴用户多活动贡、系药统运槽行情势况；⑶能笋够检档测到NI袭DS无法勒检测惠的攻饺击；⑷适蜂用加起密和谢交换慌的环和境；⑸检控测和世响应读接近介实时撕性；⑹没碑有带庙宽的尊限制汤、不尼需要厅额外速的硬贴件设事备。5.则4.徒1逗入侵岛检测暴技术程的分馅类HI身DS的局饮限：⑴对倘被保跪护主接机的阿性能悔和安胖全性宣会带绍来影评响；⑵依愿赖宿务主OS的可眯靠性治，它税要求挤系统报本身裕应该钻具备摸基本弹的安姐全功丝式能并勇具有周合理源的设休置；⑶HI斤DS的数王据源咸受到锻审计补系统佳的限求制；⑷通蛛用性益较差马，维眉护/升级筝不方旁便。5.毯4.失1随入侵坟检测筐技术殿的分清类(2结)基于电网络段的入达侵检缴测系络统（NI柱DS）基于忌网络否的入锡侵检抄测系击统通糠过在下共享肢网段携上对件通信栗数据传进行快侦听肺采集贤数据孝，分停析可距疑现婚象。这类丝式系统按不需陈要主识机提适供严助格的攀审计完，因写而对乞主机疑资源庆消耗永少，易并且牌由于态网络榆协议损是标砍准的关，它柏可以应提供挪对网太络通样用的磁保护究，而仿无需膜顾及铸异构思主机拿的不岁同架眼构。NI费DS的优这势：⑴检测膀的范言围是犹整个腐网段愧，而固不仅戚仅是序被保俘护的蛾主机绘。采荐用集独中管由理的苦分布揭工作堆方式暗，能井远程劳监控恰。⑵实时椒检测记和应顿答。⑶隐蔽疼性好柳。不分需要勿在每异个主况机上颈安装峡，不虑易被弦发现数。⑷不需刊要任诱何特俭殊的煌审计壁和登回录机窗制，盒只要四配置声网络陆接口午就可充以了双，不缎会影辛响其贤他数超据源如。⑸操作舟系统都独立窑。NI插DS系统蛮