這篇blog總結(jié)了博主大三下學(xué)期的《網(wǎng)絡(luò)安全》課程主要知識(shí)點(diǎn)，每一點(diǎn)仔細(xì)研究的話都有很多很深很精妙的內(nèi)容。

0x00 網(wǎng)絡(luò)安全的目標(biāo)

網(wǎng)絡(luò)安全的目標(biāo)是保證信息的保密性、真實(shí)性、完整性、可靠性、可用性、不可否認(rèn)性。了解網(wǎng)絡(luò)安全的定義可以幫助我們提高分析問(wèn)題、解決問(wèn)題的能力，可以有計(jì)劃、有方向的針對(duì)其目標(biāo)來(lái)分析網(wǎng)絡(luò)安全。所以，了解這些是必要的。

1. 保密性：指網(wǎng)絡(luò)信息不被泄漏給非授權(quán)的用戶、實(shí)體或過(guò)程，即信息只為授權(quán)用戶使用。通常使用的技術(shù)包括物理保密、防竊聽(tīng)、防輻射（防止有用信息以各種途徑輻射出去）、信息加密。
2. 真實(shí)性：指用戶的身份是真實(shí)的。涉及到認(rèn)證問(wèn)題。
3. 完整性：指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即網(wǎng)絡(luò)信息在存儲(chǔ)或傳輸過(guò)程中保持不被偶然或者蓄意地添加、刪除、修改、偽造、亂序、重放等破環(huán)和丟失的特性。主要方法有：
   • 良好的協(xié)議
   • 密碼校驗(yàn)和方法
   • 數(shù)字簽名
   • 公正
4. 可靠性：指系統(tǒng)能夠在規(guī)定的條件和規(guī)定的時(shí)間內(nèi)完成規(guī)定的功能的特性。衡量的角度有抗毀性、生存性和有效性。
5. 可用性：指網(wǎng)絡(luò)信息服務(wù)在需要時(shí)，可被授權(quán)用戶或?qū)嶓w訪問(wèn)并按需求使用的特性，或者是網(wǎng)絡(luò)部分受損或需要降級(jí)使用時(shí)，仍能為授權(quán)用戶提供有效服務(wù)的特性?？捎眯钥赏ㄟ^(guò)如下手段來(lái)保證：
   • 身份識(shí)別與確認(rèn)
   • 訪問(wèn)控制
   • 業(yè)務(wù)流控制
   • 路由選擇控制
   • 審計(jì)跟蹤
6. 不可否認(rèn)性（不可抵賴性）：即在網(wǎng)絡(luò)信息系統(tǒng)的信息交互過(guò)程中，確信參與者的真實(shí)同一性。所有參與者都不能否認(rèn)或抵賴曾經(jīng)完成的操作和承諾。
7. 可控性：指對(duì)網(wǎng)絡(luò)信息的傳播及內(nèi)容具有控制能力的特性。

0x01 網(wǎng)絡(luò)威脅的來(lái)源有哪些？是什么？

1. 協(xié)議本身的缺陷：比如網(wǎng)卡可以設(shè)置成混雜模式、socket跨層傳輸?shù)葐?wèn)題。

   1. 明文傳輸

   2. IP欺騙：IP地址沒(méi)有認(rèn)證

      1. 使被信任主機(jī)失去工作能力
      2. 然后連接到目標(biāo)機(jī)的某個(gè)端口來(lái)猜測(cè)ISN基值和增加規(guī)律
      3. 接下來(lái)把源址址偽裝成被信任主機(jī)，發(fā)送帶有SYN標(biāo)志的數(shù)據(jù)段請(qǐng)求連接
      4. 然后等待目標(biāo)機(jī)發(fā)送SYN+ACK包給已經(jīng)癱瘓的主機(jī)
      5. 最后再次偽裝成被信任主機(jī)向目標(biāo)機(jī)發(fā)送的ACK，此時(shí)發(fā)送的數(shù)據(jù)段帶有預(yù)測(cè)的目標(biāo)機(jī)的ISN+1
      6. 連接建立，發(fā)送命令請(qǐng)求

   3. 碎片攻擊:IP首部有兩個(gè)字節(jié)表示整個(gè)IP數(shù)據(jù)包的長(zhǎng)度，所以IP數(shù)據(jù)包最長(zhǎng)只能為0xFFFF，就是65535字節(jié)。如果有意發(fā)送總長(zhǎng)度超過(guò)65535 的IP碎片，一些老的系統(tǒng)內(nèi)核在處理的時(shí)候就會(huì)出現(xiàn)問(wèn)題，導(dǎo)致崩潰或者拒絕服務(wù)。另外，如果分片之間偏移量經(jīng)過(guò)精心構(gòu)造，一些系統(tǒng)就無(wú)法處理，導(dǎo)致死機(jī)。所以說(shuō)，漏洞的起因是出在重組算法上。這里有一篇blog寫(xiě)的很清楚， 碎片攻擊

   4. TCP濫用:SYN flood講的是黑客利用TCP協(xié)議發(fā)送大量的半連接請(qǐng)求去攻擊目標(biāo)服務(wù)器或者主機(jī)，致使目標(biāo)服務(wù)器發(fā)生拒絕服務(wù)，或者藍(lán)屏。

      維基百科:SYN flood

   5. DNS、FTP、TELNET等應(yīng)用協(xié)議的安全問(wèn)題

2. 惡意攻擊

   1. 緩沖區(qū)溢出攻擊
   2. DDoS
   3. 特洛伊木馬

3. 各種應(yīng)用軟件的漏洞

   1. SQL注入、IIS的漏洞等

接下來(lái)從TCP／I參考模型的不同層次總結(jié)下各種攻擊方法

1. 數(shù)據(jù)鏈路層攻擊技術(shù)
   1. MAC地址欺騙
      1. 直接修改網(wǎng)卡MAC地址：實(shí)現(xiàn)單機(jī)上網(wǎng)
      2. 利用MAC地址克?。和ㄟ^(guò)路由器的克隆MAC地址選項(xiàng)實(shí)現(xiàn)多機(jī)共享上網(wǎng)
   2. 電磁信息泄漏：指電子設(shè)備的雜散（寄生）電磁能量通過(guò)導(dǎo)線或空間向外擴(kuò)散。只有強(qiáng)度和信噪比滿足一定條件的信號(hào)才能夠被截獲和還原。因此，可以通過(guò)屏蔽、濾波、隔離、合理的接地與良好的搭接、選用低泄漏設(shè)備、合理的布局和使用干擾器等防護(hù)措施避免電磁信息泄漏。
   3. 網(wǎng)絡(luò)監(jiān)聽(tīng)
      1. 以太網(wǎng)的工作機(jī)制：HUB相連的網(wǎng)絡(luò)，通過(guò)設(shè)置網(wǎng)卡為“混雜模式”達(dá)到監(jiān)聽(tīng)的目的。
      2. Snoop監(jiān)聽(tīng)工具：可以截獲網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，并顯示其內(nèi)容，能方便的收集工作站的信息。
      3. Sniffit監(jiān)聽(tīng)工具：用戶可以選擇源、目標(biāo)地址或地址集合，以及監(jiān)聽(tīng)的端口、協(xié)議和網(wǎng)絡(luò)接口等。eg:sniffit -a -A . -p 23 -t 11.22.33.@
      4. Sniffer監(jiān)聽(tīng)工具：嗅探器，可以形象地理解為打入到敵人內(nèi)部的特工，源源不斷地將地方的情報(bào)送出來(lái)。有很多現(xiàn)成的運(yùn)行于不同平臺(tái)的嗅探工具，如：Linux tcpdump, The Gobbler, LanPatrol, LanWatch, Netmon, Netwatch, Netzhack等。Sniffer程序通常運(yùn)行在路由器或有路由器功能的主機(jī)上，以便監(jiān)控大量數(shù)據(jù)。
      5. 防止網(wǎng)絡(luò)監(jiān)聽(tīng)：
         1. 加密：TCP/IP協(xié)議并沒(méi)有加密的方法，都采用明文傳輸，因此，可以使用增強(qiáng)的TCP/IP協(xié)議，如IPv6協(xié)議中提供了內(nèi)置的IPSec可選報(bào)頭，可以以密文方式傳輸數(shù)據(jù)。對(duì)于IPv4為主的網(wǎng)絡(luò)，基本采用打補(bǔ)丁的方式，如使用SSH協(xié)議。
         2. 采用安全拓?fù)浣Y(jié)構(gòu)
2. 網(wǎng)絡(luò)層攻擊技術(shù)
   1. 網(wǎng)絡(luò)層掃描：典型的被動(dòng)攻擊方法
      1. ping
      2. tracert
      3. rusers、finger、host
   2. IP欺騙
      1. 信任關(guān)系：以IP為信任基礎(chǔ)
      2. IP欺騙的原理、目的
         1. 只想隱藏自身的IP地址或者偽造源IP和目的IP相同的不正常包而不關(guān)心是否能收到目標(biāo)主機(jī)的應(yīng)答。如IP包碎片攻擊、Land攻擊(Local Area Network Denial attack,源、目的IP相同)等
         2. 偽裝成被目標(biāo)主機(jī)信任的友好主機(jī)，并希望得到非授權(quán)的服務(wù)。此時(shí)需要使用正確的TCP序列號(hào)。
   3. 碎片攻擊：上文已經(jīng)提到過(guò)
   4. ICMP攻擊：
      1. IP地址掃描
      2. ping of death
      3. ping flooding 和 smurf：不停的ping，消耗目標(biāo)主機(jī)資源，現(xiàn)代很多主機(jī)設(shè)置了不回應(yīng)ping請(qǐng)求。smurf利用源地址是受害主機(jī)，目標(biāo)地址是反彈網(wǎng)絡(luò)的廣播地址，以達(dá)到用ICMP回應(yīng)應(yīng)答數(shù)據(jù)包淹沒(méi)受害主機(jī)的目的。
      4. ICMP重定向報(bào)文
      5. ICMP主機(jī)不可達(dá)和TTL超時(shí)報(bào)文
   5. 路由欺騙
      1. RIP路由欺騙
      2. IP路由欺騙
   6. ARP欺騙：當(dāng)攻擊者和目標(biāo)主機(jī)在同一局域網(wǎng)內(nèi)，攻擊者想要截獲和偵聽(tīng)目標(biāo)主機(jī)到網(wǎng)關(guān)之間的所有數(shù)據(jù)。如果由集線器HUB連接各個(gè)節(jié)點(diǎn)，只需要將網(wǎng)卡設(shè)置為混雜模式，就可用鏈路層的監(jiān)聽(tīng)獲得想要的信息。如果局域網(wǎng)采用交換機(jī)連接各個(gè)節(jié)點(diǎn)時(shí)，交換機(jī)會(huì)根據(jù)目標(biāo)MAC地址查找端口映射表，確定轉(zhuǎn)發(fā)的某個(gè)具體端口，而不是向所有端口廣播。此時(shí)，攻擊者首先試探交換機(jī)是否存在失敗保護(hù)模式（Fail-safe mode），當(dāng)網(wǎng)絡(luò)通信出現(xiàn)大量虛假M(fèi)AC地址時(shí)，某些類(lèi)型的交換機(jī)會(huì)出現(xiàn)過(guò)載情況，轉(zhuǎn)換到失敗保護(hù)模式，其工作方式和集線器HUB相同，可以使用“macof”工具完成這項(xiàng)攻擊。如果交換機(jī)不存在這種模式，就需要使用ARP欺騙技術(shù)來(lái)監(jiān)聽(tīng)了。 維基百科：ARP欺騙
3. 傳輸層攻擊技術(shù)
   1. 端口掃描
      1. TCP connect掃描：入侵者不需要任何權(quán)限、速度快（打開(kāi)多個(gè)套接字、使用非阻塞I/O、設(shè)置低連接時(shí)間），但容易被發(fā)覺(jué)并被過(guò)濾掉。
      2. TCP SYN掃描：半開(kāi)掃描，發(fā)送SYN數(shù)據(jù)包，如果收到SYN/ACK，說(shuō)明端口開(kāi)放，這時(shí)再發(fā)送一個(gè)RST來(lái)關(guān)閉連接；如果收到RST，說(shuō)明端口未處于偵聽(tīng)狀態(tài)。但是必須具有root權(quán)限才能建立自己的SYN數(shù)據(jù)包。
      3. TCP FIN掃描：FIN掃描的基本思想是通常關(guān)閉的端口會(huì)用RST來(lái)回復(fù)FIN數(shù)據(jù)包，而打開(kāi)的端口會(huì)忽略FIN數(shù)據(jù)包，不做回復(fù)。但并非所有系統(tǒng)都這樣做。
      4. Franmentation掃描：將將要發(fā)送的數(shù)據(jù)包大包成非常小的IP包，通過(guò)TCP包頭分成幾段，放入不同的IP包中，使得過(guò)濾程序難以過(guò)濾。
      5. UDP端口掃描：主機(jī)向未打開(kāi)的UDP端口發(fā)送數(shù)據(jù)包是，會(huì)返回ICMP_PORT_UNREACH錯(cuò)誤報(bào)文，從而判斷哪個(gè)端口時(shí)關(guān)閉的。但是這種掃描可靠性不高。
      6. 慢速掃描：放慢掃描速度來(lái)躲避檢查。
   2. TCP初始序號(hào)預(yù)測(cè)
      1. 64KB規(guī)則：當(dāng)主機(jī)啟動(dòng)后序列號(hào)初始化為1（由tcp_init確定），初始序列號(hào)ISN每秒增加128000，如果有連接出現(xiàn)，每次連接將把計(jì)數(shù)器的數(shù)值增加64000。用于表示ISN的32位計(jì)數(shù)器在沒(méi)有連接的惡情況下9.32小時(shí)復(fù)位一次。
      2. 與時(shí)間相關(guān)的生產(chǎn)規(guī)則
      3. 偽隨機(jī)數(shù)產(chǎn)生規(guī)則
      4. 第一、二種方法使得容易預(yù)測(cè)序列號(hào)，因?yàn)槠渑c時(shí)間相關(guān)、變化不大。
   3. SYN flooding：當(dāng)前最流行且最有效的DoS方式之一。攻擊主機(jī)需要保證偽造的數(shù)據(jù)包源IP地址是可路由、但不可達(dá)的主機(jī)地址。
   4. TCP欺騙：在IP地址欺騙和TCP初始序號(hào)預(yù)測(cè)的基礎(chǔ)上進(jìn)行，目的是偽裝成其他主機(jī)與受害者通信，獲取更多信息和利益。
      1. 非盲攻擊：攻擊者和被欺騙的目標(biāo)主機(jī)在同一個(gè)網(wǎng)絡(luò)上，攻擊者可以簡(jiǎn)單地使用嗅探器捕獲TCP報(bào)文段，從而獲得需要的序列號(hào)。
      2. 盲攻擊：不在同一個(gè)網(wǎng)絡(luò)上，比較難以實(shí)現(xiàn)，但可以通過(guò)路由欺騙技術(shù)把盲攻擊轉(zhuǎn)換成非盲攻擊。
4. 應(yīng)用層攻擊技術(shù)
   1. 緩沖區(qū)溢出：指當(dāng)計(jì)算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時(shí)超過(guò)了緩沖區(qū)本身的容量，溢出的數(shù)據(jù)覆蓋了其他程序或系統(tǒng)的合法數(shù)據(jù)。
   2. 口令攻擊
      1. 猜測(cè)簡(jiǎn)單口令
      2. 字典攻擊
      3. 強(qiáng)行攻擊：窮舉
   3. 電子郵件攻擊
      1. 電子郵件系統(tǒng)中的安全漏洞
      2. 電子郵件攻擊：欺騙、炸彈
   4. DNS欺騙
   5. SQL注入：動(dòng)態(tài)構(gòu)造了SQL語(yǔ)句，代碼與用戶的輸入結(jié)合，從而導(dǎo)致用戶執(zhí)行期望之外的命令。
5. 網(wǎng)絡(luò)病毒與木馬
   1. 病毒
      1. 危害：直接破環(huán)計(jì)算機(jī)數(shù)據(jù)信息、大量占用磁盤(pán)空間、運(yùn)行時(shí)搶占系統(tǒng)資源，影響計(jì)算機(jī)的運(yùn)行速度、計(jì)算機(jī)病毒的錯(cuò)誤導(dǎo)致不可預(yù)見(jiàn)的危害。
      2. 特征：人為的特制程序、具有自我復(fù)制能力、很強(qiáng)的感染性】一定的潛伏性、特定的觸發(fā)性、很大的破壞性。
   2. 網(wǎng)絡(luò)病毒：蠕蟲(chóng)
   3. 特洛伊木馬
6. 拒絕服務(wù)式攻擊
   1. 原理：耗盡系統(tǒng)資源使得受害主機(jī)無(wú)法處理新的請(qǐng)求導(dǎo)致拒絕服務(wù)。
   2. 分布式拒絕服務(wù)攻擊

0x02 防范

1. 身份認(rèn)證
   1. 口令認(rèn)證
      1. 靜態(tài)口令
      2. 動(dòng)態(tài)口令：手機(jī)令牌、短信密碼、硬件令牌
   2. IC卡認(rèn)證
   3. 基于生物特征的認(rèn)證
      1. 指紋識(shí)別
      2. 掌紋識(shí)別
      3. 視網(wǎng)膜識(shí)別
      4. 虹膜識(shí)別
      5. 人臉識(shí)別
      6. 語(yǔ)音識(shí)別
      7. 擊鍵識(shí)別
      8. 筆跡識(shí)別
      9. DNA識(shí)別
   4. 網(wǎng)絡(luò)身份認(rèn)證
      1. 對(duì)稱密碼：也稱私鑰密碼，常見(jiàn)的有DES、IDEA、3DES、AES
      2. 非對(duì)稱密碼：也稱公共密鑰密碼，常見(jiàn)的有RSA、EGamal、DSS、DiffieHellman
   5. 單點(diǎn)登錄：實(shí)質(zhì)就是安全上下文或憑證在多個(gè)應(yīng)用系統(tǒng)之間的傳遞或共享。
      1. 基于經(jīng)紀(jì)人（Broker-based）的SSO模型
      2. 基于代理（Agent-based）的SSO模型
      3. 基于網(wǎng)關(guān)（Gateway-based）的SSO模型
      4. 基于令牌（Token-based）的SSO模型
2. 訪問(wèn)控制：防止非法用戶進(jìn)入系統(tǒng)和合法用戶對(duì)系統(tǒng)資源的非法使用。
   1. 自主訪問(wèn)控制（Discretionary Access Control，DAC）：基于對(duì)主體（用戶，進(jìn)程）的識(shí)別來(lái)限制對(duì)客體（文件，數(shù)據(jù)）的訪問(wèn)，而且是自主的。所謂自主是指具有授予某種訪問(wèn)權(quán)限的主題能夠自主地將訪問(wèn)權(quán)限或其子集授予其他主體，因此，DAC又稱基于主體的訪問(wèn)控制。
      1. 缺點(diǎn)：訪問(wèn)控制資源比較分散、用戶關(guān)系不易管理、訪問(wèn)授權(quán)是可傳遞的、在大型系統(tǒng)中，主體、客體的數(shù)量龐大，造成系統(tǒng)開(kāi)銷(xiāo)巨大。
      2. 應(yīng)用：Windows Server、UNIX系統(tǒng)、防火墻（ACL）等
   2. 強(qiáng)制訪問(wèn)控制（Mandatory Access Control，MAC）：所有主體和客體都被分配了安全標(biāo)簽，安全標(biāo)簽標(biāo)識(shí)一個(gè)安全等級(jí)，通過(guò)比較主體和客體的安全級(jí)別來(lái)決定是否允許主體訪問(wèn)客體。其兩個(gè)關(guān)鍵原則是不向上讀和不向下寫(xiě)，即信息流只能從低安全級(jí)向高安全級(jí)流動(dòng)。
      1. 缺點(diǎn)：對(duì)用戶惡意泄漏信息無(wú)能為力、基于MAC的應(yīng)用領(lǐng)域比較窄、完整性方面控制不夠、過(guò)于強(qiáng)調(diào)保密性，對(duì)系統(tǒng)的授權(quán)管理不便，u夠靈活。
      2. 應(yīng)用：軍方系統(tǒng)
   3. 基于角色的訪問(wèn)控制（Role-based Access Control）：在用戶和訪問(wèn)許可權(quán)之間引入角色（Role）的概念，用戶與特定的一個(gè)或多個(gè)角色相聯(lián)系，角色與一個(gè)或多個(gè)訪問(wèn)許可權(quán)相聯(lián)系。
      1. 核心RBAC的基本元素集合有五類(lèi)：用戶集、角色集、客體集、操作集、許可集。基本關(guān)系有：用戶指派（UA）和許可指派（PA）。
      2. 應(yīng)用：操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、公鑰基礎(chǔ)設(shè)施（PKI）、工作流管理系統(tǒng)、Web服務(wù)等
   4. 使用控制模型（UCON）：可變屬性（Mutable Attribute，MA）的引入是UCON模型與其他模型的最大差別，可變屬性會(huì)根據(jù)訪問(wèn)對(duì)象的結(jié)果而改變，而不可變屬性僅能通過(guò)管理行為改變。UCON不僅包含了DAC、MAC、RBAC，還包含了數(shù)字版權(quán)管理（DRM）、信任管理等，被稱作下一代訪問(wèn)控制模型。
      1. 三個(gè)基本元素：主體、客體、權(quán)限
      2. 三個(gè)與授權(quán)有關(guān)的元素：授權(quán)規(guī)則、條件、義務(wù)
3. Firewall：防火墻是設(shè)置在用戶網(wǎng)絡(luò)和外界之間的一道屏障，防止不可預(yù)料的、潛在的破壞侵入用戶網(wǎng)絡(luò)?；竟δ苡羞^(guò)濾、管理、日志、告警。
   1. 集中式防火墻：一般位于網(wǎng)絡(luò)的邊界。
      1. 優(yōu)點(diǎn)：
         • 允許網(wǎng)絡(luò)管理員定義一個(gè)中心“遏制點(diǎn)”來(lái)防治非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)。
         • 保護(hù)網(wǎng)絡(luò)中脆弱的服務(wù)
         • 通過(guò)防火墻，用戶可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報(bào)警信息
         • 集中安全性
         • 增強(qiáng)隱私性
         • 防火墻是審計(jì)和記錄網(wǎng)絡(luò)流量的最佳地方
      2. 缺點(diǎn)：
         • 限制有用的網(wǎng)絡(luò)服務(wù)
         • 不能有效防護(hù)內(nèi)部網(wǎng)絡(luò)用戶的攻擊
         • 對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)依賴大
         • 防火墻不能完全阻止傳送已感染病毒的軟件或文件
         • 防火墻無(wú)法防范數(shù)據(jù)驅(qū)動(dòng)型的攻擊
         • 不能防備新的網(wǎng)絡(luò)安全問(wèn)題
         • 不能解決信息保密性問(wèn)題
      3. 體系結(jié)構(gòu)
         1. 包過(guò)濾防火墻
         2. 雙宿網(wǎng)關(guān)防火墻：擁有兩個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻
            1. 用戶直接登錄到雙重宿主主機(jī)上來(lái)提供服務(wù)
            2. 一般采用代理方式提供服務(wù)，采用代理服務(wù)的雙宿主機(jī)稱為代理服務(wù)器
               1. 應(yīng)用層代理
               2. 傳輸層代理
               3. SOCKS代理：MS Proxy、NS Proxy、WinGate等流行的代理服務(wù)器產(chǎn)品
         3. 屏蔽子網(wǎng)防火墻：對(duì)代理服務(wù)器的改進(jìn)，在內(nèi)網(wǎng)和外網(wǎng)之間建立一個(gè)子網(wǎng)以進(jìn)行隔離。這個(gè)子網(wǎng)區(qū)域稱為邊界網(wǎng)絡(luò)（Perimeter Network）、非軍事區(qū)（De-Militarized Zone）。
            1. 內(nèi)部路由器主要功能：
               • 負(fù)責(zé)管理DMZ到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)
               • 僅接收來(lái)自堡壘主機(jī)的數(shù)據(jù)包
               • 完成防火墻的大部分過(guò)濾工作
            2. 外部路由器主要功能：
               • 防范通常的外部攻擊
               • 管理Internet到DMZ的訪問(wèn)
               • 只允許外部系統(tǒng)訪問(wèn)堡壘主機(jī)
            3. 堡壘主機(jī)
               • 進(jìn)行安全防護(hù)
               • 運(yùn)行各種代理服務(wù)，如WWW、FTP、Telnet等
   2. 分布式防火墻：每個(gè)桌面計(jì)算機(jī)都通過(guò)安全策略機(jī)制進(jìn)行控制，這些安全策略來(lái)自于策略服務(wù)器，系統(tǒng)管理員設(shè)置統(tǒng)一的安全管理策略，由各桌面計(jì)算機(jī)的通信模塊進(jìn)行自動(dòng)下載并更新本地策略。這里的分布式防火墻與個(gè)人防火墻不同，個(gè)人防火墻多為安裝在主機(jī)上的軟件防火墻，以及今年出現(xiàn)的主機(jī)版上整合的硬件防火墻，雖然也是由各主機(jī)實(shí)施策略，但是其策略是由主機(jī)用戶自行定義，缺乏集中統(tǒng)一的管理。
      1. 存在防火墻和操作系統(tǒng)的功能悖論，即純保護(hù)誰(shuí)的問(wèn)題。
   3. 嵌入式防火墻：硬件實(shí)現(xiàn)分布式防火墻的策略的執(zhí)行模塊。
4. VPN：指在用戶計(jì)算機(jī)和VPN服務(wù)器之間點(diǎn)到點(diǎn)的連接，由于數(shù)據(jù)通過(guò)一條仿真專線傳輸，用戶感覺(jué)不到公共網(wǎng)絡(luò)的實(shí)際存在，卻能夠像在專線上一樣處理內(nèi)部信息。
   1. VPN的功能：數(shù)據(jù)封裝、認(rèn)證、數(shù)據(jù)完整性和合法性認(rèn)證、數(shù)據(jù)加密
   2. 數(shù)據(jù)鏈路層VPN---L2TP(Layer 2 Tunneling Protocol)/PPTP(Point-to-Point Tunneling Protocol)：IPSec出現(xiàn)前最主要的VPN類(lèi)型，通常用于支持撥號(hào)用戶遠(yuǎn)程接入企業(yè)或機(jī)構(gòu)的內(nèi)部VPN服務(wù)器。
      1. 優(yōu)點(diǎn)：簡(jiǎn)單易行
         1. PPTP/L2TP對(duì)使用微軟操作系統(tǒng)的用戶來(lái)說(shuō)很方便，因?yàn)槲④浺寻阉鳛槁酚绍浖囊徊糠?/li>
         2. 位于數(shù)據(jù)鏈路層，包括IPv4在內(nèi)多種網(wǎng)絡(luò)協(xié)議都可以采用它們作為鏈路協(xié)議，支持流量控制
         3. 通過(guò)減少丟包來(lái)減少重傳，改善網(wǎng)絡(luò)性能
      2. 缺點(diǎn)：安全程度差
         1. 對(duì)PPP協(xié)議本身沒(méi)做修改，只是將用戶的PPP幀基于GRE封裝成IP報(bào)文
         2. 不對(duì)兩個(gè)節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視或控制
         3. 限制同時(shí)最多只能連接255個(gè)用戶，可擴(kuò)展性不強(qiáng)，不適合于向IPv6的轉(zhuǎn)移
         4. 端用戶需要在連接前手工建立加密信道
         5. 沒(méi)有提供內(nèi)在的安全機(jī)制，認(rèn)證和加密受到限制，沒(méi)有強(qiáng)加密和認(rèn)證支持
         6. 不支持企業(yè)與外部客戶及供應(yīng)商之間會(huì)話的保密性需求，不支持外聯(lián)網(wǎng)VPN
   3. 網(wǎng)絡(luò)層VPN---IPSec:一個(gè)范圍廣泛、開(kāi)放的虛擬專用網(wǎng)安全協(xié)議，是第三層VPN標(biāo)準(zhǔn)
      1. 傳輸模式：適合點(diǎn)到點(diǎn)的連接，即主機(jī)與主機(jī)之間的VPN可以用傳輸模式，其數(shù)據(jù)分組中原始IP報(bào)頭不動(dòng)，在后面插入AH認(rèn)證頭或ESP的頭部和尾部，僅對(duì)數(shù)據(jù)凈荷進(jìn)行認(rèn)證或加密。
      2. 隧道模式：適用于VPN安全網(wǎng)關(guān)之間的連接，即用于路由器、防火墻、VPN集中器等網(wǎng)絡(luò)設(shè)備之間，發(fā)送端的VPN安全網(wǎng)關(guān)對(duì)原始IP報(bào)文整體加密，再在前面加入一個(gè)新的IP包頭，用新的IP地址（接收端VPN地址）將數(shù)據(jù)分組路由到接收端。
   4. 傳輸層VPN—SSL：SSL VPN指采用SSL協(xié)議來(lái)實(shí)現(xiàn)遠(yuǎn)程接入的VPN技術(shù)
      1. 優(yōu)點(diǎn)：簡(jiǎn)單、安全、可擴(kuò)展、訪問(wèn)控制、成本低
      2. 不足：必須依靠Internet進(jìn)行訪問(wèn)、依賴反代理技術(shù)訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)，對(duì)復(fù)雜Web技術(shù)提供的支持有限、通常只基于Web瀏覽器工作、只對(duì)通信雙方的某個(gè)應(yīng)用加密而非所有通信加密
   5. 會(huì)話層VPN—SOCKS
5. IDS(Intrusion Detection System)／IPS(Intrusion Protection System)
   1. NIDS、HIDS
   2. 異常檢測(cè)、誤用檢測(cè)
   3. 誤報(bào)率、漏報(bào)率