学习推荐

 华为培训与认证官方网站
 http://learning.huawei.com/cn/

 华为在线学习
 https://ilearningx.huawei.com/portal/#/portal/ebg/26

 华为职业认证
 http://support.huawei.com/learning/NavigationAction!createNavi?navId=_31&l
ang=zh

 查找培训入口
 http://support.huawei.com/learning/NavigationAction!createNavi?navId=_traini
ngsearch&lang=zh

更多信息
 华为培训APP

版权所有© 2018 华为技术有限公司

 华为认证 Security 系列教程

HCIA-Security
华为认证网络安全工程师
版本:3.0

华为技术有限公司

1
版权所有 © 华为技术有限公司 2018。 保留一切权利。
非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传
播。

商标声明

和其他华为商标均为华为技术有限公司的商标。
本文档提及的其他所有商标或注册商标，由各自的所有人拥有。

注意
您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务
或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示
的声明或保证。
由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本
文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。

华为技术有限公司
地址： 深圳市龙岗区坂田华为总部办公楼 邮编：518129

网址： http://e.huawei.com

华为专有和保密信息
版权所有 © 华为技术有限公司
 [在此处键入]

华为认证体系介绍
华为认证基于“云-管-端”协同的新ICT基础架构，针对基础架构技术人员、开发者、行业
用户，分别提供ICT架构认证、ICT开发者认证和行业ICT认证三大类认证的认证体系。根据
ICT从业者的学习和进阶需求，华为认证分为工程师级别、资深工程师级别和专家级别三个
认证等级。
信息安全作为当今各行各业运营过程中最为重视的环节之一，国家也颁发了《中国网络
安全法》予以支撑。作为ICT新型人才，不仅需要熟悉网络安全设备的基本配置，了解网络
威胁基本类型，还需要对信息安全基础理论、法律规范、企业安全运营流程有基础认知。
HCIA-Security（Huawei Certified ICT Associate-Security ，华为认证网络通信工程师安全
方向）主要面向华为公司办事处、代表处一线工程师，以及其他希望学习华为安全产品和信
息安全的技术人士。HCIA-Security认证在内容上涵盖信息安全概述、信息安全标准与规范简
介、常见安全威胁、操作系统安全简介、数据监控与分析、电子取证技术简介、应急响应等
信息安全内容，同时对网络安全技术，包括：防火墙介绍、用户管理技术、入侵防御简介、
加解密技术等做了详细讲解。
华为认证协助您打开行业之窗，开启改变之门，屹立在安全网络世界的潮头浪尖！
[在此处键入]
 一般意义上，信息可以理解为消息、信号、数据、情报或知识。它可以以多种形式存在，
可以是信息设施中存储与处理的数据、程序；可以是打印或书写出来的论文、电子邮件、
设计图纸、业务方案；也可以是显示在胶片等载体或表达在会话中的消息。
 信息安全的目的是让信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或
者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。
 在照片泄密的案例中，我们忽略了照片中的信息可能会被人为利用，限制照片的传播范
围或对获取照片的用户进行限制就能够保护信息不被泄露。
 保密性：Confidentiality

 确保信息只能由那些被授权使用的人获取

 完整性：Integrity

 保护信息及其处理方法的准确性和完整性

 可用性：Availability

 确保被授权使用人在需要时可以获取信息和使用相关的资产

 可控性： Controllability

 对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统

 不可否认性：Non-Repudiation

 防止信息源用户对他发送的信息事后不承认，或者用户接收到信息之后不认帐

 信息安全涉及到信息的保密性（Confidentiality）、完整性（Integrity）、可用性
（Availability）、可控性（Controllability）和不可否认性（Non-Repudiation）。综合起来
说,就是要保障电子信息的有效性。保密性就是对抗对手的被动攻击,保证信息不泄漏给
未经授权的人。完整性就是对抗对手主动攻击,防止信息被未经授权的人篡改。可用性就
是保证信息及信息系统确实为授权使用者所用。可控性就是对信息及信息系统实施安全
监控。
 WannaCry勒索病毒利用Windows操作系统445端口存在的漏洞进行传播，并具有自我复
制、主动传播的特性，中国部分Windows操作系统用户遭受感染，校园网用户首当其冲，
受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应用系统和数据库
文件被加密后，无法正常工作，影响巨大。
 海莲花组织中主要使用的攻击手段包括两种：

 鱼叉攻击：将木马程序作为电子邮件的附件，并起上一个极具诱惑力的名称，例
如公务员收入改革方案，某暴力事件最新通报等，发送给目标电脑，诱使受害者
打开附件，从而感染木马。

 水坑攻击：黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的
弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就会“中
招”。例如在员工经常访问的公司内网web服务器上，将公司内部共享资料替换
成木马程序，所有按要求下载资料的人都会被植入木马程序，向黑客发送涉密资
料。
 信息系统复杂性：在信息系统的设计和工作过程中可能会因为自身漏洞和缺陷导致被攻
击，主要包括以下三类问题：

 过程复杂：从设计的角度看，在设计时考虑的优先级中安全性相对于易用性、执
行程度等因素被放在次要的位置，由于人性的弱点和设计方法学的不完善，信息
系统总会存在漏洞。

 结构复杂：信息系统可能会多种终端和数据服务，在一个网络中可能存在多种终
端，如员工终端，远程用户，移动终端，路由设备，服务器等等，同时在一个网
络也可能存在多种类型的数据，如业务数据，管理数据，语音数据等等，在管理
网络安全的时候必须要考虑所有终端和数据类型。

 应用复杂：在设计网络拓扑时优先考虑网络冗余和网络稳定性，可能会加入冗余
链路和备份设备，网络的应用复杂也使得安全问题无法快速定位和解决。

 人为和环境：主要包括环境威胁和人为破坏。
 信息安全的分类从大的层面上定义了数据的保密性，完整性，可用性，可控性和不可抵
赖性。针对于网络安全的层面，考虑的需求分类不一样，还包括一些具体层次的要求，
比如物理的安全性，身份鉴别，审计与检测等的要求。

 C4I系统是指指挥、控制、通讯、电脑和情报的集成，多被应用在军事领域。
 信息存储安全包括针对于服务器磁盘的保护，存储信息加密防盗等。
 在总部和下属机构之间传输企业业务信息时可能会被攻击者窃取，攻击者窃取信息后篡
改成错误消息发送出去。
 在远程用户访问公司内部网络资源时，出现非法用户仿冒合法用户。
 安全区域：在网络系统中往往存在不同安全级别的区域，例如高安全级别的服务器区和
低安全级别的办公区域，我们需要将不同安全级别的设备放入相应区域，并将不信任域
和安全域隔离开。
 理解并重视管理对于信息安全的关键作用，对于真正实现信息的安全目标来说尤其重要。
 参考答案：

 B。
 参考答案：

 B。
 国际上信息安全标准化工作兴起于20世纪70年代中期，80年代有了较快的发展，90年
代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技
术规则。

 国际标准化组织（International Organization for Standardization，ISO）简称ISO，是一个

全球性的非政府组织，是国际标准化领域中一个十分重要的组织。ISO负责目前绝大部
分领域（包括军工、石油、船舶等垄断行业）的标准化活动。

 IEC是世界上成立最早的国际性电工标准化机构，负责有关电气工程和电子工程领域中
的国际标准化工作。

 ITU国际电联是主管信息通信技术事务的联合国机构，负责分配和管理全球无线电频谱
与卫星轨道资源，制定全球电信标准，向发展中国家提供电信援助，促进全球电信发展。

 IETF是一个公开性质的大型民间国际团体，汇集了与互联网架构和互联网顺利运作相关
的网络设计者、运营者、投资人和研究人员。
 Plan：信息安全管理体系的策划与准备。根据组织的整体方针和目标，建立安全策略、
目标以及与管理风险和改进信息安全相关的过程和程序，以获得结果。

 Do：信息安全管理体系文件的编制。实施和运行安全策略、控制、过程和程序。

 Check：信息安全管理体系运行。适用时，根据安全策略、目标和惯有经验评估和测量
过程业绩，向管理层报告结果，进行评审。

 Action：信息安全管理体系审核、评审和持续改进。根据内部ISMS 审核和管理评审或其
他信息，采取纠正和预防措施，以实现ISMS 的持续改进。
 目前正在适用的ISO/IEC 27001及ISO/IEC 27002均为2013发布的版本。
 ISMS是信息安全管理体系，任何公司都可以实施这个体系，但是怎么实施呢？要达到哪
些要求呢？ISO27000就给出了详细的要求或标准。组织可以依据ISO27001的详细标准
或要求去建立ISMS体系。

 ISO27001 的理念是基于风险评估的信息安全风险管理，采用PDCA过程方法，全面、系
统、持续地改进组织的信息安全管理。可用于组织的信息安全管理体系建立和实施，保
障组织的信息安全。

 ISO 27001是一个总的指导思想，依据是“PDCA”（PLAN、DO、CHECK、ACTION）的
“戴明环”管理思想，是一个整体的信息安全管理框架，强调的是建立一个持续循环的
长效管理机制；而ISO 27002就是具体的信息安全管理流程，是在ISO 27001整体框架指
导下具体的信息安全细节。只有ISO/IEC 27001是可以被认证的，其余的标准都是为这个
认证所服务的具体条款和操作指导。
 ISO27001认证过程中主要的检查点有：

 文件审核：

 风险评估报告

 安全方针

 SOA

 其他ISMS文档

 正式审核：

 记录检查： 如帐号和权限授权记录、培训记录、业务连续性演练记录、 访问控制

记录、介质使用记录

 信息资产识别、资产标识和处理及风险评估处理表检查

 终端安全检查：屏保、锁屏、防病毒软件安装及升级状况等

 物理环境勘查：机房、办公环境的现场观察及询问
 信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信
息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的
信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置。
 等级保护的法律责任：

 如果相关企业部门没有开展等级保护测评，将被按照相关规定进行不同程度的整
改。如果其行为违反了6月份正式实施的《中华人民共和国网络安全法》等相关规
定，将被依据相关法律法规进行处罚。根据网络安全法第二十一条规定：国家实
行网络安全等级保护制度。第五十九条 网络运营者不履行本法第二十一条、第二
十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不
改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负
责的主管人员处五千元以上五万元以下罚款。
 等保发展时间轴：

 中华人民共和国计算机信息系统安全保护条例 (1994年2月18日中华人民共和国国
务院令147号发布)

 2003年9月中办国办颁发《关于加强信息安全保障工作的意见》（中办发[2003]27
号）

 2004年11月四部委会签《关于信息安全等级保护工作的实施意见》（公通字
[2004]66号）

 2005年9月国信办文件《 关于转发《电子政务信息安全等级保护实施指南》的通
知 》（国信办[2004]25号）

 2006年1月四部委会签《 关于印发《信息安全等级保护管理办法的通知 》（公通

字[2006]7号）

 2007年6月公安部、保密局、国密局、国信办联合印发《信息安全等级保护管理
办法》（公通字［2007］43号 ）

 2008年发布GB/T 22239—2008 《信息系统安全等级保护基本要求》、GB/T

22240—2008 《信息系统安全等级保护定级指南》

 2009年公安部发文《关于开展信息系统等级保护安全建设整改工作的指导意见》
（公信安[2009]1429号）

 2010年3月公安部发文《关于推动信息安全等级保护测评体系建设和开展等级测
评工作的通知》（公信安[303]号）
 第一级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不
损害国家安全、社会秩序和公共利益。

 第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，
或者对社会秩序和公共利益造成损害，但不损害国家安全。

 第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安
全造成损害。

 第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国
家安全造成严重损害。

 第五级：信息系统受到破坏后，会对国家安全造成特别严重损害。
 关于塞班斯法案的立法，源于2001年12月美国最大的能源公司之一安然公司的证券丑闻。
当时媒体评价“彻底打击了投资者对资本市场的信心”。美国国会和政府则加速通过了
该法案以图改变这一局面。“遵守证券法律以提高公司披露的准确性和可靠性，从而保
护投资者及其他目的!”则是该法案的第一句话。

 SOX的主要内容包含：

 成立独立的公众公司会计监察委员会(PCAOB)，监管执行公众公司审计职业

 加强注册会计师的独立性

 加大公司的财务报告责任

 强化财务信息披露

 加重对违法行为的处罚力度

 SOX对公司治理上也有一定的影响：

 董事会成员的责任。董事会成员和审计委员会有进行自我评估和接受后续教育的
责任。

 职业操守和公司守法。法案要求公司对员工的职业道德作出书面规定；要求审计
委员会建立内部举报激励机制。

 透明度和信息披露。美国证券管理委员会建议成立信息披露委员会；强化内部审
计部门的职责。

 风险管理和控制。建立内部控制制度与流程。
 参考答案：

 AB。

 PDCA（Plan, Do, Check, Action）。

 在大、中型网络中，通常通过模块化方式将网络功能结构进行分解。但是在各个模块内
部，还是存在结构的扩展和弹性问题。譬如一个园区网络需要接入大量用户等，这个问
题一般通过网络的层次化来解决。

 传统的网络采用三个层次，核心、汇聚、接入各司其职，核心层提供数据高速通路，汇
聚层进行流量汇聚和控制策略，接入层为终端提供多种接入方式。
 OSI:Open System Interconnect Reference Model, 开放式系统互联参考模型。

 OSI模型的设计目的是成为一个开放网络互联模型，来克服使用众多网络模型所带
来的互联困难和低效性。

 OSI参考模型很快成为计算机网络通信的基础模型。在设计时遵循了以下原则：

 各个层之间有清晰的边界，便于理解；

 每个层实现特定的功能，且相互不影响；

 每个层是服务者又是被服务者，即为上一层服务，又被下一层服务；

 层次的划分有利于国际标准协议的制定；

 层次的数目应该足够多，以避免各个层功能重复。

 OSI参考模型具有以下优点：

 简化了相关的网络操作；

 提供即插即用的兼容性和不同厂商之间的标准接口；

 使各个厂商能够设计出互操作的网络设备，加快数据通信网络发展；

 防止一个区域网络的变化影响另一个区域的网络，因此，每一个区域的网络都能
单独快速升级；

 把复杂的网络问题分解为小的简单问题，易于学习和操作。
 OSI七层模型中，给每一个对等层数据起一个统一的名字为：协议数据单元（PDU，
Protocol Data Unit）。相应地，应用层数据称为应用层协议数据单元（APDU，
Application Protocol Data Unit），表示层数据称为表示层协议数据单元（PPDU，
Presentation Protocol Data Unit），会话层数据称为会话层协议数据单元（SPDU，
Session Protocol Data Unit）。通常，我们把传输层数据称为段（Segment），网络层数
据称为数据包（Packet），数据链路层称为帧（Frame），物理层数据称为比特流
（Bit）。

 封装（Encapsulation）是指网络节点（Node）将要传送的数据用特定的协议头打包，来
传送数据，同样在某些层进行数据处理时，也会在数据尾部加上报文，这时候也称为封
装。OSI七层模型的每一层都对数据进行封装，以保证数据能够正确无误的到达目的地，
被终端主机接受、执行。
 物理层涉及到在通信信道（channel）上传输的原始比特流，是OSI参考模型的基础，它
实现传输数据所需要的机械、电气功能特性。它不关心每一bit流（0,1）所代表的含义
（ 如代表地址还是应用数据），只关注如何把bit流通过不同物理链路传输至对端。典
型的像中继器、集线器（hub）就属于物理层设备。

 链路层主要任务是提供对物理层的控制，检测并纠正可能出现的错误，使之对网络层显
现一条无错线路，并且进行流量调控。

 网络层检查网络拓扑，以决定传输报文的最佳路由，转发数据包。其关键问题是确定数
据包从源端到目的端如何选择路由。网络层设备通过运行路由协议（Routing Protocol）
来计算到目的地的最佳路由，找到数据包应该转发的下一个网络设备，然后利用网络层
协议封装数据包，利用下层提供的服务把数据发送到下一个网络设备。

 传输层位于OSI参考模型第四层，最终目标是向用户（一般指应用层的进程），提供有
效、可靠的服务。

 在会话层及以上的高层次中，数据传送的单位不再另外命名，统称为报文。会话层不参
与具体的传输，它提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。
如服务器验证用户登录便是由会话层完成的。

 表示层主要解决用户信息的语法表示问题。它将欲交换的数据从适合于某一用户的抽象
语法，转换为适合于OSI系统内部使用的传送语法。即提供格式化的表示和转换数据服
务。数据的压缩和解压缩，加密和解密等工作都由表示层负责。

 应用层为操作系统或网络应用程序提供访问网络服务的接口。
 TCP/IP（Transfer Control Protocol/Internet Protocol，传输控制协议/网际协议）模型的开
放性和易用性，以致在实践中得到了广泛应用，从而使TCP/IP协议栈事实上的标准协议。

 TCP/IP模型与OSI参考模型的不同点在于TCP/IP把表示层和会话层都归入应用层，所以
TCP/IP模型从下至上分为四层：网络接口层，网络层，传输层和应用层。在有些文献中
也划分成五层，即把物理层也单独列出。
 TCP/IP协议每一层都有对应的相关协议，且均为达成某一网络应用而产生，对于某些协
议在分层上还不能严格对其定义。比如ICMP、IGMP、ARP、RARP协议我们把他们放在
与网络层IP协议同一层。但在某些场合我们可能会把ICMP、IGMP放在IP协议的上层，而
把ARP、RARP放在IP协议的下层。

 应用层

 HTTP（超文本传输协议）：用来访问在WWW服务器上的各种页面。

 FTP（文件传输协议）：为文件传输提供了途径，它允许数据从一台主机传送到另
一台主机上。

 DNS（域名服务系统）：用于实现从主机域名到IP地址之间的转换。

 传输层

 TCP （传输控制协议） ：为应用程序提供可靠的面向连接的通信服务，适用于要

求得到响应的应用程序。目前，许多流行的应用程序都使用TCP。

 UDP（用户数据报协议）：提供了无连接通信，且不对传送数据包进行可靠的保
证。适合于一次传输小量数据，可靠性则由应用层来负责。

 网络层

 IP（互联网协议）：IP协议和路由协议协同工作, 寻找能够将数据包传送到目的端
的最优路径。IP协议不关心数据报文的内容，提供无连接的、不可靠的服务。

 ARP（地址解析协议）：把已知的IP地址解析为MAC地址。
  ARP（地址解析协议）：把已知的IP地址解析为MAC地址。

 RARP（反向地址解析协议）：用于数据链路层地址已知时，解析IP地址。

 ICMP（网际控制消息协议）：定义了网络层控制和传递消息的功能。

 IGMP（网际组管理协议）：用于组播组成员管理。

 数据链路层

 数据链路层分为两个子层：逻辑链路控制子层（LLC, Logic Link Control Sublayer），

介质访问控制子层（MAC, Media Access Control Sublayer）。
 发送方将用户数据提交给应用程序把数据送达目的地，整个数据封装流程如下：
 用户数据首先传送至应用层，添加应用层信息；
 完成应用层处理后，数据将往下层传输层继续传送，添加传输层信息（如TCP或
UDP，应用层协议已规定是TCP还是UDP）；
 完成传输层处理后，数据将往下层网络层继续传送，添加网络层信息（如IP）。
 完成网络层处理后，数据将往下层数据链接层继续传送，添加数据链层信息（如
Ethernet、802.3、PPP、HDLC等），而后以比特流方式传输至对端（中间根据不同类型
设备处理方式不同，交换机一般只进行数据链路层信息处理，而路由器进行更高层网络
层处理，只有到达最终目的地才能恢复原用户数据）；
 用户数据到达目的地后，将完成解封装流程：
 数据包先传送至数据链路层，经过解析后数据链路层信息被剥离，并根据解析信
息知道网络层信息，比如为IP；
 网络层接收数据包后，经过解析后网络层信息被剥离，并根据解析信息知道上层
处理协议，比如TCP；
 传输层(TCP)接收数据包后，经过解析后传输层信息被剥离，并根据解析信息知道
上层处理协议，比如HTTP；
 应用层接收到数据包后，经过解析后应用层信息被剥离，最终展示的用户数据与
发送方主机发送的数据完全相同。
 应用层和传输层提供端到端服务，网络层和数据链路层提供段到段服务。
 五元组构成：源IP地址、目的IP地址、协议、源端口、目的端口。其中协议信息，如TCP
为6，UDP为17。

 目的端口：一般知名的应用服务均会有标准的端口，比如HTTP、FTP、Telnet等，
其中有些应用因非流行等原因，其端口一般由开发厂商自行定义，但要保证在同
一台服务器注册的服务端口是唯一的。

 源端口：一般都采用1024及以上端口进行递增分配，但某些操作系统可能会使用
更高的端口号做为其初始端口进行递增分配。因源端口不可预知性，所以在ACL策
略中比较少涉及。

 五元组是一个概念，任何应用服务器要想对外提供业务服务，均需在服务启动期间在
TCP/UDP上进行端口注册，以便响应业务服务请求。通过五元组，应用服务器可响应任
何并发服务请求，且能保证每一链接在本系统内是唯一的。
 ARP：用于报文转发到同一网段的主机或网关时，已知目的地址，获取目的地址对应的
MAC地址，同一网段内使用MAC地址进行通信。

 ICMP：ICMP一般用于测试网络的连通性，典型应用为Ping和Tracert。

 路由协议：用于网络中不同网段之间用户相互通信。

 SNMP：是一种网络设备管理协议。

 NetStream：是一种信息采样统计协议，通常与其他设备进行联动使用，如Anti-DDoS。
 通过ARP协议，网络设备可以建立目标IP地址和MAC地址之间的映射。网络设备通过网
络层获取到目的IP地址之后，还要判断目的MAC地址是否已知。
 本例中，主机A的ARP缓存表中不存在主机C的MAC地址，所以主机A会发送ARP Request
来获取目的MAC地址。ARP Request报文封装在以太帧里。帧头中的源MAC地址为发送
端主机A的MAC地址。此时，由于主机A不知道主机C的MAC地址，所以目的MAC地址为
广播地址FF-FF-FF-FF-FF-FF。ARP Request报文中包含源IP地址、目的IP地址、源MAC地址、
目的MAC地址，其中目的MAC地址的值为0。ARP Request报文会在整个网络上传播，该
网络中所有主机包括网关都会接收到此ARP Request报文。网关将会阻止该报文发送到其
他网络上。
 所有的主机接收到该ARP Request报文后，都会检查它的目的协议地址字段与自身的IP地
址是否匹配。如果不匹配，则该主机将不会响应该ARP Request报文。如果匹配，则该主
机会将ARP报文中的源MAC地址和源IP地址信息记录到自己的ARP缓存表中，然后通过
ARP Reply报文进行响应。
 主机C会向主机A回应ARP Reply报文。ARP Reply报文中的源协议地址是主机C自己的IP地
址，目标协议地址是主机A的IP地址，目的MAC地址是主机A的MAC地址，源MAC地址
是自己的MAC地址，同时Operation Code被设置为Reply。ARP Reply报文通过单播传送。
由于ARP协议不存在安全保护措施，不能验证对方身份，恶意用户有可能利用这一特性
对用户发起MAC欺骗等攻击，详情请参考后续章节。
 主机被分配了IP地址或者IP地址发生变更后，必须立刻检测其所分配的IP地址在网络上是
否是唯一的，以避免地址冲突。主机通过发送ARP Request报文来进行地址冲突检测。

 主机A将ARP Request广播报文中的目的IP地址字段设置为自己的IP地址，且该网络中所
有主机包括网关都会接收到此报文。当目的IP地址已经被某一个主机或网关使用时，该
主机或网关就会回应ARP Reply报文。通过这种方式，主机A就能探测到IP地址冲突了。
 ICMP是TCP/IP协议簇的核心协议之一，它用于在IP网络设备之间发送控制报文，传递差
错、控制、查询等信息。
 ICMP的一个典型应用是Ping。Ping是检测网络连通性的常用工具，同时也能够收集其他
相关信息。用户可以在Ping命令中指定不同参数，如ICMP报文长度、发送的ICMP报文个
数、等待回复响应的超时时间等，设备根据配置的参数来构造并发送ICMP报文，进行
Ping测试。

 Ping常用的配置参数说明如下：

 -a source-ip-address指定发送ICMP ECHO-REQUEST报文的源IP地址。如果不指定源
IP地址，将采用出接口的IP地址作为ICMP ECHO-REQUEST报文发送的源地址。

 -c count指定发送ICMP ECHO-REQUEST报文次数。缺省情况下发送5个ICMP ECHO-

REQUEST报文。

 -h ttl-value指定TTL的值。缺省值是255。

 -t timeout指定发送完ICMP ECHO-REQUEST后，等待ICMP ECHO-REPLY的超时时间。

 Ping命令的输出信息中包括目的地址、ICMP报文长度、序号、TTL值以及往返时间。序
号是包含在Echo回复消息（Type=0）中的可变参数字段，TTL和往返时间包含在消息的IP
头中。
 ICMP的另一个典型应用是Tracert。Tracert基于报文头中的TTL值来逐跳跟踪报文的转发
路径。为了跟踪到达某特定目的地址的路径，源端首先将报文的TTL值设置为1。该报文
到达第一个节点后，TTL超时，于是该节点向源端发送TTL超时消息，消息中携带时间戳。
然后源端将报文的TTL值设置为2，报文到达第二个节点后超时，该节点同样返回TTL超
时消息，以此类推，直到报文到达目的地。这样，源端根据返回的报文中的信息可以跟
踪到报文经过的每一个节点，并根据时间戳信息计算往返时间。Tracert是检测网络丢包
及时延的有效手段，同时可以帮助管理员发现网络中的路由环路。

 Tracert常用的配置参数说明如下：

 -a source-ip-address指定tracert报文的源地址。

 -f first-ttl指定初始TTL。缺省值是1。

 -m max-ttl指定最大TTL。缺省值是30。

 -name使能显示每一跳的主机名。

 -p port指定目的主机的UDP端口号。
 源端（RTA）向目的端（主机B）发送一个UDP报文，TTL值为1，目的UDP端口号是大于
30000的一个数，因为在大多数情况下，大于30000的UDP端口号是任何一个应用程序都
不可能使用的端口号。

 第一跳（RTB）收到源端发出的UDP报文后，判断出报文的目的IP地址不是本机IP地址，
将TTL值减1后，判断出TTL值等于0，则丢弃报文并向源端发送一个ICMP超时（Time
Exceeded）报文（该报文中含有第一跳的IP地址10.0.0.2），这样源端就得到了RTB的地
址。

 源端收到RTB的ICMP超时报文后，再次向目的端发送一个UDP报文，TTL值为2。

 第二跳（RTC）收到源端发出的UDP报文后，回应一个ICMP超时报文，这样源端就得到
了RTC的地址（20.0.0.2）。

 以上过程不断进行，直到目的端收到源端发送的UDP报文后，判断出目的IP地址是本机
IP地址，则处理此报文。根据报文中的目的UDP端口号寻找占用此端口号的上层协议，
因目的端没有应用程序使用该UDP端口号，则向源端返回一个ICMP端口不可达
（Destination Unreachable）报文。

 源端收到ICMP端口不可达报文后，判断出UDP报文已经到达目的端，则停止Tracert程序，
从而得到数据报文从源端到目的端所经历的路径（10.0.0.2；20.0.0.2；30.0.0.2）。
 根据路由目的地的不同，路由可划分为：

 网段路由：目的地为网段，IPv4地址子网掩码长度小于32位或IPv6地址前缀长度小
于128位。

 主机路由：目的地为主机，IPv4地址子网掩码长度为32位或IPv6地址前缀长度为
128位。

 根据目的地与该路由器是否直接相连，路由又可划分为：

 直连路由：目的地所在网络与路由器直接相连。

 间接路由：目的地所在网络与路由器非直接相连。

 根据目的地址类型的不同，路由还可以分为：

 单播路由：表示将报文转发的目的地址是一个单播地址。

 组播路由：表示将报文转发的目的地址是一个组播地址。

 静态路由与动态路由的区别：

 静态路由配置方便，对系统要求低，适用于拓扑结构简单并且稳定的小型网络。
缺点是不能自动适应网络拓扑的变化，需要人工干预。

 动态路由协议有自己的路由算法，能够自动适应网络拓扑的变化，适用于具有一
定数量三层设备的网络。缺点是配置对用户要求比较高，对系统的要求高于静态
路由，并将占用一定的网络资源和系统资源。
 动态路由的分类

 根据作用范围不同，路由协议可分为：

 内部网关协议IGP（Interior Gateway Protocol）：在一个自治系统内部运行。

常见的IGP协议包括RIP、OSPF和IS-IS。

 外部网关协议EGP（Exterior Gateway Protocol）：运行于不同自治系统之间。

BGP是目前最常用的EGP协议。

 根据使用算法不同，路由协议可分为：

 距离矢量协议（Distance-Vector Protocol）：包括RIP和BGP。其中，BGP也被
称为路径矢量协议（Path-Vector Protocol）。

 链路状态协议（Link-State Protocol）：包括OSPF和IS-IS。
 OSPF是一种基于链路状态的路由协议，它从设计上就保证了无路由环路。OSPF支持区
域的划分，区域内部的路由器使用SPF最短路径算法保证了区域内部的无环路。OSPF还
利用区域间的连接规则保证了区域之间无路由环路。

 OSPF支持触发更新，能够快速检测并通告自治系统内的拓扑变化。

 OSPF可以解决网络扩容带来的问题。当网络上路由器越来越多，路由信息流量急剧增长
的时候，OSPF可以将每个自治系统划分为多个区域，并限制每个区域的范围。OSPF这
种分区域的特点，使得OSPF特别适用于大中型网络。OSPF可以提供认证功能。OSPF路
由器之间的报文可以配置成必须经过认证才能进行交换。
 SNMP是广泛应用于TCP/IP网络的一种网络管理协议。SNMP提供了一种通过运行网络管
理软件NMS（Network Management System）的网络管理工作站来管理网络设备的方法。

 SNMP支持以下几种操作：

 NMS通过SNMP协议给网络设备发送配置信息。

 NMS通过SNMP来查询和获取网络中的资源信息。

 网络设备主动向NMS上报告警消息，使得网络管理员能够及时处理各种网络问题。
 NMS是运行在网管主机上的网络管理软件。网络管理员通过操作NMS，向被管理设备发
出请求，从而可以监控和配置网络设备。

 Agent是运行在被管理设备上的代理进程。被管理设备在接收到NMS发出的请求后，由
Agent作出响应操作。Agent的主要功能包括：收集设备状态信息、实现NMS对设备的远
程操作、向NMS发送告警消息。

 管理信息库MIB（Management Information Base）是一个虚拟的数据库，是在被管理设

备端维护的设备状态信息集。Agent通过查找MIB来收集设备状态信息。

 SNMP的版本如下：

 SNMPv1：实现方便，安全性弱。

 SNMPv2c：有一定的安全性。 现在应用最为广泛。

 SNMPv3：定义了一种管理框架，为用户提供了安全的访问机制。

 SNMPv1：网管端工作站上的NMS与被管理设备上的Agent之间，通过交互SNMPv1报文，
可以实现网管端对被管理设备的管理。SNMPv1基本上没有什么安全性可言。

 SNMPv2c在继承SNMPv1的基础上，其性能、安全性、机密性等方面都有了大的改进。

 SNMPv3是在SNMPv2基础之上增加、完善了安全和管理机制。SNMPv3体系结构体现了
模块化的设计思想，使管理者可以方便灵活地实现功能的增加和修改。SNMPv3的主要
特点在于适应性强，可适用于多种操作环境，它不仅可以管理最简单的网络，实现基本
的管理功能，也可以提供强大的网络管理功能，满足复杂网络的管理需求。
 eSight NTA网流分析组件为用户提供可靠的、便利的流量分析的解决方案，能实时监控
全网流量，提供多维度的流量分析报告；帮助用户及时发现网络中异常流量、了解网络
带宽的使用情况和流量分布，帮助企业真正实现流量可视、故障可查、规划可依。

 NTA功能特点：

 流量可视：提供实时的IP流量监控，显示网络流量趋势，方便管理者及时发现异
常，并进行处理。

 异常可查：通过NTA网流分析组件，可对原始IP流量进行分析审计，找到异常流量
的根源。

 规划可依：NTA网流分析组件提供的流量趋势、自定义报表的功能为管理者在进
行网络容量规划时提供参考依据。
 通过NetStream技术输出的数据可以有很多种用途，包括：

 网络管理和规划

 企业记账和部门的计费

 ISP编制账单

 数据储备

 商业性数据采集

 NetStream功能的实现主要涉及三种设备：

 NDE（NetStream Data Exporter）：负责流量的采集和发送。

 NSC（NetStream Collector）：负责解析来自NDE的报文，把统计信息收集到数据
库中，可供NDA进行解析。

 NDA（NetStream Data Analyzer）：负责对统计信息进行分析，进一步的加工处理，

生成报表，为各种业务提供依据（比如流量计费、网络规划，监测）。

 NetStream系统的工作过程如下：

 配置了NetStream功能的设备（即NDE）把采集到的关于流的详细统计信息定期发
送给NSC；

 信息由NSC初步处理后发送给NDA；

 NDA对数据进行分析，以用于计费、网络规划等应用。
 TCP的连接建立是一个三次握手过程，目的是为了通信双方确认开始序号，以便后续通
信的有序进行。主要步骤如下：

 连接开始时，连接建立方(Client)发送SYN包，并包含了自己的初始序号a；

 连接接受方(Server)收到SYN包以后会回复一个SYN+ACK包，其中包含了对上一个a
包的回应信息ACK，回应的序号为下一个希望收到包的序号，即a＋1，然后还包
含了自己的初始序号b；

 连接建立方(Client)收到回应的SYN包以后，回复一个ACK包做响应，其中包含了下
一个希望收到包的序号即b＋1。
 TCP终止连接的四次挥手过程如下：

 客户端进程发出连接释放报文，并且停止发送数据。释放数据报文首部，FIN=1，
其序列号为seq=a（等于前面已经传送过来的数据的最后一个字节的序号加1），
此时，客户端进入FIN-WAIT-1（终止等待1）状态；

 服务器收到连接释放报文，发出确认报文，ACK=1，ack=a+1，并且带上自己的序
列号seq=b，此时，服务端就进入了CLOSE-WAIT（关闭等待）状态；

 客户端收到服务器的确认请求后，此时，客户端就进入FIN-WAIT-2（终止等待2）
状态，等待服务器发送连接释放报文；

 服务器将最后的数据发送完毕后，就向客户端发送连接释放报文，FIN=1，
ack=a+1，由于在半关闭状态，服务器很可能又发送了一些数据，假定此时的序列
号为seq=c，此时，服务器就进入了LAST-ACK（最后确认）状态，等待客户端的确
认；

 客户端收到服务器的连接释放报文后，必须发出确认，ACK=1，ack=c+1，而自己
的序列号是seq=a+1，此时，客户端就进入了TIME-WAIT（时间等待）状态；

 服务器只要收到了客户端发出的确认，立即进入CLOSED状态，就结束了这次的
TCP连接。
 HTTP/HTTPS协议：超文本传输协议，即用于浏览web网页的协议。

 FTP协议：文件传输协议，用于上传下载文件资源。

 DNS协议：域名解析协议，当用户访问网站时，需要获取网站的公网IP地址，此时需要
向DNS服务器进行询问。
 根服务器主要用来管理互联网的主目录，全世界只有13个根逻辑服务器节点。这13个节
点其中10个设置在美国，另外各有一个设置于英国、瑞典和日本。虽然网络是无国界的，
但服务器还是有国界的。所有根服务器均由美国政府授权的互联网域名与号码分配机构
ICANN统一管理。

 顶级域名服务器一般用于存储.com、.edu、.cn等顶级域名。

 递归服务器也可理解为存储着官方域名解析授权的授权服务器，一般存储着这个网络中
域名和IP地址的解析关系，也就是DNSPod充当的角色。试想一下，如果每个上网用户在
上网的时候都向授权服务器发送请求，那授权服务器必然承受不住，所以就有了缓存服
务器存在的必要。

 缓存服务器就相当于是授权服务器的一个代理，可以缓解授权服务器的压力。我们每次
上网的时候，域名解析的请求都是发给缓存服务器的，缓存服务器第一次收到用户请求
的时候，会向授权服务器请求域名和IP地址的解析表，然后储存在本地，等后续再有用
户请求相同的域名时，就会直接答复，不再请求。毕竟一个网站的IP地址不是经常变换
的。当然，这个解析表是有一定的有效期的，等有效期到了，这个解析表就会自动老化，
等下次有用户请求时重新向授权服务器询问。这个定期老化机制，可以保证缓存服务器
上域名解析的定期更新。
 DNS解析过程如下：

 DNS客户端查询通常采用递归方式，缓存服务器首先会判断本地是否有这个域名
的解析缓存。

 如果本地没有缓存，就会把域名发送到根服务器。根服务器收到www.vmall.com
请求后，会判断.com是谁授权管理，并返回.com所在的顶级域名服务器IP地址。

 缓存服务器继续向顶级域名服务器发送www.vmall.com解析请求，顶级域名服务
器收到请求后，会返回下一级.vmall.com的递归服务器IP地址。

 缓存服务器继续向递归服务器发送www.vmall.com解析请求，递归服务器收到请
求后，返回www.vmall.com的解析地址。如果域名层级较多，则递归服务器也会
存在多级。

 缓存服务器得到www.vmall.com的解析IP地址后，将IP地址发送给客户端，同时在
本地缓存。

 后续一段时间内，当有客户端再次请求www.vmall.com这个域名解析时，缓存服
务器直接回应解析的IP地址，不再重复询问。
 使用FTP进行文件传输时，会使用两个TCP连接。第一个连接是FTP客户端和FTP服务器间
的控制连接。FTP服务器开启21号端口，等待FTP客户端发送连接请求。FTP客户端随机
开启端口，向服务器发送建立连接的请求。控制连接用于在服务器和客户端之间传输控
制命令。

 第二个连接是FTP客户端和FTP服务器间的数据连接。服务器使用TCP的20号端口与客户
端建立数据连接。通常情况下，服务器主动建立或中断数据连接。

 由于FTP为多通道协议，数据通道的建立使用随机端口，如果中间有防火墙存在时，可
能会出现通道不能建立的情况，详情请参照后续章节。
 主动模式下，当客户端存在防火墙时，由于数据连接是由服务器发起，数据连接可能会
发生问题。被动模式下，这个问题得到了解决。主动模式有利于对FTP服务器的管理，
不利于对客户端的管理；被动模式则相反。

 缺省情况下，服务器的端口21用于传输控制命令，端口20用于传输数据。

 FTP连接主动模式建立过程：

 服务器打开端口 21 启动监听，等待连接。 启动监听，等待连接。

 客户端发起控制连接的建立请求，服务器响应。

 客户端通过控制连接发送PORT命令，将客户端数据连接的临时口号告诉服务器。

 服务器的 20 号端口与客户建立起数据连接。
 FTP连接被动模式建立过程:

 服务器打开端口 21 启动监听，等待连接。

 客户端发起控制连接的建立请求，服务器响应。

 客户端通过控制连接发送命令字PASV，告知服务器处于被动模式。

 服务器回应，将数据连接的临时端口号告诉客户。

 客户端与服务器的临时口建立起数据连接。
 WWW是World Wide Web的缩写，又称为3W或Web，中文译为“万维网”。它作为
Internet上的新一代用户界面，摒弃了以往纯文本方式的信息交互手段，采用超文本
（hypertext）方式。超文本是一种全局性的信息机构，它将文档中的不同部分通过关键
字建立链接，使信息得以以交互方式搜索。当超文本与多媒体在信息浏览环境下结合时
即称为超媒体。

 Internet采用超文本和超媒体的组合方式，将信息的链接扩展至整个Internet上。Web就
是一种超文本信息系统，它使得文本不再固定在某一个位置，而是可以从一个位置跳转
到另外的位置，正是这种多链接性，才把它称为Web。

 HTTP由于是面向连接的协议，且没有加密验证机制，导致安全性不足；而HTTPS协议由
于加密功能，某些病毒攻击可能隐藏其中而不能被安全设备发现，这也成为网络安全的
一大隐患。
 超文本传输协议（英文：HyperText Transfer Protocol，缩写：HTTP）是互联网上应用最
为广泛的一种网络协议。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的
方法。通过HTTP或者HTTPS协议请求的资源由统一资源标识符（Uniform Resource
Identifiers，URI）来标识。

 HTTP工作流程：

 客户机（浏览器）主动向服务器（web server)发出连接请求。

 服务器接受连接请求并建立起连接。（1,2步即我们所熟知的TCP三次握手）

 客户机通过此连接向服务器发出GET等http命令（HTTP请求报文）。

 服务器接到命令并根据命令向客户机传送相应的数据（HTTP响应报文）。

 客户机接收从服务器送过来的数据。

 服务器发送完数据后，主动关闭此次连接（TCP四次挥手）。
 一个完整的邮件发送过程包括4步：

 PC将邮件内容封装在SMTP消息中寄给发送方SMTP Server。

 发送方SMTP Server将邮件封装在SMTP消息中寄给接收方SMTP Server，接收方

SMTP Server储存起来。

 POP3 Server收到用户的请求后，读取SMTP Server储存的邮件。

 POP3 Server将邮件封装到POP3消息中发送给PC。

 SMTP Server、POP3 Server、IMAP是为用户提供服务的管理软件，需要部署在硬件服务

器上。

 IMAP与POP3主要区别在于：使用POP3，客户端软件会将所有未阅读邮件下载到计算机，
并且邮件服务器会删除该邮件。使用IMAP，用户直接对服务器上的邮件进行操作，不需
要把所有邮件下载到本地再进行各项操作。
 参考答案：

1. C。

2. B。
 路由器：跨网段通信设备。

 交换机：同网段或跨网段通信设备。

 AntiDDoS：DDoS防御系统，通常旁挂部署于网络出口处，位于防火墙上游，用于减轻
防火墙报文处理负担。

 NGFW：下一代防火墙，可部署在网络出口处进行初步防护，或者保护数据中心不被攻
击。

 vNGFW：软件NGFW，部署在VM（Virtual Machine）中，与硬件防火墙功能相似。

 NIP：华为下一代入侵防御系统，专业的入侵检测设备/入侵防御设备，可部署在数据中
心保护数据中心不被入侵。

 Agile-Controller：基于用户和应用的网络资源自动化控制系统，通常部署于DMZ服务区，
用于准入控制。
 随着企业网络的发展，越来越多的用户需要接入到网络，交换机提供的大量的接入端口
能够很好地满足这种需求。同时，交换机也彻底解决了困扰早期以太网的冲突问题，极
大地提升了以太网的性能，同时也提高了以太网的安全性。

 交换机工作在数据链路层，对数据帧进行操作。在收到数据帧后，交换机会根据数据帧
的头部信息对数据帧进行转发。

 接下来我们以小型交换网络为例，讲解交换机的基本工作原理。
 交换机中有一个MAC地址表，里面存放了MAC地址与交换机端口的映射关系。MAC地址
表也称为CAM（Content Addressable Memory）表。
 如图所示，交换机对帧的转发操作行为一共有三种：泛洪（Flooding），转发
（Forwarding），丢弃（Discarding）。
 泛洪：交换机把从某一端口进来的帧通过所有其它的端口转发出去（注意，“所
有其它的端口”是指除了这个帧进入交换机的那个端口以外的所有端口）。
 转发：交换机把从某一端口进来的帧通过另一个端口转发出去（注意，“另一个
端口”不能是这个帧进入交换机的那个端口）。
 丢弃：交换机把从某一端口进来的帧直接丢弃。
 交换机的基本工作原理可以概括地描述如下：
 如果进入交换机的是一个单播帧，则交换机会去MAC地址表中查找这个帧的目的MAC地
址。
 如果查不到这个MAC地址，则交换机执行泛洪操作。
 如果查到了这个MAC地址，则比较这个MAC地址在MAC地址表中对应的端口是不
是这个帧进入交换机的那个端口。如果不是，则交换机执行转发操作。如果是，
则交换机执行丢弃操作。
 如果进入交换机的是一个广播帧，则交换机不会去查MAC地址表，而是直接执行泛洪操
作。
 如果进入交换机的是一个组播帧，则交换机的处理行为比较复杂，超出了这里的学习范
围，所以略去不讲。另外，交换机还具有学习能力。当一个帧进入交换机后，交换机会
检查这个帧的源MAC地址，并将该源MAC地址与这个帧进入交换机的那个端口进行映射，
然后将这个映射关系存放进MAC地址表。
 初始状态下，交换机并不知道所连接主机的MAC地址，所以MAC地址表为空。本例中，
SWA为初始状态，在收到主机A发送的数据帧之前，MAC地址表中没有任何表项。
 主机A发送数据给主机C时，一般会首先发送ARP请求来获取主机C的MAC地址，此ARP请
求帧中的目的MAC地址是广播地址，源MAC地址是自己的MAC地址。SWA收到该帧后，
会将源MAC地址和接收端口的映射关系添加到MAC地址表中。缺省情况下，X7系列交
换机学习到的MAC地址表项的老化时间为300秒。如果在老化时间内再次收到主机A发
送的数据帧，SWA中保存的主机A的MAC地址和G0/0/1的映射的老化时间会被刷新。此
后，如果交换机收到目标MAC地址为00-01-02-03-04-AA的数据帧时，都将通过G0/0/1
端口转发。
 本例中主机A发送的数据帧的目的MAC地址为广播地址，所以交换机会将此数据帧通过
G0/0/2和G0/0/3端口广播到主机B和主机C。
 主机B和主机C接收到此数据帧后，都会查看该ARP数据帧。但是主机B不会回复该帧，
主机C会处理该帧并发送ARP回应，此回复数据帧的目的MAC地址为主机A的MAC地址，
源MAC地址为主机C的MAC地址。SWA收到回复数据帧时，会将该帧的源MAC地址和接
口的映射关系添加到MAC地址表中。如果此映射关系在MAC地址表已经存在，则会被刷
新。然后SWA查询MAC地址表，根据帧的目的MAC地址找到对应的转发端口后，从
G0/0/1转发此数据帧。
 路由器是网络层设备，其主要功能是实现报文在不同网络之间的转发。如图所示，位于
不同网络（即不同链路）上的HostA和HostB之间相互通信。与HostA在同一网络（即同
一链路）上的路由器接口接收到HostA发出的数据帧，路由器的链路层分析帧头确定为
发给自己的帧之后，发送给网络层处理，网络层根据网络层报文头以决定目的地址所在
网段，然后通过查表从相应的接口转发给下一跳，直到到达报文的目的地HostA。
 路由器收到数据包后，会根据数据包中的目的IP地址选择一条最优的路径，并将数据包
转发到下一个路由器，路径上最后的路由器负责将数据包送交目的主机。数据包在网络
上的传输就好像是体育运动中的接力赛一样，每一个路由器负责将数据包按照最优的路
径向下一跳路由器进行转发，通过多个路由器一站一站的接力，最终将数据包通过最优
路径转发到目的地。当然有时候由于实施了一些特别的路由策略，数据包通过的路径可
能并不一定是最佳的。

 路由器能够决定数据报文的转发路径。如果有多条路径可以到达目的地，则路由器会通
过进行计算来决定最佳下一跳。计算的原则会随实际使用的路由协议不同而不同。
 “防火墙”一词起源于建筑领域，用来隔离火灾，阻止火势从一个区域蔓延到另一个区
域。引入到通信领域，防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意
义上的隔离。当然，这种隔离是高明的，隔离的是“火”的蔓延，而又保证“人”的穿
墙而过。这里的“火”是指网络中的各种攻击，而“人”是指正常的通信报文。

 用通信语言来定义，防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络
攻击和网络入侵行为。因其隔离、防守的属性，灵活应用于网络边界、子网隔离等位置，
具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。
 防火墙与路由器、交换机是有区别的。路由器用来连接不同的网络，通过路由协议保证
互联互通，确保将报文转发到目的地；交换机则通常用来组建局域网，作为局域网通信
的重要枢纽，通过二层/三层交换快速转发报文；而防火墙主要部署在网络边界，对进出
网络的访问行为进行控制，安全防护是其核心特性。路由器与交换机的本质是转发，防
火墙的本质是控制。

 现阶段中低端路由器与防火墙有合一趋势，主要也是因为二者互相功能兼具，变成all in
one的目标，华为也发布了一系列中低端设备。
 最早的防火墙可以追溯到上世纪80年代末期，距今已有二十多年的历史。在这二十多年
间，防火墙的发展过程大致可以划分为下面三个时期：

 1989年至1994年：

 1989年产生了包过滤防火墙，实现简单的访问控制，称之为第一代防火墙。

 随后出现了代理防火墙，在应用层代理内部网络和外部网络之间的通信，属
于第二代防火墙。代理防火墙安全性较高，但处理速度慢，而且对每一种应
用开发一个对应的代理服务是很难做到的，因此只能对少量的应用提供代理
支持。

 1994年业界发布了第一台基于状态检测技术的防火墙，通过动态分析报文的
状态来决定对报文采取的动作，不需要为每个应用程序都进行代理，处理速
度快而且安全性高。状态检测防火墙被称为第三代防火墙。

 1995年至2004年：

 在这一时期，状态检测防火墙已经成为趋势。除了访问控制功能之外，防火
墙上也开始增加一些其他功能，如VPN。

 同时，一些专用设备也在这一时期出现了雏形。例如，专门保护Web服务器
安全的WAF（Web Application Firewall，Web应用防火墙）设备。

 2004年业界提出了UTM（United Threat Management，统一威胁管理）的概

念，将传统防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过
滤等功能融合到一台防火墙上，实现全面的安全防护。
 2005年至今：

 2004年后，UTM市场得到了快速的发展，UTM产品如雨后春笋般涌现，但
面临新的问题。首先是对应用层信息的检测程度受到限制，此时就需要更高
级的检测手段，这使得DPI（Deep Packet Inspection，深度报文检测）技术得
到广泛应用。其次是性能问题，多个功能同时运行，UTM设备的处理性能将
会严重下降。

 2008年业界发布了下一代防火墙，解决了多个功能同时运行时性能下降的问
题。同时，还可以基于用户、应用和内容来进行管控。

 2009年业界对下一代防火墙进行了定义，明确下一代防火墙应具备的功能特
性。随后各个安全厂商也推出了各自的下一代防火墙产品，防火墙进入了一
个新的时代。
 Zone的作用

 安全策略都基于安全区域实施；

 在同一安全区域内部发生的数据流动是不存在安全风险的，不需要实施任何安全
策略；

 只有当不同安全区域之间发生数据流动时，才会触发设备的安全检查，并实施相
应的安全策略；

 在防火墙中，同一个接口所连网络的所有网络设备一定位于同一安全区域中，而
一个安全区域可以包含多个接口所连的网络。

 缺省安全区域

 非受信区域Untrust

 非军事化区域DMZ

 受信区域Trust

 本地区域Local
 在防火墙中是以接口为单位来进行分类，即同一个接口所连网络的所有网络设备一定位
于同一安全区域中，而一个安全区域可以包含多个接口所连的网络。这里的接口既可以
是物理接口，也可以是逻辑接口。所以可以通过子接口或者VLAN IF等逻辑接口实现将
同一物理接口所连的不同网段的用户划入不同安全区域的功能。

 思考：若不同接口均属于同一个安全区域的场景下，域间安全转发策略是否会生效？
 通用路由平台VRP（Versatile Routing Platform）是华为公司数据通信产品使用的网络操
作系统，网络操作系统是运行于一定设备上的、提供网络接入及互联服务的系统软件。

 VRP通用路由平台作为华为公司从低端到核心的全系列路由器、以太网交换机、业务网
关等产品的软件核心引擎，实现统一的用户界面和管理界面；实现控制平面功能，并定
义转发平面接口规范，实现各产品转发平面与VRP控制平面之间的交互；实现网络接口
层，屏蔽各产品链路层对于网络层的差异。
 VRP系统命令采用分级保护方式，命令被划分为参观级、监控级、配置级、管理级4个级
别。

 参观级：网络诊断工具命令（ping、tracert）、从本设备出发访问外部设备的命令
（包括：Telnet客户端、SSH、Rlogin）等，该级别命令不允许进行配置文件保存
的操作。

 监控级：用于系统维护、业务故障诊断等，包括display、debugging命令，该级别
命令不允许进行配置文件保存的操作。

 配置级：业务配置命令，包括路由、各个网络层次的命令，这些用于向用户提供
直接网络服务。

 管理级：关系到系统基本运行，系统支撑模块的命令，这些命令对业务提供支撑
作用，包括文件系统、FTP、TFTP、Xmodem下载、配置文件切换命令、备板控制
命令、用户管理命令、命令级别设置命令、系统内部参数设置命令等。

 系统对登录用户也划分为4级，分别与命令级别对应，即不同级别的用户登录后，只能
使用等于或低于自己级别的命令。当用户从低级别用户切换到高级别用户时，需要使用
命令：super password [ level user-level ] { simple | cipher } password 切换。
 输入不完整的关键字后按下Tab键，系统自动执行部分帮助：

 如果与之匹配的关键字唯一，则系统用此完整的关键字替代原输入并换行显示，
光标距词尾空一格；

 对于不匹配或者匹配的关键字不唯一的情况，首先显示前缀，继续按Tab键循环翻
词，此时光标距词尾不空格，按空格键输入下一个单词；

 如果输入错误关键字，按Tab键后，换行显示，输入的关键字不变。
 配置步骤：
 选择 网络 > 接口 ，选择对应接口的编辑。
 配置接口IP地址，切换接口模式，加入安全区域。
 关键命令：
 进入接口视图。
 <USG>system-view
 [USG]interface interface-type interface-number
 配置三层以太网接口或者二层以太网接口。
 配置三层以太网接口。
 ip address ip-address { mask | mask-length }
 配置二层以太网接口。
 Portswitch
 将接口加入安全区域。
 执行命令system-view，进入系统视图。
 执行命令firewall zone [ name ] zone-name，创建安全区域，并进入相应安全
区域视图。
 执行命令add interface interface-type interface-number，配置接口加入安全区
域。
 配置静态路由，需要进行如下操作：

 执行命令system-view，进入系统视图。

 执行命令ip route-static ip-address { mask | mask-length } { interface-type interface-

number | next-ip-address } [ preference value ] [ reject | blackhole ]增加一条静态路由。

 配置缺省路由，需要进行如下操作：

 执行命令system-view，进入系统视图。

 执行命令ip route-static 0.0.0.0 { 0.0.0.0 | 0 } { interface-type interface-number | next-

ip-address } [ preference value ] [ reject | blackhole]，配置缺省路由。

 通过静态路由的配置可建立一个互通的网络，但这种配置问题在于：当一个网络故障发
生后，静态路由不会自动发生改变，必须有管理员的介入。

 缺省路由就是在没有找到匹配的路由表入口项时才使用的路由。即只有当没有合适的路
由时，缺省路由才被使用。在路由表中，缺省路由以到网络0.0.0.0（掩码为0.0.0.0）的
路由形式出现。如果报文的目的地址不能与路由表的任何入口项相匹配，那么该报文将
选取缺省路由。如果没有缺省路由且报文的目的地不在路由表中，那么该报文被丢弃的
同时，将向源端返回一个ICMP 报文报告该目的地址或网络不可达。
 设备登录管理

 Console:使用PC终端通过RS-232配置线连接设备的Console口来登录设备，进行第
一次上电和配置。当用户无法进行远程访问设备时，可通过Console进行本地登录；
当设备系统无法启动时，可通过console口进行诊断或进入BootRom进行系统升级。

 Telnet: 通过PC终端连接到网络上，使用Telnet方式登录到设备上，进行本地或远
程的配置，目标设备根据配置的登录参数对用户进行验证。Telnet登录方式方便对
设备进行远程管理和维护。

 SSH:提供安全的信息保障和强大认证功能，保护设备系统不受IP欺骗等攻击。SSH
登录能更大限度的保证数据信息交换的安全。

 Web:在客户端通过Web浏览器访问设备，进行控制和管理。适用于配置终端PC通
过Web方式登录。
 右键单击我的电脑，选择属性，进入设备管理器查看。
 进入如图所示的Serial窗口后，请根据PC（或配置终端）实际使用的端口填入Serial line
to connect to 的空格中，并根据右侧参数表填写左侧PuTTY的配置参数，然后单击
“Open”按钮。

 USG配置口登录的缺省用户名为admin，缺省用户密码为Admin@123。其中，用户名不
区分大小写，密码要区分大小写。
 设备缺省开启HTTP/HTTPS服务，此时如果使用HTTP方式登录将自动重定向为HTTPS方式
登录。出于安全性考虑，建议不要关闭HTTPS服务。

 用户可以通过用户名/密码：admin/Admin@123登录，为保证系统安全，登录后请修改
密码。
 启动Web管理功能

 [USG] web-manager security enable port 8443

 配置Web用户

 [USG] aaa

 [USG-aaa] manager-user webuser

 [USG-aaa-manager-user-webuser] password cipher Admin@123

 [USG-aaa-manager-user-webuser] service-type web

 [USG-aaa-manager-user-webuser] level 3
 配置USG接口Web设备管理

 [USG-GigabitEthernet1/0/1] service-manage enable

 [USG-GigabitEthernet1/0/1] service-manage https permit

 开启telnet服务

 [USG] telnet server enable

 配置vty interface

 [USG] user-interface vty 0 4

 [USG-ui-vty0-4] authentication-mode aaa

 配置Telnet管理员

 [USG] aaa

 [USG-aaa] manager-user vtyadmin

 [USG-aaa-manager-user-vtyadmin] password

 Enter Password

 [USG-aaa-manager-user-vtyadmin]] service-type telnet

 [USG-aaa-manager-user-vtyadmin]] level 3
 配置USG接口telnet设备管理

 [USG-GigabitEthernet1/0/1] service-manage enable

 [USG-GigabitEthernet1/0/1] service-manage telnet permit

 设备作为SSH服务器时，可配置对SSH用户的验证方式为Password、RSA方式。
 设备文件管理

 配置文件是设备启动时要加载的配置项。用户可以对配置文件进行保存、更改和
清除、选择设备启动时加载的配置文件等操作。系统文件包括USG设备的软件版
本，特征库文件等。一般软件升级需要管理系统文件。

 系统软件升级。上传系统软件到设备可通过TFTP方式和FTP方式上传系统软件到设
备上。升级系统软件配置设备下次启动时使用的软件系统。

 License是设备供应商对产品特性的使用范围、期限等进行授权的一种合约形式，
License可以动态控制产品的某些特性是否可用。
 保存配置：为了使当前配置能够作为防火墙下次上电时的起始配置。
 方法1 (命令行)：在用户视图下，执行命令save。
 方法2 (Web)：选择“主页”右上方的“保存”按钮。
 擦除配置文件（恢复出厂配置）：配置文件被擦除后，防火墙下次上电将采用缺省的配
置参数进行初始化。
 方法1(命令)：在用户视图下，执行命令reset saved-configuration。
 方法2(Web)：选择“系统 >维护>配置管理”，执行恢复出厂配置按钮
 方法3（硬件reset按钮）：如果设备没有上电：先按住RESET按钮，再打开电源开
关。当面板上设备指示灯同时以2次/秒的频率闪烁时，松开RESET按钮，设备会使
用缺省配置启动。
 方法4（硬件reset按钮）：如果设备已经正常启动：长时间（超过10秒）按住
RESET。设备将重启并使用缺省配置进行启动。
 配置下次启动时的系统软件
 命令行：在用户视图下，执行命令startup system-software sysfile。
 Web：选择“系统 >维护>系统更新”，“选择”下次启动系统软件按钮。
 重启防火墙
 作用：防火墙将重新启动，并将重启动作记录至日志中。
 方法1（命令行）：在用户视图下，执行命令reboot命令。
 方法2（Web）：选择“系统 >维护>系统重启”。
 一键升级系统软件
 如果当前设备的存储空间不足，设备将自动删除当前运行的系统软件。
 系统软件必须以“.bin”作为扩展名，不支持中文。
 选择“系统 > 系统更新”。
 单击“一键式版本升级”，显示一键系统软件升级向导界面。
 可选：依次单击“导出”，将设备上的告警信息、日志信息和配置信息导出到终
端。建议将配置信息保存到终端。
 单击“浏览”，选择待上传的系统软件。
 根据当前网络是否允许设备升级后立即重启，选中“设置为下次启动系统软件，
并重启系统”或“设置为下次启动系统软件，不重启系统”前的单选框。
 重启设备后，才能使用升级后的系统软件。
 配置命令（FW作为FTP客户端）：
 使用FTP下载文件
 执行命令ftp ftp-server [ port-number ] [ vpn-instance vpn-instance-name ] 与
FTP服务器建立控制连接，并进入FTP客户端视图。
 执行命令 get remote-filename [ local-filename ]从FTP服务器下载文件并保存
在本地
 配置系统下次启动时使用的系统软件
 执行startup system-software sys-filename。
 License支持在线自动激活和本地激活等方式，在能够连接到华为安全中心
sdplsp.huawei.com时可进行在线自动激活，在不能连接到安全中心时可选择本地手动激
活。

 License文件必须以“.dat”作为扩展名，不支持中文。

 配置命令：

 执行命令system-view，进入系统视图。

 执行命令license active license-file，激活指定的License文件。

 可以通过命令display license，查看License的信息。
 参考答案：

 A。
 Dyn是DNS SaaS提供商，其核心业务就是为其用户管理托管DNS服务。DDoS攻击严重影
响其DNS业务，导致客户网站无法访问。因其服务众多公司，造成的损害如星火燎原一
般，影响极其恶劣。涉及超过百家网站出现无法访问的情况，严重断网长达3小时，仅
亚马逊一家损失就已达千万美元以上。

 攻击的“肉鸡”主要是网络摄像机、数字硬盘录像机和智能路由器。Mirai僵尸网络感染
设备上百万 ，而在此次攻击中仅十分之一设备参与。

 目前，互联网中存在着大量的僵尸主机和僵尸网络，在商业利益的驱使下，DDoS攻击
已经成为互联网面临的重要安全威胁。
 寻找肉鸡：物联网设备通常默认开启telnet远程登录功能，方便管理员进行远程管理。
攻击者可以通过IP地址扫描来发现存活的物联网设备，通过端口扫描来进一步判断物联
网设备是否开启telnet服务。

 组件僵尸网络：部分物联网设备使用者，会直接使用出厂密码，或者设置简单的密码
（类似admin/123456的简单用户名/密码组合），这些密码很容易被攻击者暴力破解。
当攻击者成功破解物联网设备的密码，并通过telnet登录成功后，接着在物联网设备上
进行远程植入恶意软件Mirai，从而获得设备的绝对控制权。

 恶意软件对感染的设备拥有绝对控制权，除了利用设备发起DDoS攻击以外，还能
够对设备本身的系统、业务、数据造成严重危害，比如能够篡改数据、窃取隐私、
修改配置、删除文件等，并可能以此为跳板攻击核心业务系统。

 加载攻击模块：攻击者在物联网设备上加载DNS DDoS攻击模块。

 发起攻击：攻击者通过僵尸网络向美国Dyn DNS服务发起DDoS攻击，导致上百家网站出
现无法访问的情况。
 IP欺骗是利用了主机之间的正常信任关系来发动的。基于IP地址的信任关系的主机之间
将允许以IP地址为基础的验证，允许或者拒绝以IP地址为基础的存取服务。信任主机之
间无需输入口令验证就可以直接登录。

 IP欺骗攻击的整个步骤：

 首先使被信任主机的网络暂时瘫痪，以免对攻击造成干扰；

 然后连接到目标主机的某个端口来猜测序列号和增加规律；

 接下来把源地址伪装成被信任主机，发送带有SYN标志的数据段请求连接；

 然后等待目标机发送SYN+ACK包给已经瘫痪的主机；

 最后再次伪装成被信任主机向目标机发送的ACK，此时发送的数据段带有预测的
目标机的序列号+1；

 连接建立，发送命令请求。
 DDos(Distributed Denial of Service)即分布式拒绝服务攻击，是典型的流量型攻击。

 DDoS攻击是指攻击者通过各种手段，取得了网络上大量在线主机的控制权限。这些被
控制的主机称为僵尸主机，攻击者和僵尸主机构成的网络称为僵尸网络。当被攻击目标
确定后，攻击者控制僵尸主机向被攻击目标发送大量精心构造的攻击报文，造成被攻击
者所在网络的链路拥塞、系统资源耗尽，从而使被攻击者产生拒绝向正常用户的请求提
供服务的效果。

 根据采用的攻击报文类型的不同，网络中目前存在多种DDoS攻击类型，主要有以下这
几种常见的DDoS攻击：SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、
DNS Flood等。
 SQL注入攻击的主要方式是构造巧妙的SQL语句，和网页提交的内容结合起来进行注入攻
击。比较常用的技巧有使用注释符号、恒等式（如1＝1）、使用union语句进行联合查
询、使用insert或update语句插入或修改数据等。

 跨网站脚本（Cross-site scripting，通常简称为XSS或跨站脚本或跨站脚本攻击）是一种
网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页
上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本
语言。

 关于SQL注入及跨站脚本攻击将在HCNP-Security中有较为详细的介绍。
 钓鱼网站的设计通常有两种方式：第一种以“中奖”等名义为诱饵，诱骗用户填写身份
证号码、银行帐户等信息；第二种模仿银行在线支付、电子交易网站，骗取用户的银行
卡信息或者在线支付账号密码。整个过程如同钓鱼一般，这样的恶意网站也就被称作
“钓鱼网站”。这样的钓鱼手法技术含量并不高，或者利用人们贪图便宜的心理上当受
骗，或者利用部分网民防范欺诈意识的薄弱。人们一旦上当，或者个人隐私信息泄露并
被贩卖，或者因为在网站上填写了银行账号信息，相应的资产会被立刻转走，追悔莫及。
 浏览网页、邮件传输是病毒、木马、间谍软件进入内网的主要途径。

 病毒：攻击者利用计算机软件和硬件所固有的脆弱性编制的一组指令集或程序代码，通
过修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感
染其他程序，能够破坏计算机系统，纂改、损坏业务数据。

 木马：通过一段特定的程序(木马程序)来控制另一台计算机。木马通常有两个可执行程
序：一个是客户端，即控制端；另一个是服务端，即被控制端。植入被种者电脑的是
“服务器”部分，而所谓的“黑客”正是利用“控制器”进入运行了“服务器”的电脑。
运行了木马程序的“服务器”以后，被种者的电脑就会有一个或几个端口被打开，使黑
客不仅可以窃取计算机上的重要信息，还可以对内网计算机破坏。

 蠕虫：一种能够利用系统漏洞通过网络进行自我传播的恶意程序，它是利用网络进行自
我复制和传播，传染途径是通过网络和电子邮件。主要危害：消耗主机资源，甚至破坏
主机系统，造成主机拒绝服务；蠕虫传播造成的流量导致网络拥塞，甚至导致整个互联
网瘫痪、失控。

 后门：指隐藏在程序中的秘密功能，通常是程序设计者为了能在日后随意进入系统而设
置的。

 间谍软件：一种能够在用户不知情的情况下，在其电脑上安装后门、收集用户信息的软
件，搜集、使用、并散播企业员工的敏感信息，严重干扰企业的正常业务。
 定期采用专业工具对系统或个人电脑进行漏洞扫描和恢复，可在一定程度上避免病毒入
侵和感染。

 防火墙作为边界设备，可对用户的上网行为、网页及邮件病毒、非法应用程序等进行阻
断，从而达到保护内网的作用。

 WAF全称为Web Application Firewall，Web应用防火墙。它是通过执行一系列针对

HTTP/HTTPS的安全策略专门为Web应用提供保护的一款防护设备。
 参考答案：

 AB。

 ABD。
 根据360公司所做的《中国网民网络安全意识调查报告》指出，24.1%的网民每个账号
密码都不同；61.4%的网民会把账号密码做一定的区分；但仍有13.8%的网民将所有账
号都使用同一个密码，十分危险。
 而用户在使用公共WiFi上网活动时，安全风险也不尽相同。统计显示，在连接共同WiFi
时，所有网民都会浏览简单网页信息或看视频、听音乐；除此之外，25.1%的网民也会
登录邮箱发送邮件，登录个人社交账号聊天；13.6%的网民还会购物和进行网银交易。
如果在无意中连接了钓鱼WiFi，或者黑客WiFi，这些操作很容易导致账号密码被盗甚至
金融账号里的财产损失。
 社会工程学作为正式的学科出现在上世纪60年代左右。
 有意识的留心这个世界，发现藏在网络表现世界中的真实一面。
 Gartner是第一家信息技术研究和分析的公司。是全球最具权威的IT研究与顾问咨询公司。

 Cloud Workload Protection Platforms 云工作负载保护平台

 Gartner 给出的定义比较抽象绕口，简单来讲就是一个保护运行在公有云，私有云
中业务的平台。目前的实践是在业务所在的全部OS 层面部署一个agent ，并且与
控制中心通讯。形成一种分布式监控与集中式管理的C/S架构，运维人员能够方便
的同时监控众多主机的安全状态并且下发处置策略。

 远程浏览器技术

 该技术的本质是将浏览网页的过程与终端隔离。例如，最简单的方式是大家都图
形化远程登陆到一台主机中进行网页浏览。因为是图形化登陆，即使浏览器被攻
击也不会对浏览者所在的终端带来危害。浏览完成后，执行浏览任务的主机可以
重置，回到最安全的状态。这项技术，完全可以以服务的方式提供，并且必须依
赖虚拟化技术。 企业租用远程浏览服务器资源，提供商负责维护浏览服务器的状
态。

 欺骗技术

 企业内部部署若干虚假的服务器，作为攻击者的陷阱或者迷惑攻击者误导其对企
业内部网络拓扑的判断，增加攻击者的入侵成本。同时攻击者一旦进入虚假服务
器，就会产生预警。这种虚假服务器甚至可以直接嵌入交换机设备。
 端点检测与响应(EDR )

 EDR 最简单的例子是部署在终端的反病毒软件，但是EDR 的功能可以更丰富，例

如通过行为为主来识别终端内的可疑进程、网络连接等。同时可以使用大数据技
术对多台终端的行为进行汇总分析以发现潜在的威胁。目前很多主流的网络安全
厂商都逐步推出了EDR 解决方案。

 网络流量分析

 该技术是通过对企业或者园区的全方位流量监控的方式结合大数据分析技术发现
网络中的异常数据。例如，将流经交换机的全部流量景象至分析设备，进行全面
的解码和统计分析。然后可视化呈现，让管理者直观看到全网的安全态势。

 管理检测与响应

 这个简单的说就是为不具备安全防御能力的中小企业提供贴身保姆似的服务。例
如，中小企业通过安全厂商的代理访问网络，安全厂商可以通过代理7×24小时的
分析企业网络流量，及时对威胁进行清洗。同时向企业推送安全事件预警，这样
中小企业甚至无须购买部署任何设备。

 微分段

 这里的微分段不是传统机房里服务器间的隔离，而是细化到应用的级别。在云化
时代，主机被弱化，大家看到的都是一个个对外提供服务的应用。所以隔离也由
服务器级别向应用级别演进。

 云访问安全代理

 这个技术是用于保护云的安全。这项技术很多的实现方式是通过反向代理得到全
部对云业务的访问流量，然后进行安全检测与审计，及时发现不合规的异常访问，
例如渗透，泄密得。这个技术与前面的管理检测与相应比较类似，前者是保护服
务使用者的，后者是保护服务提供者的。这种方案多数是以服务方式提供。

 软件定义边界

 这个概念的出现完全是为了解决云化时代灵活的资源访问管理问题。强调软件替
代传统的物理设备。与软件定义网络如出一辙。

 容器安全

 传统安全都是面向主机，以主机为单位。在云化时代，应用都是容器级别，主机
的概念被弱化了，因此容器安全变得非常重要。
 上面花了比较大的篇幅介绍了Gartner顶级安全技术, 现在归纳一下未来的发展趋势。
 未来，安全防御方案很可能不再是一个甚至多个设备构成的，安全防御与分析完全在远
程。用户访问网络的流量全部通过代理的方式引导至安全厂商的数据中心，在数据中心
种进行分析、过滤、清洗。安全防御不再是设备，而是远程服务。客户只需配置一个安
全代理服务器的地址即可。管理检测与相应、云访问安全代理都属于这类安全服务。
 对于企业内部，单纯的终端杀毒软件最终会演进成为分布式监控与集中化分析的架构向
EDR方向演进，统一分析企业内部全部主机中进程的行为、上下文信息，有助于更加高
效的发现潜在威胁。

 终端的安全检查能力已经日益受到传统网络安全厂商的重视。在以前，终端安全与网络
安全是分离的两个阵营，终端杀毒厂商专心检查终端中的文件，网络安全厂商只关注网
络流量。现在，双方功能在相互融合。尤其是终端安全软件与网络防御设备的联动，将
流量种的恶意部分直接与终端中的进程、文件建立联系，做到精确的威胁溯源。未来，
终端中的安全软件会更加密切的与设备进行配合。
 通过微分段与容器安全可以看出，在云化时代主机概念被弱化，服务概念被强化。所以
流量的管理也要做到应用级别、容器级别。运维人员看到的网络拓扑图不在是主机之间
的，而是服务与服务之间、服务于客户端之间。同时图论原理也会更好的应用于安全检
查，及时发现云数据中心异常的通讯路径，找到潜在的威胁。
 Gartner 顶级安全技术基本都是针对云的，因此安全防御方案云化部署，势在必行。未
来的安全也会SDN化，即软件定义安全。全部检查设备都会演进成软件形态，运行在容
器或者虚拟主机中。运维人员能够方便的改变不同应用数据流的检查过程，例如有些应
用的数据流需要经过WAF检查，有些应用的数据流需要经过病毒扫描或者IPS检查。甚至
这种改变是根据流量与进程行为的分析而智能实现的。
 参考答案：

 ACD。

 D。
 进程控制：对正在运行的进程进行资源控制和管理。

 进程同步：相互协作的进程之间有共享的数据，在这里会出现进程并发执行，如何确保
这些进程并发执行，即进程同步。

 进程通信：进程通信就是说在进程之间传输数据。

 进程调度：在多道程序运行时，每个程序都需要一个处理器，操作系统动态地把处理机
分配给某一个进程，以使之执行。
 内存分配：指在程序执行的过程中分配内存的方法。

 内存保护：内存分配前，需要保护操作系统不受用户进程的影响，同时保护正在运行的
用户进程不受其他用户进程的影响。

 内存扩充：有限的容量无法满足大程序和多个程序的存储要求，所以操作系统的存储器
管理需要能够支持内存的扩充。
 缓冲管理：为了缓和CPU与I/O设备之间速度不匹配的问题，提高CPU和I/O设备的并行性，
在现代操作系统中，几乎所有的I/O设备在与处理机交换数据时都用了缓冲区。缓冲管理
的主要职责是组织好这些缓冲区，并提供获得和释放缓冲区的手段。

 设备分配：每当进程向系统提出I/O请求时，只要是安全的，设备分配程序会按照一定的
策略，把设备分配给进程。

 虚拟设备：通过虚拟技术将一个物理设备虚拟成多个逻辑设备，提供多个用户进程使用。
 Windows采用了图形化模式GUI，比起从前的DOS需要键入指令使用的方式更为人性化。
随着电脑硬件和软件的不断升级，微软的Windows也在不断升级，从架构的16位、32位
再到64位， 系统版本从最初的Windows 1.0 到大家熟知的Windows 95、Windows 98、
Windows ME、Windows 2000、Windows 2003、Windows XP、Windows Vista、
Windows 7、Windows 8、Windows 8.1、Windows 10 和 Windows Server服务器企业级
操作系统，不断持续更新，微软一直在致力于Windows操作系统的开发和完善。

 Windows操作系统目前最新的稳定性操作系统是于2015年7月29日发布的 Windows 10。

Windows Server目前最新的稳定性操作系统是2016年9月26日发布的Windows Server
2016。
 这4种用户模式下的进程分别是：

 Fixed系统支持进程，比如登陆进程和Session管理器，它们都不是Windows服务
（不是通过SCM即服务控制管理器启动的）。

 服务进程，比如任务调度器和打印机服务，这些服务一般都需要用户登陆才可以
运行。很多服务应用程序，比如sql server和exchange server都以服务的方式运行。

 用户程序，可以是Windows32位或64位，Windows3.1 16位，MS-DOS 16位，或者

POSIX 32位或64位，注意16位程序只能运行在32位系统上。

 环境子系统服务器进程，实现了部分支持操作系统的环境，也可以说是展现给用
户或者开发者的个性化界面。Windows NT最初发布时带有Windows，POSIX，
OS/2三个子系统，Windows 2000是最后带有POSIX和OS/2的子系统，旗舰版和企
业版的Windows也支持一个加强版的POSIX子系统，叫做SUA（基于UNIX的应用）。

 注意：服务进程和用户程序之下的“子系统DLL”。在Windows下，用户程序不直接调用
本地Windows服务，而是通过子系统DLL来调用。子系统DLL的角色是将文档化的函数翻
译成该用的非文档化的系统服务（未公开的）。
 内核模式的几个组件包括：

 Windows执行实体，包括基础系统服务，比如内存管理器，进程和线程管理器，
安全管理，I/O管理，网络，进程间通信。

 Windows内核，包括底层系统函数，比如线程调度，中断，异常分发，多核同步。
也提供了一些routine和实现高层结构的基础对象。

 设备驱动，包括硬件设备驱动（翻译用户I/O到硬件I/O），软件驱动（例如文件和
网络驱动）。

 硬件抽象层，独立于内核的一层代码，将设备驱动与平台的差异性分离开。

 窗口和图形系统，实现了GUI函数，处理用户接口和绘图。
 服务器操作系统与个人用户操作系统有什么区别？

 性能的稳定性，服务器要比个人用户操作系统要高得多；

 在文件管理或网络应用上，服务器能更好的发挥功效；

 在图形及娱乐上来说，个人用户操作系统要比服务器有着更好的功效；

 服务器操作系统的安全性及可协调性要比个人用户操作系统高；

 服务器版操作系统包含服务器端专用的功能和管理工具，对安全和稳定性方面也有更严
格的要求，相对来说速度上就慢了些。同时服务器版还会支持特殊的硬件。

 普通用户的系统没有专业的功能，也没有必要，反之会加入面向个人用户媒体管理的软
件和功能。
 Multics计划

 上个世纪六十年代，那个计算机还没有很普及，只有少数人才能使用，而且当时
的计算机系统都是批处理的，就是把一批任务一次性提交给计算机，然后就等待
结果。并且中途不能和计算机交互。往往准备作业都需要花费很长时间，并且这
个时候别人也不能用，导致了计算机资源的浪费。

 为了改变这种情况，在1965年前后，贝尔实验室（Bell）、麻省理工学院（MIT）
以及通用电气（GE）联合起来准备研发一个分时多任务处理系统，简单来说就是
实现多人同时使用计算机的梦想，并把计算机取名为Multics（多路信息计算系
统），但是由于项目太复杂，加上其他原因导致了项目进展缓慢，1969年贝尔实
验室觉得这个项目可能不会成功，于是就退出不玩了。

 Unix的诞生

 Bell退出Multics计划之后，Bell实验室的那批科学家就没有什么事做了，其中一个
叫做Ken Thompson的人在研发Multics的时候，写了一个叫做太空大战（Space
Travel）的游戏，Ken Thompson和Dennis Ritchie为了这个游戏需要一个操作系统，
他们找了一台闲置的PDP-7机器，在上面以C语言为基础写了个Multics的改编版，
于1971年正式发布。这个东西就是后来名扬天下的UNIX了。
 苹果的标志是一只被咬了一口的苹果，微软的标志是一面窗户，而Linux的标志（吉祥物）
则是一只名为Tux的企鹅。

 企鹅的来源

 1994年发表Linux正式核心1.0的时候，大家要Linus Torvalds想一只吉祥物，他想起
曾经在澳大利亚的一个动物园里被企鹅咬过，干脆就以企鹅来当吉祥物了！

 更容易接受的说法是：企鹅代表南极，而南极又是全世界共有个一块陆地，不属
于任何国家。也就是说Linux不属于任何商业公司，是全人类每个人都可以分享的
一项技术成果。
 Linux系统一般有4个主要部分：内核、shell、文件系统和应用程序。

 内核、shell、文件系统和应用程序、管理文件并使用系统。

 Linux内核

 内核是操作系统的核心，具有很多最基本功能，它负责管理系统的进程、内存、
设备驱动程序、文件和网络系统，决定着系统的性能和稳定性。

 Linux 内核由如下几部分组成：内存管理、进程管理、设备驱动程序、文件系统和
网络管理等。

 Linux Shell

 shell是系统的用户界面，提供了用户与内核进行交互操作的一种接口。它接收用
户输入的命令并把它送入内核去执行，是一个命令解释器。另外，shell编程语言
具有普通编程语言的很多特点，用这种编程语言编写的shell程序与其他应用程序
具有同样的效果。

 Linux 文件系统

 文件系统是文件存放在磁盘等存储设备上的组织方法。Linux系统能支持多种目前
流行的文件系统，如EXT2、 EXT3、 FAT、 FAT32、 VFAT和ISO9660。

 Linux 应用

 标准的Linux系统一般都有一套都有称为应用程序的程序集，它包括文本编辑器、
编程语言、X Window、办公套件、Internet工具和数据库等。
 Linux的基本思想有两点：

 一切都是文件。

 每个软件都有确定的用途。

 其中第一条详细来讲就是系统中的所有都归结为一个文件，包括：命令、硬件和软件设
备、操作系统、进程等等，对于操作系统内核而言，都被视为拥有各自特性或类型的文
件。至于说Linux是基于Unix的，很大程度上也是因为这两者的基本思想十分相近。
 完全免费

 Linux是一款免费的操作系统，用户可以通过网络或其它途径免费获得，并可以任
意修改其源代码。这是其它操作系统所做不到的。正是由于这一点，来自全世界
的无数程序员参与了Linux的修改、编写工作，程序员可以根据自己的兴趣和灵感
对其进行改变，这让Linux吸收了无数程序员的精华，不断壮大。

 多用户、多任务

 Linux支持多用户，各个用户对于自己的文件设备有自己特殊的权利，保证了各用
户之间互不影响。多任务则是现在电脑最主要的一个特点，Linux可以使多个程序
同时并独立地运行。

 良好的界面

 Linux同时具有字符界面和图形界面，在字符界面用户可以通过键盘输入相应的指
令来进行操作。它同时也提供了类似Windows图形界面的X-Window系统，用户可
以使用鼠标对其进行操作。在X-Window环境中就和在Windows中相似，可以说是
一个Linux版的Windows。

 支持多种平台

 Linux可以运行在多种硬件平台上，如具有x86、680x0、SPARC、Alpha等处理器的
平台。此外Linux还是一种嵌入式操作系统，可以运行在掌上电脑、机顶盒或游戏
机上。2001年1月份发布的Linux 2.4版内核已经能够完全支持Intel 64位芯片架构。
同时Linux也支持多处理器技术。多个处理器同时工作，使系统性能大大提高。
 参考答案：

1. D。
 服务器作用非常广泛，网络游戏、网站、大部分软件都是需要存到服务器上的，还有一
些企业会部署自己的服务器，他们平时工作上的重要资料大部分都存放在服务器的硬盘
中。

 所有的服务器说白了就是我们日常使用的电脑，只是在稳定性、安全性以及处理数据性
能上更加强大，其实我们的家用电脑也可以用作服务器，只需要安装服务器的系统即可，
不过服务器对硬件稳定性和质量等要求较高，普通电脑一般都无法长期开机，必须知道，
服务器上存放的一般是重要数据，所以普通电脑是不适合做服务器的。
 作为一台服务器，我们首先要求它必须可靠，即“可用性”。因为服务器是为整个网络
的客户机提供服务，而不是本机登录的用户。只要网络中还有用户，服务器就不能中断。
在某些特殊场景中，即使没有用户使用服务器，服务器也不可以中断，因为它必须持续
不断地为用户提供服务。有些大型企业的服务器都需要提供7x24小时的服务，如网站服
务器以及提公众用户使用的Web服务器等。

 其次，服务器要为多用户提供服务，因此需要较高的连接和运算性能，这就是服务器的
“可利用性”。我们平常在使用PC机的时候，有时候都会觉得慢，要是服务器的性能和
我们所使用的PC机一样，那么它能承载这么多用户同时访问吗？答案显然是不能。所以
相比于PC机，服务器在性能上肯定是要远远超过我们所使用的PC机的。为了实现高速性
能，在处理能力上会通过采用安装对称多处理器以及插入大量的高速内存。

 第三，随着业务的不断发展，用户数的不断增多，服务器还需要保证具有一定的“可扩
展性”。为了保持高扩展性，服务器上一定会具备可扩展空间和冗余件(如磁盘矩阵位、
PCI-E和内存条插槽位等)。

 最后，为了保证提供业务的高可靠性，服务器还需要具备普通PC机没有的技术，如双机
备份、系统备份、在线诊断、故障预警等。保证在设备不停机的情况下修复服务器故障，
这就是我们所说的“可管理性”。
 入门级服务器：对于一个小部门的办公需求而言，服务器的主要作用就是是完成文件和
打印服务，一般采用入门级服务器即可。

 工作组服务器：一般情况下，如果应用不复杂，比如没有大型数据库需要管理，一班采
用工作组服务器即可。

 部门级服务器：具有较高的可用性、可靠性、可扩展性和可管理性，适合中型企业作为
Web站点和数据中心等使用。

 企业级服务器：企业级服务器主要应用于需要处理大量数据，对处理速度和可靠性要求
极高的大型企业和重要行业（如金融、交通、通信等行业）。

 x86服务器：即CISC架构服务器，也就是我们通常说的PC服务器，使用Intel或其他能兼
容x86指令集的处理器的服务器。

 非x86服务器：包括大型机、小型机和Unix服务器，他们使用RISC或EPIC处理器。

 通用服务器：没有为某种服务专门设计，可以提供各种服务功能的服务器。

 功能服务器：专门为某一种或某几种功能专门设计的服务器，可以实现“即插即用”，
无需专业人员进行专门的软硬件配置。
 什么是“U”？

 “U”是机架式服务器高度的计量单位。

 1U=1.75inch=1.75×25.4=44.45mm 。

 华为常见的机架服务器有RH1288H、RH2288H、RH5288、RH2488/2488H、RH5885H等。
 在C/S模式下，文件服务器是一台对中央存储和数据文件管理负责的计算机，这样在同
一网络中的其他计算机就可以访问这些文件。文件服务器允许用户在网络上共享信息，
而不用通过软磁盘或一些其它外部存储设备来物理地移动文件。任何计算机都能被设置
为文件服务器。最简单的形式是，文件服务器可以是一台普通的个人计算机，它处理文
件请求并在网络中发送它们。在更复杂的网络中，文件服务器也可以是一台专门的网络
附加存储（NAS）设备，它也可以作为其他计算机的远程硬盘驱动器来运行，并允许网
络中的人像在他们自己的硬盘中一样在服务器中存储文件。
 数据库服务器建立在数据库系统基础上，具有数据库系统的特性，且有其独特的—面。
主要功能如下：

 数据库管理功能，包括系统配置与管理、数据存取与更新管理、数据完整性管理
和数据安全性管理。

 数据库的查询和操纵功能 ，该功能包括数据库检索和修改。

 数据库维护功能，包括数据导入/导出管理，数据库结构维护、数据恢复功能和性
能监测。

 数据库并行运行，由于在同一时间，访问数据库的用户不止一个，所以数据库服
务器必须支持并行运行机制，处理多个事件的同时发生。
 一个电子邮件系统由三个组件构成：用户代理、邮件服务器和邮件接收协议。

 用户代理：处理发送邮件和接收邮件这个动作的应用程序。

 邮件服务器：用来接收来自用户代理发过来的邮件并发送到收件人用户代理处。

 邮件传输协议：邮件传输过程使用的协议。
 FTP服务器在文本传输上具备上传和下载功能：

 上传：将文件从自己的计算机上发送到FTP服务器上。

 下载：将文件从FTP服务器上传送到自己的计算机上。

 FTP的工作方式也是采用客户机/服务器模式。客户机和服务器使用TCP连接。FTP服务器
主要使用两个端口21和20，其中21端口用来发送和接收FTP控制信息，保持FTP会话在打
开状态；20端口用来发送和接收FTP数据。
 大家都知道，当我们在上网的时候，一般都是直接输入网址，其实这就是我们说的域名，
可是我们的计算机其实只能使用IP地址去互相识别，但是这么多的IP地址我们又很难记
住它所对应的Web服务，所以就有了域名对应IP地址的方法，因为域名更容易让我们记
住它对应的Web服务。

 注意：

 域名必须对应唯一的IP地址，一个IP地址可以对应多个域名，而IP地址不一定要有
对应的域名。
 特洛伊木马：特洛伊木马是一个有用的，或者表面上有用的程序或命令过程，包含了一
段隐藏的、激活时进行某种有害的功能的代码。

 蠕虫：网络蠕虫程序是一种通过网络从一个系统传播到另一个系统的感染性病毒程序。

 病毒：病毒是一种攻击性的程序，使用把自己的副本嵌入到其它文件的方式来感染计算
机系统。
 DoS 是 Denial of Service 的简称，即拒绝服务，造成 DoS 的攻击行为被称为 DoS 攻击，
其目的是使计算机或网络无法提供正常的服务。

 大多数的 DoS 攻击还是需要相当大的带宽，而以个人为单位的黑客们很难消耗高带宽的

资源。为了克服这个缺点，DoS 攻击者开发了分布式的攻击。

 木马成为黑客控制傀儡的工具，越来越多的计算机变成了肉鸡，被黑客所利用，并变成
了他们的攻击工具。黑客们利用简单的工具集合许多的肉鸡来同时对同一个目标发动大
量的攻击请求，这就是 DDoS(Distributed Denial of Service)攻击。
 漏洞是事先未知、事后发现的；

 漏洞是安全隐患，会使计算机遭受病毒和黑客攻击；

 漏洞如果被利用，其后果不可预知；

 漏洞一般能够被远程利用；

 漏洞一般是可以修补的。
 权限绕过和权限提升主要是为了获得期望的数据操作能力，如普通用户权限提升，获取
管理员权限等。

 拒绝服务攻击是获得对系统某些服务的控制权限，导致服务被停止。

 数据泄露主要是黑客能够访问本来不可访问的数据，如读取受限文件，服务器信息泄露
等。

 执行非授权指令主要是让程序将输入的内容作为代码来执行，从而获得远程系统的访问
权限或本地系统的更高权限，如SQL注入和缓冲区溢出等。

 漏洞的存在是网络攻击成功的必要条件之一，攻击者要成功入侵关键在于及早发现和利
用目标网络系统的漏洞。

 漏洞对网络系统的安全威胁有：普通用户权限提升、获取本地管理员权限、获取远程管
理员权限、本地拒绝服务、远程拒绝服务、服务器信息泄露、远程非授权文件访问、读
取受限文件、欺骗等。
 本地攻击漏洞的攻击者是本地合法用户或通过其他方式获得本地权限的非法用户。

 远程攻击漏洞的攻击者通过网络，对连接在网络上的远程主机进行攻击。

 高级别漏洞：能够获取管理员权限的漏洞。

 中级别漏洞：能够获取普通用户权限、读取受限文件、拒绝服务的漏洞。

 低级别漏洞：能够读取非受限文件，服务器信息泄露的漏洞。

 当然，漏洞的分类并不只有这些，比如还可以按照漏洞被人掌握的情况进行分类，又可
以分为已知漏洞、未知漏洞和0day等几种类型；按照用户群体分类，还可以分成
Windows漏洞、Linux漏洞、IE漏洞、Oracle漏洞。
 漏洞是“不可避免”，这是由系统的高度复杂性所决定的。
 漏洞扫描是一种基于网络远程检测目标网络或本地主机安全性脆弱性的技术，可以被用
来进行模拟攻击实验和安全审计。

 漏洞扫描就是一种主动的防范措施，可以有效避免黑客攻击行为。当然，黑客也可以使
用漏洞扫描技术发现漏洞并发起攻击。

 Ping扫描：Ping扫描就是确认目标主机的TCP/IP的网络是否联通，也就是扫描的IP地址是
否有设备在使用。

 端口扫描：端口扫描是用来探测主机开放的端口。一般是对指定IP地址进行某个端口值
段或者端口的扫描。

 操作系统探测：操作系统探测是用来探测目标主机的操作系统信息和提供服务的计算机
程序信息。

 漏洞扫描：漏洞扫描用来探测目标主机系统是否存在漏洞，一般是对目标主机进行特定
漏洞的扫描。

 Ping扫描确定目标主机地址，端口扫描确定目标主机开放的端口，然后基于端口扫描的
结果，进行操作系统探测，最后根据掌握的信息进行漏洞扫描。
 全连接扫描：扫描主机通过TCP/IP协议的三次握手与目标主机的指定端口建立一次完整
的连接。如果端口处于侦听状态，那么连接就能成功，否则，这个端口不可用。

 SYN扫描：扫描器向目标主机发送SYN包，如果应答是RST包，说明端口是关闭的；如果
应答报文中有SYN和ACK，说明端口处于侦听状态，再发一个RST包给目标主机停止建立
连接。

 隐蔽扫描：扫描器向目标主机端口发送一个FIN包，当FIN包到达一个关闭的端口，数据
包会被丢弃，且返回一个RST包；如果是打开的端口，FIN包只是简单的丢弃。

 被动扫描是基于主机的检测，对系统中不合适的设置、脆弱的口令以及其他同安全规则
相抵触的对象进行检查。

 主动扫描是基于网络的检测，通过执行一些脚本文件对系统进行攻击，并记录系统的反
应，从而发现其中的漏洞。
 补丁是指衣服、被褥上为遮掩破洞而钉补上的小布块。现在也指对于大型软件系统(如微
软操作系统)在使用过程中暴露的问题(一般由黑客或病毒设计者发现)而发布的解决问题
的小程序。就像衣服烂了就要打补丁一样，人编写程序不可能十全十美的，所以软件也
免不了会出现BUG，而补丁是专门修复这些BUG做的因为原来发布的软件存在缺陷，发
现之后另外编制一个小程序使其完善，这种小程序俗称补丁。补丁是由软件的原来作者
制作的，可以访问网站下载补丁。
 WannaCry利用Windows操作系统445端口存在的漏洞进行传播，并具有自我复制、主动
传播的特性。

 被该勒索软件入侵后，用户主机系统内的照片、图片、文档、音频、视频等几乎所有类
型的文件都将被加密，加密文件的后缀名被统一修改为．WNCRY，并会在桌面弹出勒
索对话框，要求受害者支付价值数百美元的比特币到攻击者的比特币钱包，且赎金金额
还会随着时间的推移而增加。
 作为用户，定期扫描，及时升级软件到最新版本，仔细核查软件配置，关闭不安全选项，
关注安全公司的威胁情报播报，应该是避免此类漏洞殃及自身的有效手段。
 参考答案：

1. A。

2. ABCD。
 防火墙技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙，用
以防止火灾发生时的火势蔓延。

 防火墙=硬件+软件+控制策略

 控制策略在表现形式上可分为两种：

 除非明确禁止，否则允许。

 除非明确允许，否则禁止。
 硬件防火墙:系统是嵌入式的系统。一般开源的较多。硬件防火墙是通过硬件和软件的组
合来达到隔离内外部网络的目的。

 软件防火墙:一般寄生在操作系统平台。软件防火墙是通过纯软件的的方式实现隔离内外
部网络的目的。

 单机防火墙：服务范围为为当前主机。

 网络防火墙:服务范围为防火墙一侧的网络。
 允许程序或功能通过Windows防火墙：设置数据的通行规则。

 更改通知设置：设置通知规则。

 打开或关闭Windows防火墙：防火墙开关界面。

 高级设置：自定义设置详细的出入站规则和连接安全规则。

 还原默认设置：初始化Windows防火墙。

 对网络进行疑难解答：检测网络出现的问题。
 更改设置：添加、更改或删除允许的程序和端口。

 详细信息：查看允许的程序和功能的详细描述。

 删除：删除在允许的程序和功能列表的里程序或功能。

 允许运行另一程序：添加程序或功能到允许的程序和功能列表中。

 在允许的程序和列表中可以选择应用到家庭/工作（专用）网络或者是公用网络当中。
 在防火墙开启的情况下，选择是否在防火墙阻止新应用时进行通知。
 打开防火墙进行安全防护或者关闭防火墙允许所有程序通过Windows防火墙。

 打开更改通知设置和打开或关闭Windows防火墙的界面是一样的。
 一旦防火墙规则没设置好，可能会出现不但没把网络恶意攻击阻隔，反而还导致用户无
法正常访问互联网。如果一旦出现自己的误操作导致无法上网，不用担心，Windows防
火墙自带还原默认值功能，只要轻点一下鼠标，防火墙就能回到初始状态。
 假设在允许程序或功能通过Windows防火墙页面还无法满足你的需求，可以进入到高级
设置界面进行更加详细的规则设置。

 在这个页面，用户可以自定义入站规则、出站规则以及连接安全规则，还可以对防火墙
进行监控。
 程序：指定特定的本地程序或所有程序在使用公有（或家用）网络时的连接规则。

 端口：指定特定的本地端口或所有端口在使用公有（或家用）网络时的连接规则。

 预定义：通过使用预先定义好的规则控制。

 自定义：指定特定的本地程序在特定的源目端口和源目IP地址在使用公有（或家用）网
络时的连接规则。
 Iptables只是防火墙和用户之间的接口，真正起到防火墙作用的是Linux内核中运行的
netfilter。Linux下的防火墙是由netfilter和iptables两个组件构成的。

 Netfilter是Linux内核中的一个框架，它提供了一系列的表，每个表又是由若干个链组成，
而每个链又包含若干条规则。

 Iptables使我们用户层面的工具，它可以添加、删除和插入规则，这些规则告诉netfilter
组件如何去处理。
 Iptables包含五条规则链，分别是：

 PREROUTING (路由前)

 INPUT (数据包流入口)

 FORWARD (转发关卡)

 OUTPUT(数据包出口)

 POSTROUTING（路由后）

 这是NetFilter规定的五个规则链，任何一个数据包，只要经过本机，必将经过这五个链
中的其中一个链。
 对于filter来讲一般只能做在3个链上：INPUT ，FORWARD ，OUTPUT。

 对于nat来讲一般也只能做在3个链上：PREROUTING ，OUTPUT ，POSTROUTING。

 而mangle则是5个链都可以做：PREROUTING，INPUT，FORWARD，OUTPUT，
POSTROUTING。
 当一个数据包进入网卡时，它首先去匹配PREROUTING链，系统会根据数据包的目的地
址判断接下来的处理过程。可能有以下3种情况：

 如果数据包的目的地址是本机，则系统会将该数据包发往INPUT链，匹配INPUT链
中的规则，如果通过规则检查，则将该数据包发送给相应的本地进程处理；如果
没有通过检查，则丢弃该数据包。

 如果数据包的目的地址不是本机，这个包将会被转发，系统把数据包发往
FORWARD链，匹配FORWARD链中的规则，如果通过规则检查，则将该数据包发
送给相应的本地进程处理；如果没有通过检查，则丢弃该数据包。

 如果数据包书本地产生的，则系统把数据包发往OUTPUT链，匹配OUTPUT链中的
规则，如果通过规则检查，则将该数据包发送给相应的本地进程处理；如果没有
通过检查，则丢弃该数据包。
 扫描器是杀毒软件的主体，主要用于扫描病毒，一个杀毒软件的杀毒效果直接取决于扫
描器编译技术和算法的先进程度。所以，多数杀毒软件都不止有一个扫描器。

 病毒库是用来存储病毒特征码的，特征码主要分为内存特征码和文件特征码。文件特征
码一般要存在于一些未被执行的文件里。内存特征码一般存在于已经运行的应用程序。

 虚拟机可以使病毒在一个由杀毒软件搭建的虚拟环境中执行。
 脱壳能力不强的杀毒软件，对付“加壳”后病毒就需要添加两条不同的特征记录。如果
黑客换一种加壳工具加壳，则对于这些杀毒软件来说又是一种新的病毒，必须添加新的
特征记录才能够查杀。如果杀毒软件的脱壳能力较强，则可以先将病毒文件脱壳，再进
行查杀，这样只需要一条记录就可以对这些病毒通杀，不仅减小杀毒软件对系统资源的
占用，同时大大提升了其查杀病毒的能力。
 目前更加先进的云查杀技术，可以做到实时访问云上的病毒库进行判断，用户无需频繁
升级病毒库就可以进行防御。
 清除：清除被蠕虫感染的文件，清除后文件恢复正常。相当于如果人生病，清除是给这
个人治病，删除是人生病后直接杀死。

 删除：删除病毒文件。这类文件不是被感染的文件，本身就含毒，无法清除，可以删除。

 禁止访问：禁止访问病毒文件。在发现病毒后用户如选择不处理则杀毒软件可能将病毒
禁止访问。用户打开时会弹出错误对话框，内容是“该文件不是有效的Win32文件”。

 隔离：病毒删除后转移到隔离区。用户可以从隔离区找回删除的文件。隔离区的文件不
能运行。

 不处理：不处理该病毒。如果用户暂时不知道是不是病毒可以暂时先不处理。

 大部分杀毒软件是滞后于计算机病毒的。所以，除了及时更新升级软件版本和定期扫描
的同时，还要注意充实自己的计算机安全以及网络安全知识，做到不随意打开陌生的文
件或者不安全的网页，不浏览不健康的站点，注意更新自己的隐私密码，配套使用安全
助手与个人防火墙等等。这样才能更好地维护好自己的电脑以及网络安全！
 参考答案：

1. BC。

2. ABC。
 防火墙技术是安全技术中的一个具体体现。防火墙原本是指房屋之间修建的一道墙，
用以防止火灾发生时的火势蔓延。我们这里讨论的是硬件防火墙，它是将各种安全技
术融合在一起，采用专用的硬件结构，选用高速的CPU、嵌入式的操作系统，支持各种
高速接口（LAN接口），用来保护私有网络（计算机）的安全，这样的设备我们称为硬
件防火墙。硬件防火墙可以独立于操作系统（HP-UNIX、SUN OS、AIX、NT等）、计算
机设备（IBM6000、普通PC等）运行。它用来集中解决网络安全问题，可以适合各种场
合，同时能够提供高效率的“过滤”。同时它可以提供包括访问控制、身份验证、数
据加密、VPN技术、地址转换等安全特性，用户可以根据自己的网络环境的需要配置复
杂的安全策略，阻止一些非法的访问，保护自己的网络安全。

 现代的防火墙体系不应该只是一个“入口的屏障”，防火墙应该是几个网络的接入控
制点，所有进出被防火墙保护的网络的数据流都应该首先经过防火墙，形成一个信息
进出的关口，因此防火墙不但可以保护内部网络在Internet中的安全，同时可以保护若
干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中，所有的计算
机之间是被认为“可信任的”，它们之间的通信不受防火墙的干涉。而在各个被防火
墙分割的网络之间，必须按照防火墙规定的“策略”进行访问。
 防火墙发展至今已经历经三代，分类方法也各式各样，例如按照形态划分可以分为硬
件防火墙及软件防火墙；按照保护对象划分可以分为单机防火墙及网络防火墙等。但
总的来说，最主流的划分方法是按照访问控制方式进行分类。

 网络防火墙，能够分布式保护整个网络，其特点：

 发安全策略集中；

 安全功能复杂多样；

 专业管理员维护；

 安全隐患小；

 策略设置复杂。
 包过滤是指在网络层对每一个数据包进行检查，根据配置的安全策略转发或丢弃数据
包。包过滤防火墙的基本原理是：通过配置访问控制列表（ACL, Access Control List）
实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报
文传递的方向等信息。

 包过滤防火墙的设计简单，非常易于实现，而且价格便宜。

 包过滤防火墙的缺点主要表现以下几点：

 随着ACL 复杂度和长度的增加，其过滤性能呈指数下降趋势；

 静态的ACL 规则难以适应动态的安全要求；

 包过滤不检查会话状态也不分析数据，这很容易让黑客蒙混过关。例如，攻击者
可以使用假冒地址进行欺骗，通过把自己主机IP地址设成一个合法主机IP地址，
就能很轻易地通过报文过滤器。

 说明：多通道协议，如FTP协议。FTP在控制通道协商的基础上，生成动态的数据通道端
口，而后的数据交互主要在数据通道上进行。
 代理服务作用于网络的应用层，其实质是把内部网络和外部网络用户之间直接进行的
业务由代理接管。代理检查来自用户的请求，用户通过安全策略检查后，该防火墙将
代表外部用户与真正的服务器建立连接，转发外部用户请求，并将真正服务器返回的
响应回送给外部用户。

 代理防火墙能够完全控制网络信息的交换，控制会话过程，具有较高的安全性。其缺
点主要表现在：

 软件实现限制了处理速度，易于遭受拒绝服务攻击；

 需要针对每一种协议开发应用层代理，开发周期长，而且升级很困难。
 状态检测是包过滤技术的扩展。基于连接状态的包过滤在进行数据包的检查时，不仅
将每个数据包看成是独立单元，还要考虑前后报文的历史关联性。我们知道，所有基
于可靠连接的数据流（即基于TCP协议的数据流）的建立都需要经过“客户端同步请
求”、“服务器应答”以及“客户端再应答”三个过程（即“三次握手”过程），这
说明每个数据包都不是独立存在的，而是前后有着密切的状态联系的。基于这种状态
联系，从而发展出状态检测技术。

 基本原理简述如下：

 状态检测防火墙使用各种会话表来追踪激活的TCP（Transmission Control Protocol）

会话和UDP（User Datagram Protocol）伪会话，由访问控制列表决定建立哪些会
话，数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协议
包时为该UDP数据流建立虚拟连接（UDP是面对无连接的协议），以对UDP 连接
过程进行状态监控的会话。

 状态检测防火墙在网络层截获数据包，然后从各应用层提取出安全策略所需要的
状态信息，并保存到会话表中，通过分析这些会话表和与该数据包有关的后续连
接请求来做出恰当决定。
 状态检测防火墙具有以下优点：

 后续数据包处理性能优异：状态检测防火墙对数据包进行ACL 检查的同时，可以
将数据流连接状态记录下来，该数据流中的后续包则无需再进行ACL检查，只需
根据会话表对新收到的报文进行连接记录检查即可。检查通过后，该连接状态记
录将被刷新，从而避免重复检查具有相同连接状态的数据包。连接会话表里的记
录可以随意排列，与记录固定排列的ACL 不同，于是状态检测防火墙可采用诸如
二叉树或哈希（Hash）等算法进行快速搜索，提高了系统的传输效率。

 安全性较高：连接状态清单是动态管理的。会话完成后防火墙上所创建的临时返
回报文入口随即关闭，保障了内部网络的实时安全。同时，状态检测防火墙采用
实时连接状态监控技术，通过在会话表中识别诸如应答响应等连接状态因素，增
强了系统的安全性。
 方式一：防火墙只进行报文转发，不能进行路由寻址，与防火墙相连两个业务网络必
须在同一个网段中。此时防火墙上下行接口均工作在二层，接口无IP地址。

 防火墙此组网方式可以避免改变拓扑结构造成的麻烦，只需在网络中像放置网桥
（Bridge）一样串入防火墙即可，无需修改任何已有的配置。IP报文同样会经过相关的
过滤检查，内部网络用户依旧受到防火墙的保护。

 方式二：防火墙位于内部网络和外部网络之间时，与内部网络、外部网络相连的上下
行业务接口均工作在三层，需要分别配置成不同网段的IP地址，防火墙负责在内部网络、
外部网络中进行路由寻址，相当于路由器。

 此组网方式，防火墙可支持更多的安全特性，比如NAT 、UTM等功能，但需要修改原
网络拓扑，例如，内部网络用户需要更改网关，或路由器需要更改路由配置等。因此，
做为设计人员需综合考虑网络改造、业务中断等因素。
 包过滤作为一种网络安全保护机制，主要用于对网络中各种不同的流量是否转发做一
个最基本的控制。

 传统的包过滤防火墙对于需要转发的报文，会先获取报文头信息，包括报文的源IP地址、
目的IP地址、IP层所承载的上层协议的协议号、源端口号和目的端口号等，然后和预先
设定的过滤规则进行匹配，并根据匹配结果对报文采取转发或丢弃处理。

 包过滤防火墙的转发机制是逐包匹配包过滤规则并检查，所以转发效率低下。目前防
火墙基本使用状态检查机制，将只对一个连接的首包进行包过滤检查，如果这个首包
能够通过包过滤规则的检查，并建立会话的话，后续报文将不再继续通过包过滤机制
检测，而是直接通过会话表进行转发。
 防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，但是同时还必须允
许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进
行检验，符合安全策略的合法数据流才能通过防火墙。

 通过防火墙安全策略可以控制内网访问外网的权限、控制内网不同安全级别的子网间
的访问权限等。同时也能够对设备本身的访问进行控制，例如限制哪些IP地址可以通过
Telnet和Web等方式登录设备，控制网管服务器、NTP服务器等与设备的互访等。
 防火墙安全策略定义数据流在防火墙上的处理规则，防火墙根据规则对数据流进行处
理。因此，防火墙安全策略的核心作用是：根据定义的规则对经过防火墙的流量进行
筛选，由关键字确定筛选出的流量如何进行下一步操作。

 在防火墙应用中，防火墙安全策略是对经过防火墙的数据流进行网络安全访问的基本
手段，决定了后续的应用数据流是否被处理。NGFW会对收到的流量进行检测，检测出
流量的属性，包括：源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、
服务（源端口、目的端口、协议类型）、应用和时间段。
 早期包过滤防火墙采取的是“逐包检测”机制，即对设备收到的所有报文都根据包过
滤规则每次都进行检查以决定是否对该报文放行。这种机制严重影响了设备转发效率，
使包过滤防火墙成为网络中的转发瓶颈。

 于是越来越多的防火墙产品采用了“状态检测”机制来进行包过滤。“状态检测”机
制以流量为单位来对报文进行检测和转发，即对一条流量的第一个报文进行包过滤规
则检查，并将判断结果作为该条流量的“状态”记录下来。对于该流量的后续报文都
直接根据这个“状态”来判断是转发（或进行内容安全检测）还是丢弃。这个“状态”
就是我们平常所述的会话表项。这种机制迅速提升了防火墙产品的检测速率和转发效
率，已经成为目前主流的包过滤机制。

 防火墙一般是检查IP报文中的五个元素，又称为“五元组”，即源IP地址和目的IP地址，
源端口号和目的端口号，协议类型。通过判断IP数据报文的五元组，就可以判断一条数
据流相同的IP数据报文。下一代防火墙除了检测五元组，还会检测报文的用户、应用和
时间段等。

 其中TCP协议的数据报文，一般情况下在三次握手阶段除了基于五元组外，还会计算及
检查其它字段。三次握手建立成功后，就通过会话表中的五元组对设备收到后续报文
进行匹配检测，以确定是否允许此报文通过。
 可以看出，对于已经存在会话表的报文的检测过程比没有会话表的报文要短很多。而
通常情况下，通过对一条连接的首包进行检测并建立会话后，该条连接的绝大部分报
文都不再需要重新检测。这就是状态检测防火墙的“状态检测机制”相对于包过滤防
火墙的“逐包检测机制”的改进之处。这种改进使状态检测防火墙在检测和转发效率
上有迅速提升。
 对于TCP报文

 开启状态检测机制时，首包（SYN报文）建立会话表项。对除SYN报文外的其他
报文，如果没有对应会话表项（设备没有收到SYN报文或者会话表项已老化），
则予以丢弃，也不会建立会话表项。

 关闭状态检测机制时，任何格式的报文在没有对应会话表项的情况下，只要通过
各项安全机制的检查，都可以为其建立会话表项。

 对于UDP报文

 UDP是基于无连接的通信，任何UDP格式的报文在没有对应会话表项的情况下，
只要通过各项安全机制的检查，都可以为其建立会话表项。

 对于ICMP报文

 开启状态检测机制时，没有对应会话的ICMP应答报文将被丢弃。

 关闭状态检测机制时，没有对应会话的应答报文以首包形式处理
 会话是状态检测防火墙的基础，每一个通过防火墙的数据流都会在防火墙上建立一个
会话表项，以五元组（源目的IP地址、源目的端口、协议号）为Key值，通过建立动态
的会话表提供域间转发数据流更高的安全性。下一代防火墙在五元组基础上增加用户、
应用字段扩展为七元组。

 下一代防火墙会话表包括七个元素：

 源IP地址

 源端口

 目的IP地址

 目的端口

 协议号

 用户

 应用
 display firewall session table命令输出信息描述。

 current total sessions: 当前会话表数统计

 telnet/http: 协议名称

 VPN:public-->public: VPN实例名称，表示方式为：源方向-->目的方向

 192.168.3.1:2855-->192.168.3.2:23: 会话表信息

 display firewall session table verbose命令输出信息描述。

 current total sessions: 当前会话表数统计

 http: 协议名称

 VPN:public-->public: VPN实例名称，表示方式为：源方向-->目的方向

 ID: 当前会话ID

 zone:trust-->local:会话的安全区域，表示方式为：源安全区域-->目的安全区域

 TTL:该会话表项总的生存时间

 Left:该会话表项剩余生存时间

 Output-interface: 出接口

 NextHop:下一跳IP地址

 MAC:下一跳MAC地址
 <--packets:3073 bytes:3251431:该会话入方向的报文数（包括分片）和字节数统
计

 -->packets:2881 bytes:705651:该会话出方向的分片报文数（包括分片）和字节数
统计

 PolicyName:报文匹配的策略名称
 首包流程会做安全策略过滤，后续包流程不做安全策略过滤。
 流量通过NGFW时，安全策略的处理流程如下：

 NGFW会对收到的流量进行检测，检测出流量的属性，包括：源安全区域、目的
安全区域、源地址/地区、目的地址/地区、用户、服务（源端口、目的端口、协
议类型）、应用和时间段。

 NGFW将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配，则此流
量成功匹配安全策略。如果其中有一个条件不匹配，则继续匹配下一条安全策略。
以此类推，如果所有安全策略都不匹配，则NGFW会执行缺省安全策略的动作
（默认为“禁止”）。

 如果流量成功匹配一条安全策略，NGFW将会执行此安全策略的动作。如果动作
为“禁止”，则NGFW会阻断此流量。如果动作为“允许”，则NGFW会判断安
全策略是否引用了安全配置文件。如果引用了安全配置文件，则继续进行步骤4
的处理；如果没有引用安全配置文件，则允许此流量通过。

 如果安全策略的动作为“允许”且引用了安全配置文件，则NGFW会对流量进行
内容安全的一体化检测。

 一体化检测是指根据安全配置文件的条件对流量的内容进行一次检测，根据检测的结
果执行安全配置文件的动作。如果其中一个安全配置文件阻断此流量，则NGFW阻断此
流量。如果所有的安全配置文件都允许此流量转发，则NGFW允许此流量转发。
 与传统防火墙安全策略相比，下一代防火墙的安全策略体现了以下优势：

 能够通过“用户”来区分不同部门的员工，使网络的管理更加灵活和可视：

 能够有效区分协议（例如HTTP）承载的不同应用（例如网页IM、网页游戏等），
使网络的管理更加精细：

 能够通过安全策略实现内容安全检测，阻断病毒、黑客等的入侵，更好的保护内
部网络。
 新建安全区域步骤：

 选择“网络 > 安全区域”。

 单击“新建”。

 配置安全区域的参数。
 设备能够识别出流量的属性，并将流量的属性与安全策略的条件进行匹配。如果所有
条件都匹配，则此流量成功匹配安全策略。流量匹配安全策略后，设备将会执行安全
策略的动作。

 如果动作为“允许”，则对流量进行内容安全检测。如果内容安全检测也通过，则允
许流量通过；如果内容安全检测没有通过，则禁止流量通过。

 如果动作为“禁止”，则禁止流量通过。
 通过Web界面配置地址和地址组的步骤：

 选择“对象 > 地址 > 地址（或地址组）”。

 单击“新建”，配置地址（或地址组）的各项参数。

 单击“确定”，可以在页面上看到新建的地址。
 通过Web界面配置地址和地址组的步骤：

 选择“对象 > 地区 > 地区（或地区组）”。

 单击“新建”，配置自定义地区（或地区组）参数。

 单击“确定”。
 预定义服务通常都是知名协议，例如HTTP、FTP、Telnet等。预定义服务不能被删除

 通过Web界面配置服务的步骤（配置服务组与此类似）：

 选择“对象 >服务 > 服务”。

 单击“新建”，配置自定义服务各项参数。

 单击“确定”。
 通过Web界面配置服务的步骤（配置服务组与此类似）：

 选择“对象 >服务 > 服务”。

 单击“新建”，配置自定义服务各项参数。

 单击“确定”。
 通过Web界面配置时间段的步骤：

 选择“对象 > 时间段”。

 单击“新建”。

 在“名称”中输入时间段列表的名称。

 创建时间段成员。

 单击“确定”。
 通过Web界面配置安全策略的步骤：

 选择“策略 > 安全策略 > 安全策略”。

 单击“新建”。

 配置安全策略规则的名称和描述。

 配置安全策略规则的匹配条件。

 配置安全策略规则的动作。

 配置安全策略引用内容安全的配置文件。

 单击“确定”。
 配置思路：

 规划安全策略。需求是需要允许192.168.5.0/24这个大范围的网段通过，然后拒
绝这个范围内的几个特殊IP。这样需要配置2条转发策略，先配置拒绝特殊IP通过
的转发策略，然后再配置允许整个网段通过的转发策略。如果配置反了，几个特
殊的IP就会先匹配上大范围的策略通过防火墙了，不会再继续匹配下边的特殊策
略了。

 地址集规划。需求中是通过IP地址控制访问权限，那么需要在转发策略中指定IP
地址作为匹配条件。对于连续的地址段可以在策略中直接配置，但是对于零散的
地址建议配置为地址集，对地址集进行统一控制，而且也方便被其他策略复用。
所以在本例中可以将几个特殊的IP地址配置成一个地址集。

 配置转发策略，控制上网权限。
 安全策略配置思路：

 管理员应首先明确需要划分哪几个安全区域，接口如何连接，分别加入哪些安全
区域。

 管理员选择根据“源地址”或“用户”来区分企业员工。

 先确定每个用户组的权限，然后再确定特殊用户的权限。包括用户所处的源安全
区域和地址，用户需要访问的目的安全区域和地址，用户能够使用哪些服务和应
用，用户的网络访问权限在哪些时间段生效等。如果想允许某种网络访问，则配
置安全策略的动作为“允许”；如果想禁止某种网络访问，则配置安全策略的动
作为“禁止”。

 确定对哪些通过防火墙的流量进行内容安全检测，进行哪些内容安全检测。

 将以上步骤规划出的安全策略的参数一一列出，并将所有安全策略按照先精确
（条件细化的、特殊的策略）再宽泛（条件为大范围的策略）的顺序排序。在配
置安全策略时需要按照此顺序进行配置。
 ip_deny地址集配置如下：

 [sysname] ip address-set ip_deny type object

 [sysname-object-address-set-ip_deny] address 0 192.168.5.2 0

 [sysname-object-address-set-ip_deny] address 1 192.168.5.3 0

 [sysname-object-address-set-ip_deny] address 2 192.168.5.6 0

 配置名称为ip_deny的地址组，将几个不允许上网的IP地址加入地址组：

 选择“对象 > 地址 > 地址”。

 单击“新建”，配置地址的各项参数。

 单击“确定”，可以在页面上看到新建的地址。
 配置拒绝特殊地址组ip_deny内IP地址访问Internet的安全策略，选取地址为“ip_deny”，
动作为“deny”。
 配置允许192.168.5.0/24网段访问Internet的安全策略，输入地址为“192.168.5.0/24”，
动作为“action”。
 大部分多媒体应用协议（如H.323、SIP）、FTP、netmeeting等协议使用约定的固定端
口来初始化一个控制连接，再动态的选择端口用于数据传输。端口的选择是不可预测
的，其中的某些应用甚至可能要同时用到多个端口。传统的包过滤防火墙可以通过配
置ACL过滤规则匹配单通道协议的应用传输，保障内部网络不受攻击，但只能阻止一些
使用固定端口的应用，无法匹配使用协商出随机端口传输数据的多通道协议应用，留
下了许多安全隐患。
 ASPF在session表的数据结构中维护着连接的状态信息，并利用这些信息来维护会话的
访问规则。ASPF保存着不能由访问控制列表规则保存的重要的状态信息。防火墙检验
数据流中的每一个报文，确保报文的状态与报文本身符合用户所定义的安全规则。连
接状态信息用于智能的允许/禁止报文。当一个会话终止时，session表项也将被删除，
防火墙中的会话也将被关闭。

 ASPF可以智能的检测“TCP的三次握手的信息”和“拆除连接的握手信息”，通过检测
握手、拆连接的状态检测，保证一个正常的TCP访问可以正常进行，而对于非完整的
TCP握手连接的报文会直接拒绝。

 UDP是无连接的报文，所以也没有真正的UDP“连接”。因为ASPF是基于连接的，它将
对UDP报文的源、目的IP地址、端口进行检查，通过判断该报文是否与所设定的时间段
内的其他UDP报文相类似，而近似判断是否存在一个连接。

 在普通的场合，一般使用的是基于ACL的IP包过滤技术，这种技术比较简单，但缺乏一
定的灵活性，在很多杂应用的场合普通包过滤是无法完成对网络的安全保护的。例如
对于类似于应用FTP协议进行通信的多通道协议来说，配置防火墙则是非常困难的。

 ASPF使防火墙能够支持一个控制连接上存在多个数据连接的协议，同时还可以在应用
非常复杂的情况下方便的制订各种安全的策略。ASPF监听每一个应用的每一个连接所
使用的端口，打开合适的通道让会话中的数据能够出入防火墙，在会话结束时关闭该
通道，从而能够对使用动态端口的应用实施有效的访问控制。
 在多通道协议中，如FTP，控制通道和数据通道是分开的。数据通道是在控制报文中动
态协商出来的，为了避免协商出来的通道不因其他规则的限制（如ACL）而中断，需要
临时开启一个通道，Servermap就是为了满足这种应用而设计的一种数据结构。

 FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道，对于一般的包过
滤防火墙来说，配置安全策略时无法预知数据通道的端口号，因此无法确定数据通道
的入口，这样就无法配置准确的安全策略。ASPF技术则解决了这一问题，它检测IP层之
上的应用层报文信息，并动态地根据报文的内容创建和删除临时的servermap表项，以
允许相关的报文通过。

 从图中可以看出，servermap表项是对FTP控制通道中动态检测过程中动态产生的，当报
文通过防火墙时，ASPF将报文与指定的访问规则进行比较，如果规则允许，报文将接
受检查，否则报文直接被丢弃。如果该报文是用于打开一个新的控制或数据连接，
ASPF将动态的产生servermap表项，对于回来的报文只有是属于一个已经存在的有效的
连接，才会被允许通过防火墙。在处理回来的报文时，状态表也需要更新。当一个连
接被关闭或超时后，该连接对应的状态表将被删除，确保未经授权的报文不能随便透
过防火墙。因此通过ASPF技术可以保证在应用复杂的情况下，依然可以非常精确的保
证网络的安全。

 Server-map是一种映射关系，当数据连接匹配了动态Server-map表项时，不需要再查找
包过滤策略，保证了某些特殊应用的正常转发。另一种情况，当数据连接匹配Server-
map表，会对报文中IP和端口进行转换。

 Server-map通常只是用检查首个报文，通道建立后的报文还是根据会话表来转发。
 目前，FW上生成Server-map表项共有如下几种情况：配置ASPF后，转发FTP、RTSP等多
通道协议时生成的Server-map表项。配置ASPF后，转发QQ/MSN、TFTP等STUN类型协议
时生成的三元组Server-map表项。配置NAT服务器映射时生成的静态Server-map。配置
NAT No-PAT时生成的动态Server-map。配置NAT Full-cone时生成的动态Server-map。配
置PCP时生成的动态Server-map。配置服务器负载均衡时生成的静态Server-map。配置
DS-Lite场景下NAT Server时生成的动态Server-map。配置静态NAT64时生成的静态
Server-map。

 多通道协议会由客户端和服务器之间的控制通道动态协商出数据通道，即通信双方的
端口号是不固定的。而在配置ASPF功能后，设备检测到控制通道的协商，根据关键报
文载荷中的地址信息动态创建server-map表项，用于数据通道发起连接时进行查找。这
个server-map表项包含了多通道协议报文中协商的数据通道的信息。

 QQ/MSN等协议中，当用户登录之后，用户的IP地址和端口就固定下来了，可是会向该
用户发起对话的另一方的IP地址和端口号是不固定的。通过配置STUN类型的ASPF，当
QQ或者MSN等用户连接服务器时，设备会记录下用户的IP地址和端口信息，并动态生
成STUN类型的Server-map。这个server-map表项中仅包含三元组信息，即通信一方的IP
地址，端口号和协议号。这样其他用户可以直接通过该IP和端口与该用户进行通信。
 在使用NAT Server功能时，外网的用户向内部服务器主动发起访问请求，该用户的IP地
址和端口号都是不确定的，唯一可以确定的是内部服务器的IP地址和所提供服务的端口
号。所以在配置NAT Server成功后，设备会自动生成Server-map表项，用于存放Globle
地址与Inside地址的映射关系。设备根据这种映射关系对报文的地址进行转换并转发。
每个生效的NAT Server都会生成正反方向两个静态的Server-map。在SLB功能中，由于需
要将内网多个服务器以同一个IP地址对外发布，所以也会建立与NAT Server类似的
Server-map表项，只不过根据内网服务器的个数需要建立1个正向表项和N个反向表项。

 在使用NAT功能时，如果配置了No-PAT参数，那么设备会对内网IP和公网IP进行一对一
的映射，而不进行端口转换。此时，内网IP的所有端口号都可以被映射为公网地址的对
应端口，外网用户也就可以向内网用户的任意端口主动发起连接。所以配置NAT No-
PAT后，设备会为有实际流量的数据流建立Server-map表，用于存放私网IP地址与公网IP
地址的映射关系。设备根据这种映射关系对报文的地址进行转换，然后进行转发。
 端口识别，也称端口映射，是防火墙用来识别使用非标准端口的应用层协议报文。端
口映射支持的应用层协议包括FTP、HTTP、RTSP、PPTP、MGCP、MMS、SMTP、H323、
SIP、SQLNET。

 端口识别基于ACL进行，只有匹配某条ACL的报文，才会实施端口映射。端口映射使用
基本ACL（编号2000～2999）。端口映射在使用ACL过滤报文时，使用报文的目的IP地
址去匹配基本ACL中配置的源IP地址。

 ACL(Access Control List),访问控制列表是一系列有顺序的规则组的集合，这些规则根据

数据包的源地址、目的地址、端口号等来描述。ACL通过规则对数据包进行分类，这些
规则应用到路由设备上，路由设备根据这些规则判断哪些数据包可以接收，哪些数据
包需要拒绝。

 ACL分为以下四类：

 基本ACL（2000～2999）：只能通过源IP地址和时间段来进行流量匹配，在一些
只需要进行简单匹配的功能可以使用。

 高级ACL（3000～3999）：通过源IP地址、目的IP地址、ToS、时间段、协议类型、
优先级、ICMP报文类型和ICMP报文码等多个维度来对进行流量匹配，在大部分
功能中都可使用高级ACL来进行精确流量匹配。

 基于MAC地址的ACL（4000～4999）：可以通过源MAC地址、目的MAC地址、
CoS、协议码等维度来进行流量匹配。
 硬件包过滤ACL（9000～9499）：将硬件包过滤ACL下发到接口卡上后，接口卡通过硬
件实现包过滤功能，比普通的软件包过滤速度更快，消耗系统资源更少。硬件包过滤
ACL的匹配条件比较全面，可以通过源IP地址、目的IP地址、源MAC地址、目的MAC地
址、CoS、协议类型等维度来进行流量匹配。

 端口映射功能只对安全域间的数据流动生效，因此在配置端口映射时，也必须配置安
全区域和安全域间。

 思考：ACL所匹配的应用系统对象是什么？
 网络设备在传输报文时，如果设备上配置的MTU（Maximum Transfer Unit）小于报文长
度，则会将报文分片后继续发送。理想情况下，各分片报文将按照固定的先后顺序在
网络中传输。在实际传输过程中，可能存在首片分片报文不是第一个到达防火墙的现
象。此时，防火墙将丢弃该系列分片报文。为保证会话的正常进行，缺省情况下，防
火墙支持分片缓存功能。设备会将非首片的分片报文缓存至分片散列表，等待首片到
来建立会话后，将所有分片报文进行转发。若在指定的时间内首片分片报文没有到来，
防火墙将丢弃分片缓存中的分片报文。

 在VPN应用中(如IPSEC和GRE)，由于需要设备对分片报文进行重组后解密或者解封装，
设备才能进行后续处理，所以必须将设备配置成分片缓存状态，完成原始报文重组之
后，才可以进行相应的加密解密处理。在NAT应用中，需要设备对分片报文进行重组后
才能正常解析和转换报文中的IP地址，所以也必须将设备配置成分片缓存状态，才可以
正常进行NAT。

 分片报文直接转发功能一般用在不进行NAT转换的情况下。开启该功能后，防火墙将收
到的分片报文直接转发出去，不创建会话表。

 配置分片缓存老化时间

 Firewall session aging-time fragment interval (1-40000)

 开启/关闭分片报文直接转发功能

 Firewall fragment-forward enable/disable

 当一个TCP会话的两个连续报文到达防火墙的时间间隔大于该会话的老化时间时，为保
证网络的安全性，防火墙将从会话表中删除相应会话信息。这样，后续报文到达防火
墙后，防火墙将丢弃该报文，导致连接中断。在实际的网络环境中，某些特殊的业务
数据流的会话信息需要长时间不被老化。为了解决这一问题，防火墙支持在安全域间
配置长连接功能，通过引用ACL定义数据流规则，为匹配ACL规则的特定报文的会话设
置超长老化时间，确保会话正常进行。缺省情况下，长连接的老化时间为168小时
（7*24小时）。

 防火墙仅支持对TCP协议报文配置域间长连接功能。

 状态检测机制关闭时，非首包也可以建立会话表，所以此时不需使用长连接功能也可
保持业务的正常运行。

 配置长连接老化时间

 Firewall long-link aging-time time

 开启长连接功能

 Firewall interzone zone-name1 zone-name2

 lonk-link acl-number { inbound | outbound }

 ABC

 A
 早在上世纪90年代初，有关RFC文档就提出IP地址耗尽的可能性。基于TCP/IP协议的
Web应用使互联网迅速扩张，IPv4地址申请量越来越大。互联网可持续发展的问题日益
严重。IPv6的提出，就是为了从根本上解决IPv4地址不够用的问题。IPv6地址集将地址
位数从IPv4的32位扩展到了128位。对于网络应用来说，这样的地址空间几乎是无限大。
因此IPv6技术可以从根本上解决地址短缺的问题。但是，IPv6面临着技术不成熟、更新
代价巨大等尖锐问题，要想替换现有成熟且广泛应用的IPv4网络，还有很长一段路要走。
 既然不能立即过渡到IPv6网络，那么必须使用一些技术手段来延长IPv4的寿命。其中广
泛使用的技术包括无类域间路由（CIDR， Classless Inter-Domain Routing）、可变长子
网掩码（VLSM， Variable Length Subnet Mask）和网络地址转换（NAT， Network
Address Translation）。
 私网地址出现的目的是为了实现地址的复用，提高IP地址资源的利用率，为了满足一些
实验室、公司或其他组织的独立于Internet之外的私有网络的需求，RFCA（Requests For
Comment）1918为私有使用留出了三个IP地址段。具体如下：
 A类IP地址中的10.0.0.0～10.255.255.255（10.0.0.0/8）
 B类IP地址中的172.16.0.0～172.31.255.255（172.16.0.0/12）
 C类IP地址中的192.168.0.0～192.168.255.255（192.168.0.0/16）
 上述三个范围内的地址不能在Internet上被分配，因而可以不必申请就可以自由使用。
内网使用私网地址，外网使用公网地址，如果没有NAT将私网地址转换为公网地址，会
造成通信混乱，最直接的后果就是无法通信。
 使用私网地址和外网进行通信，必须使用NAT技术进行地址转换，保证通信正常。
 NAT技术除了可以实现地址复用，节约宝贵IP地址资源的优点外，还有其他一些优点，
NAT技术的发展，也不断吸收先进的理念，总的来说，NAT的优点和不足如下：

 NAT的优点：

 可以使一个局域网中的多台主机使用少数的合法地址访问外部的资源，也可以设
定内部的WWW、FTP、Telnet等服务提供给外部网络使用，解决了IP地址日益短
缺的问题。

 对于内外网络用户，感觉不到IP地址转换的过程，整个过程对于用户来说是透明
的。

 对内网用户提供隐私保护，外网用户不能直接获得内网用户的IP地址、服务等信
息，具有一定的安全性。

 通过配置多个相同的内部服务器的方式可以减小单个服务器在大流量时承担的压
力，实现服务器负载均衡。

 NAT的不足：

 由于需要对数据报文进行IP地址的转换，涉及IP地址的数据报文的报头不能被加
密。在应用协议中，如果报文中有地址或端口需要转换，则报文不能被加密。例
如，不能使用加密的FTP连接，否则FTP的port命令不能被正确转换。

 网络监管变得更加困难。例如，如果一个黑客从内网攻击公网上的一台服务器，
那么要想追踪这个攻击者很难。因为在报文经过NAT转换设备的时候，地址经过
了转换，不能确定哪台才是黑客的主机。
 NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程，主要用于实现内部网
络（私有IP地址）访问外部网络（公有IP地址）的功能。从实现上来说，一般的NAT转
换设备（实现NAT功能的网络设备）都维护着一张地址转换表，所有经过NAT转换设备
并且需要进行地址转换的报文，都会通过这个表做相应的修改。地址转换的机制分为
如下两个部分：

 内部网络主机的IP地址和端口转换为NAT转换设备外部网络地址和端口。

 外部网络地址和端口转换为NAT转换设备内部网络主机的IP地址和端口。

 也就是<私有地址+端口>与<公有地址+端口>之间相互转换。

 NAT转换设备处于内部网络和外部网络的连接处。内部的PC与外部服务器的交互报文全
部通过该NAT转换设备。常见的NAT转换设备有路由器、防火墙等。
 根据应用场景的不同，NAT可以分为以下三类：

 源NAT（Source NAT）：用来使多个私网用户能够同时访问Internet。

 地址池方式:采用地址池中的公网地址为私网用户进行地址转换，适合大量
的私网用户访问Internet的场景。

 出接口地址方式（Esay IP）：内网主机直接借用公网接口的IP地址访问
Internet，特别适用于公网接口IP地址是动态获取的情况。

 服务器映射：用来使外网用户能够访问私网服务器。

 静态映射（NAT Server）：公网地址和私网地址一对一进行映射，用在公网
用户访问私网内部服务器的场景。
 基于源IP地址的NAT是指对发起连接的IP报文头中的源地址进行转换。它可以实现内部
用户访问外部网络的目的。通过将内部主机的私有地址转换为公有地址，使一个局域
网中的多台主机使用少数的合法地址访问外部资源，有效的隐藏了内部局域网的主机IP
地址，起到了安全保护的作用。

 不带端口转换的地址池方式通过配置NAT地址池来实现，NAT地址池中可以包含多个公
网地址。转换时只转换地址，不转换端口，实现私网地址到公网地址一对一的转换。
如果地址池中的地址已经全部分配出去，则剩余内网主机访问外网时不会进行NAT转换，
直到地址池中有空闲地址时才会进行NAT转换。
 带端口转换的地址池方式通过配置NAT地址池来实现，NAT地址池中可以包含一个或多
个公网地址。转换时同时转换地址和端口，即可实现多个私网地址共用一个或多个公
网地址的需求。

 此方式下，由于地址转换的同时还进行端口的转换，可以实现多个私网用户共同使用
一个公网IP地址上网，防火墙根据端口区分不同用户，所以可以支持同时上网的用户数
量更多。这是一种利用第四层信息来扩展第三层地址的技术，一个IP地址有65535个端
口可以使用。理论上来说，一个地址可以为其他65535个地址提供NAT转换，防火墙还
能将来自不同内部地址的数据报文映射到同一公有地址的不同端口号上，因而仍然能
够共享同一地址，对比一对一或多对多地址转换。这样极大的提升了地址空间，增加
了IP地址的利用率。 因此带端口转换是最常用的一种地址转换方式。
 出接口地址方式也称为Easy IP，即直接使用接口的公网地址作为转换后的地址，不需要
配置NAT地址池。转换时同时转换地址和端口，即可实现多个私网地址共用外网接口的
公网地址的需求。
 在以太网数据帧结构中，IP首部包含32位的源IP地址和32位的目的IP地址，TCP首部包
含16位的源端口号和16位的目的端口号。

 但是很多协议会通过IP报文的数据载荷进行新端口甚至新IP地址的协商。协商完成之后，
通信双方会根据协商结果建立新的连接进行后续报文的传输。而这些协商出来的端口
和IP地址往往是随机的，管理员并不能为其提前配置好相应的NAT规则，这些协议在
NAT转换过程中就会出现问题。

 普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能，但对应用层数据载
荷中的字段无能为力，在许多应用层协议中，比如多媒体协议（H.323、SIP等）、FTP、
SQLNET等，TCP/UDP载荷中带有地址或者端口信息，这些内容不能被NAT进行有效的转
换，就可能导致问题。而NAT ALG（Application Level Gateway，应用层网关）技术能对
多通道协议进行应用层报文信息的解析和地址转换，将载荷中需要进行地址转换的IP地
址和端口或者需特殊处理的字段进行相应的转换和处理，从而保证应用层通信的正确
性。

 例如，FTP应用就由数据连接和控制连接共同完成，而且数据连接的建立动态地由控制
连接中的载荷字段信息决定，这就需要ALG来完成载荷字段信息的转换，以保证后续数
据连接的正确建立。

 为了实现应用层协议的转发策略而提出了ASPF功能。ASPF功能的主要目的是通过对应
用层协议的报文分析，为其开放相应的包过滤规则，而NAT ALG的主要目的，是为其开
放相应的NAT规则。由于两者通常都是结合使用的，所以使用同一条命令就可以将两者
同时开启。
 图中私网侧的主机要访问公网的FTP服务器。NAT设备上配置了私网地址192.168.1.2到
公网地址8.8.8.11的映射，实现地址的NAT转换，以支持私网主机对公网的访问。组网
中，若没有ALG对报文载荷的处理，私网主机发送的PORT报文到达服务器端后，服务
器无法根据私网地址进行寻址，也就无法建立正确的数据连接。整个通信过程包括如
下四个阶段：

 私网主机和公网FTP服务器之间通过TCP三次握手成功建立控制连接。

 控制连接建立后，私网主机向FTP服务器发送PORT报文，报文中携带私网主机指
定的数据连接的目的地址和端口，用于通知服务器使用该地址和端口和自己进行
数据连接。

 PORT报文在经过支持ALG特性的NAT设备时，报文载荷中的私网地址和端口会被
转换成对应的公网地址和端口。即设备将收到的PORT报文载荷中的私网地址
192.168.1.2转换成公网地址8.8.8.11，端口1084转换成12487。

 公网的FTP服务器收到PORT报文后，解析其内容，并向私网主机发起数据连接，
该数据连接的目的地址为8.8.8.11，目的端口为12487（注意：一般情况下，该报
文源端口为20，但由于FTP协议没有严格规定，有的服务器发出的数据连接源端
口为大于1024的随机端口，如本例采用的是wftpd服务器，采用的源端口为
3004）。由于该目的地址是一个公网地址，因此后续的数据连接就能够成功建立，
从而实现私网主机对公网服务器的访问。
 NAT Server，即内部服务器。NAT隐藏了内部网络的结构，具有“屏蔽”内部主机的作
用。但是在实际应用中，可能需要提供给外部一个访问内部主机的机会，如提供给外
部一台WWW的服务器，而外部主机根本没有指向内部地址的路由，因此无法正常访问。
这时可以使用内部服务器（Nat Server）功能来实现这个功能应用。

 使用NAT可以灵活地添加内部服务器。例如：可以使用202.202.1.1等公网地址作为Web
服务器的外部地址，甚至还可以使用202.202.1.1 :8080这样的IP地址加端口号的方式作
为Web的外部地址。

 外部用户访问内部服务器时，有如下两部分操作：

 防火墙将外部用户的请求报文的目的地址转换成内部服务器的私有地址。

 防火墙将内部服务器的回应报文的源地址（私网地址）转换成公网地址。

 防火墙支持基于安全区域的内部服务器。例如，当需要对处于多个网段的外部用户提
供访问服务时，防火墙结合安全区域配置内部服务器可以为一个内部服务器配置多个
公网地址。通过配置防火墙的不同级别的安全区域对应不同网段的外部网络，并根据
不同安全区域配置同一个内部服务器对外的不同的公网地址，使处于不同网段的外部
网络访问同一个内部服务器时，即通过访问对应配置的公网地址来实现对内部服务器
的访问能力。
 通常情况下，如果在设备上配置严格包过滤，那么设备将只允许内网用户单方向主动
访问外网。但在实际应用中，例如使用FTP协议的port方式传输文件时，既需要客户端
主动向服务器端发起控制连接，又需要服务器端主动向客户端发起服务器数据连接，
如果设备上配置的包过滤为允许单方向上报文主动通过，则FTP文件传输不能成功。

 为了解决这一类问题，USG设备引入了Server-map表，Server-map基于三元组，用于存
放一种映射关系，这种映射关系可以是控制数据协商出来的数据连接关系，也可以是
配置NAT中的地址映射关系，使得外部网络能透过设备主动访问内部网络。

 生成Server-map表之后，如果一个数据连接匹配了Server-map表项，那么就能够被设备
正常转发，而不需要去查会话表，这样就保证了某些特殊应用的正常转发。

 配置NAT Server成功后，设备会自动生成Server-map表项，用于存放Global地址与Inside
地址的映射关系。

 当不配置“no-reverse”参数时，每个生效的NAT Server都会生成正反方向两个静态的
Server-map；当配置了“no-reverse”参数时，生效的NAT Server只会生成正方向静态的
Server-map。用户删除NAT Server时，Server-map也同步被删除。

 配置NAT No-PAT后，设备会为已配置的多通道协议产生的有实际流量的数据流建立
Server-map表。
 内部服务器主动访问外部网络时，设备无法将内部服务器的私网地址转换成公网地址，
内部服务器也就无法主动向外发起连接。因此，通过指定no-reverse参数可以禁止内部
服务器主动访问外部网络。

 配置指定no-reverse参数的NAT Server来实现同一个内部服务器发布多个公网IP供外部网
络访问的需求时，由于配置了no-reverse参数，内部服务器将无法主动访问外部网络。
此时，如果内部服务器想要访问外部网络，需要在内部服务器所在区域和外部网络所
在区域的域间配置源NAT策略，将服务器的私网地址转换为公网地址。源NAT策略中引
用的地址池可以是global地址也可以是其他的公网地址。
 源安全区域通常为转换前的私网IP地址所在的安全区域。在本例中为trust区域。目的安
全区域通常为转换后的公网IP地址所在的安全区域。在本例中为untrust区域。
 配置NAT Server时，外部地址为内部服务器提供给外部用户访问的公网IP地址。

 内部地址为内部服务器在局域网中的IP地址。
 在Web配置界面中，配置域间包过滤规则的步骤为：

 选择“防火墙 > 安全策略 > 转发策略”。

 在“转发策略列表”中，单击“新建”。

 依次输入或选择各项参数。
 域间访问规则配置命令参考：

 [USG6600]security-policy

 [USG6600-policy-security]rule name natpolicy

 [USG6600-policy-security-rule-natpolicy]source-address 192.168.0.0 24

 [USG6600-policy-security-rule-natpolicy]action permit

 配置源NAT，是为了实现内网员工对外部网络进行访问时进行NAT地址转换，数据流向
是从高安全级别到低安全级别，因此源地址应该为内部网络的地址网段。而为内网用
户分配的地址池，应该为外网地址网段用于对internet资源进行访问。

 nat address-group address-group-name

 section [ section-id | section-name ] start-address end-address

 nat-mode { pat | no-pat }

 USG上同时配置NAT和内部服务器时，内部服务器优先级较高，首先起作用。

 多个不同内部服务器使用一个公有地址对外发布时，可以多次使用 nat server 命令对其

进行配置。并使用协议进行区分。
 双向NAT应用场景的通信双方访问对方的时候目的地址都不是真实的地址，而是NAT转
换后的地址。一般来说，内网属于高优先级区域，外网属于低优先级区域。当低优先
级安全区域的外网用户访问内部服务器的公网地址时，会将报文的目的地址转换为内
部服务器的私网地址，但内部服务器需要配置到该公网地址的路由。

 如果要避免配置到公网地址的路由，则可以配置从低优先级安全区域到高优先级安全
区域方向的NAT。同一个安全区域内的访问需要作NAT，则需要配置域内NAT功能。
 当配置NAT Server时，服务器需要配置到公网地址的路由才可正常发送回应报文。如果
要简化配置，避免配置到公网地址的路由，则可以对外网用户的源IP地址也进行转换，
转换后的源IP地址与服务器的私网地址在同一网段。这样内部服务器会缺省将回应报文
发给网关，即设备本身，由设备来转发回应报文。
 若需要地址转换的双方都在同一个安全域内，那么就涉及到了域内NAT的情况。当FTP
服务器和用户均在Trust区域，用户访问FTP服务器的对外的公网IP地址，这样用户与FTP
服务器之间所有的交互报文都要经过防火墙。这时需要同时配置内部服务器和域内NAT。

 域内NAT是指当内网用户和服务器部署在同一安全区域的情况下，仍然希望内网用户只
能通过访问服务器的公网地址的场景。在实现域内NAT过程中，既要将访问内部服务器
的报文的目的地址由公网地址转换为私网地址，又需要将源地址由私网地址转换为公
网地址。
 AB
 USG防火墙作为安全设备，一般会部署在需要保护的网络和不受保护的网络之间，即位
于业务接口点上。在这种业务点上，如果仅仅使用一台USG防火墙设备，无论其可靠性
多高，系统都可能会承受因为单点故障而导致网络中断的风险。为了防止一台设备出
现意外故障而导致网络业务中断，可以采用两台防火墙形成双机备份。
 为了避免路由器传统组网所引起的单点故障的发生，通常情况可以采用多条链路的保
护机制，依靠动态路由协议进行链路切换。但这种路由协议来进行切换保护的方式存
在一定的局限性，当不能使用动态路由协议时，仍然会导致链路中断的问题，因此推
出了另一种保护机制VRRP（虚拟路由冗余协议）来进行。采用VRRP的链路保护机制比
依赖动态路由协议的广播报文来进行链路切换的时间更短，同时弥补了不能使用动态
路由情况下的链路保护。

 VRRP（Virtual Router Redundancy Protocol）是一种基本的容错协议。

 备份组：同一个广播域的一组路由器组织成一个虚拟路由器，备份组中的所有路由器
一起，共同提供一个虚拟IP地址，作为内部网络的网关地址。

 主（Master）路由器：在同一个备份组中的多个路由器中，只有一台处于活动状态，只
有主路由器能转发以虚拟IP地址作为下一跳的报文。

 备份（Backup）路由器：在同一个备份组中的多个路由器中，除主路由器外，其他路
由器均为备份路由器，处于备份状态。

 主路由器通过组播方式定期向备份路由器发送通告报文（HELLO），备份路由器
则负责监听通告报文，以此来确定其状态。由于VRRP HELLO报文为组播报文，所
以要求备份组中的各路由器通过二层设备相连，即启用VRRP时上下行设备必须具
有二层交换功能，否则备份路由器无法收到主路由器发送的HELLO报文。如果组
网条件不满足，则不能使用VRRP。
 当防火墙上多个区域需要提供双机备份功能时，需要在一台防火墙上配置多个VRRP备
份组。

 由于USG防火墙是状态防火墙，它要求报文的来回路径通过同一台防火墙。为了满足这
个限制条件，就要求在同一台防火墙上的所有VRRP备份组状态保持一致，即需要保证
在主防火墙上所有VRRP备份组都是主状态，这样所有报文都将从此防火墙上通过，而
另外一台防火墙则充当备份设备。
 如图所示，假设USG A和USG B的VRRP状态一致，即USG A的所有接口均为主用状态，
USG B的所有接口均为备用状态。

 此时，Trust区域的PC1访问Untrust区域的PC2，报文的转发路线为(1)-(2)-(3)-(4)。
USG A转发访问报文时，动态生成会话表项。当PC2的返回报文经过(4)-(3)到达
USG A时，由于能够命中会话表项，才能再经过(2)-(1)到达PC1，顺利返回。同理，
当PC2和DMZ区域的Server也能互访。

 假设USG A和USG B的VRRP状态不一致，例如，当USG B与Trust区域相连的接口为

备用状态，但与Untrust区域的接口为主用状态，则PC1的报文通过USG A设备到
达PC2后，在USG A上动态生成会话表项。PC2的返回报文通过路线(4)-(9)返回。
此时由于USG B上没有相应数据流的会话表项，在没有其他报文过滤规则允许通
过的情况下，USG B将丢弃该报文，导致会话中断。

 问题产生的原因：报文的转发机制不同。

 路由器：每个报文都会查路由表当匹配上后才进行转发，当链路切换后，后续报
文不会受到影响，继续进行转发。

 状态检测防火墙：如果首包允许通过会建立一条五元组的会话连接，只有命中该
会话表项的后续报文（包括返回报文）才能够通过防火墙；如果链路切换后，后
续报文找不到正确的表项，会导致业务中断。

 注意：当路由器配置NAT后也会存在同样的问题，因为在进行NAT后会形成一个NAT转
换后的表项。
 VRRP在防火墙中应用的要求：

 VRRP状态的一致性

 会话表状态备份

 VGMP提出VRRP管理组的概念，将同一台防火墙上的多个VRRP备份组都加入到一个
VRRP管理组，由管理组统一管理所有VRRP备份组。通过统一控制各VRRP备份组状态的
切换，来保证管理组内的所有VRRP备份组状态都是一致的。
 当防火墙上的VGMP为Active状态时，组内所有VRRP备份组的状态统一为Active状态，
所有报文都将从该防火墙上通过，该防火墙成为主用防火墙。此时另外一台防火墙上
对应的VGMP为备状态，该防火墙成为备用防火墙。

 通过指定VGMP组的状态来决定谁将成为主用防火墙或备用防火墙。

 防火墙的VGMP优先级有一个初始优先级，当防火墙的接口或者单板等出现故障时，会
在初始优先级基础上减去一定的降低值。

 USG6000和NGFW Module的初始优先级为45000。USG9500的VGMP组的初始优先级与
LPU板（接口板）上的插卡个数和SPU板（业务板）上的CPU个数有关。

 VGMP的优先级会根据组内的VRRP备份组状态为Active的VGMP也会定期向对端发送
HELLO报文，通知Standby端本身的运行状态（包括优先级、VRRP成员状态等）。成员
的状态动态调整，以此完成两台防火墙的主备倒换。

 与VRRP类似，与VRRP不同的是，Standby端收到HELLO报文后，会回应一个ACK消息，
该消息中也会携带本身的优先级、VRRP成员状态等。

 VGMP HELLO报文发送周期缺省为1秒。当Standby端三个HELLO报文周期没有收到对端
发送的HELLO报文时，会认为对端出现故障，从而将自己切换到Active状态。
 状态一致性管理

 各备份组的主/备状态变化都需要通知其所属的VGMP管理组，由VGMP管理组决
定是否允许VRRP备份组进行主/备状态切换。如果需要切换，则VGMP管理组控制
所有的VRRP备份组统一切换。VRRP备份组加入到管理组后，状态不能自行单独
切换。

 抢占管理

 VRRP备份组本身具有抢占功能。即当原来出现故障的主设备故障恢复时，其优先
级也会恢复，此时可以重新将自己的状态抢占为主。

 VGMP管理组的抢占功能和VRRP备份组类似，当管理组中出现故障的备份组故障
恢复时，管理组的优先级也将恢复。此时VGMP可以决定是否需要重新抢占称为
主设备。

 当VRRP备份组加入到VGMP管理组后，备份组上原来的抢占功能将失效，抢占行
为发生与否必须由VGMP管理组统一决定。
 在双机热备组网中，当主防火墙出现故障时，所有流量都将切换到备防火墙。因为USG
防火墙是状态防火墙，如果备防火墙上没有原来主防火墙上的会话表等连接状态数据，
则切换到备防火墙的流量将无法通过防火墙，造成现有的连接中断，此时用户必须重
新发起连接。

 HRP模块提供了基础的数据备份机制和传输功能。各个应用模块收集本模块需要备份的
数据，提交给HRP模块，HRP模块负责将数据发送到对端防火墙的对应模块，应用模块
需要再将HRP模块提交上来的数据进行解析，并加入到防火墙的动态运行数据池中。

 备份内容：要备份的连接状态数据包括TCP/UDP的会话表、ServerMap表项、动态黑名
单、NO-PAT表项、ARP表项等。

 备份方向:防火墙上有状态为主的VGMP管理组，向对端备份。

 备份通道：一般情况下，在两台设备上直连的端口作为备份通道，有时也称为“心跳
线”（VGMP也通过该通道进行通信）。
 通常情况下，备份数据流量约为业务流量的20%～30%，请根据备份数据量的大小选
择捆绑物理接口的数量
 invalid：当本端FW上的心跳口配置错误时显示此状态（物理状态up，协议状态down），
例如指定的心跳口为二层接口或未配置心跳接口的IP地址。

 down：当本端FW上的心跳口的物理与协议状态均为down时，则会显示此状态。

 peerdown：当本端FW上的心跳口的物理与协议状态均为up时，则心跳口会向对端对应
的心跳口发送心跳链路探测报文。如果收不到对端响应的报文，那么FW会设置心跳接
口状态为peerdown。但是心跳口还会不断发送心跳链路探测报文，以便当对端的对应
心跳口up后，该心跳链路能处于连通状态。

 ready：当本端FW上的心跳口的物理与协议状态均为up时，则心跳口会向对端对应的心
跳口发送心跳链路探测报文。如果对端心跳口能够响应此报文（也发送心跳链路探测
报文），那么FW会设置本端心跳接口状态为ready，随时准备发送和接受心跳报文。这
时心跳口依旧会不断发送心跳链路探测报文，以保证心跳链路的状态正常。

 running：当本端FW有多个处于ready状态的心跳口时，FW会选择最先配置的心跳口形
成心跳链路，并设置此心跳口的状态为running。如果只有一个处于ready状态的心跳口，
那么它自然会成为状态为running的心跳口。状态为running的接口负责发送HRP心跳报
文、HRP数据报文、HRP链路探测报文、VGMP报文和一致性检查报文。

 这时其余处于ready状态的心跳口处于备份状态，当处于running状态的心跳口或心跳链
路故障时，其余处于ready状态的心跳口依次（按配置先后顺序）接替当前心跳口处理
业务。
 综上所述，心跳链路探测报文的作用是检测对端设备的心跳口能否正常接收本端设备
的报文，以确定心跳链路是否可用的。只要本端心跳接口的物理和协议状态up就会向
对端心跳口发送心跳链路探测报文进行探测。

 而我们在前面讲到的HRP心跳报文是用于探测和感知对端设备（VGMP组）是否正常工
作的。HRP心跳报文只有主用设备的VGMP组通过状态为running的心跳口发出。
 自动备份
 自动备份功能缺省为开启状态，能够自动实时备份配置命令和周期性地备份状态
信息，适用于各种双机热备组网。
 启用自动备份功能后，在一台FW上每执行一条可以备份的命令时，此配置命令
就会被立即同步备份到另一台FW上。
 启用自动备份功能后，主用设备会周期性地将可以备份的状态信息备份到备用设
备上。即主用设备的状态信息建立后不会立即备份，而是在建立一段时间（10秒
左右）之后才会备份到备用设备。
 自动备份不会备份以下类型的会话：
 到防火墙自身的会话，例如管理员登录防火墙时产生的会话。
 未完成3次握手的TCP半连接会话（快速备份支持备份此会话）。
 只为UDP首包创建，而不被后续包匹配的会话（快速备份支持备份此会话）。
 手工批量备份
 手工批量备份需要管理员手工触发，每执行一次手工批量备份命令，主用设备就
会立即同步一次配置命令和状态信息到备用设备。因此手工批量备份主要适用于
主备设备之间配置不同步，需要手工同步的场景。
 执行手工批量备份命令后，主用（配置主）设备会立即同步一次可以备份的配置
命令到备用（配置备）设备。
 执行手工批量备份命令后，主用设备会立即同步一次可以备份的状态信息到备用
设备，而不必等到自动备份周期的到来。
 会话快速备份

 会话快速备份功能，适用于负载分担的工作方式，以应对报文来回路径不一致的
场景。负载分担组网下，由于两台防火墙都是主用设备，都能转发报文，所以可
能存在报文的来回路径不一致的情况，即来回两个方向的报文分别从不同的防火
墙经过。这时如果两台防火墙的会话没有及时相互备份，则回程报文会因为没有
匹配到会话表项而被丢弃，从而导致业务中断。所以为防止上述现象发生，需要
在负载分担组网下配置会话快速备份功能，使两台防火墙能够实时的相互备份会
话，使回程报文能够查找到相应的会话表项，从而保证内外部用户的业务不中断。

 启用会话快速备份功能后，主用设备会实时地将可以备份的会话（包括上面提到
的自动备份不支持的会话）都同步到备用设备上。即在主用设备会话建立的时候
立即将其实时备份到备用设备。

 设备重启后主备FW的配置自动同步

 双机热备组网中，如果一台FW重启，重启期间业务都是由另一台FW承载。在此
期间，承载业务的FW上可能会新增、删除或修改配置。为了保证主备FW配置一
致，在FW重启完成后，会自动从当前承载业务的FW上进行一次配置同步。

 配置同步仅会同步支持备份的配置，如安全策略、NAT策略等。不支持备份的配
置，如OSPF、BGP等，还继续沿用原有的配置。

 配置同步需要一定的时间。同步的时间与配置量有关，配置量越大同步配置所需
时间也越长，最长可能需要1个小时左右。在配置同步期间，FW上无法执行支持
备份的配置命令。
 双机热备组网最常见的是防火墙采用路由模式，下行交换机双线上联到防火墙，正常
情况下防火墙A作为主，当防火墙A上行或下行链路down掉后，防火墙B自动切换为主
设备，交换机流量走向防火墙B。
 Master管理组默认情况下会每隔1秒发送一次vrrp报文，可以在接口视图下调整vrrp报文
发送间隔。接口视图下修改vrrp报文发送时间：

 vrrp vrid virtual-router-ID timer advertise adver-interval

 vrrp也可以与ip-link进行配合，当上行链路断掉后使vrrp能够进行主备切换。在接口视图
下配置ip-link：

 vrrp vrid virtual-router-id ip-link link-id

 缺省情况下，VGMP管理组的抢占功能为启用状态，抢占延迟时间为60s。配置VGMP管
理组的抢占延迟时间命令如下：

 hrp preempt [ delay interval ]

 HRP两台USG心跳口的接口类型和编号必须相同，且心跳口不能为二层以太网接口。
USG支持使用Eth-Trunk接口做为心跳口，既提高了可靠性，又增加了备份通道的带宽。
主备USG的心跳口可以直接相连，也可以通过中间设备，如交换机或路由器连接。当心
跳口通过中间设备相连时，需要配置remote参数来指定对端IP地址。

 当两台设启用备HRP备份功能之后，会进行主备状态的协商，最后得到一个主用设备
（显示时以HRP_A表示），一个备用设备（显示时以HRP_S表示）。两端首次协商出主
备后，主用设备将向备用设备备份配置和连接状态等信息。

 启用允许配置备用设备的功能后，所有可以备份的信息都可以直接在备用设备上进行
配置，且备用设备上的配置可以同步到主用设备。如果主备设备上都进行了某项配置，
则从时间上来说，后配置的信息会覆盖先配置的信息。

 USG工作于负载分担组网时，报文的来回路径可能会不一致，务必启用会话快速
备份功能，使一台USG的会话信息立即同步至另一台USG，保证内外部用户的业
务不中断。
 USG_A关于VRRP组2配置：

 [USG_A]interface GigabitEthernet 1/0/3

 [USG_A-GigabitEthernet 1/0/3 ]ip address 10.3.0.1 24

 [USG_A-GigabitEthernet 1/0/3 ]vrrp vrid 2 virtual-ip 10.3.0.3 active

 USG_B关于VRRP组2的配置：

 [USG_B]interface GigabitEthernet 1/0/3

 [USG_B-GigabitEthernet 1/0/3 ]ip address 10.3.0.2 24

 [USG_B-GigabitEthernet 1/0/3 ]vrrp vrid 2 virtual-ip 10.3.0.3 standby

 USG_B关于HRP的配置：

 [USG_B]hrp enable

 [USG_B]hrp mirror session enable

 [USG_B]hrp interface GigabitEthernet 1/0/6

 hrp enable使能hrp协议。

 hrp mirror session enable开启会话快速备份功能。

 hrp interface GigabitEthernet 1/0/6指定心跳接口为G1/0/6。

 查看处于Slave状态防火墙的状态信息如下：

 HRP_S[USG_B] display hrp state

 The firewall's config state is: Standby

 Current state of virtual routers configured as standby:

 GigabitEthernet1/0/1 vrid 1 : standby

 GigabitEthernet1/0/3 vrid 2 : standby

 点击“配置”进入双机热备配置界面，在配置界面中可以配置HRP的基本参数，以及对
接口、VLAN、IP-Link、BFD的监视；

 点击“详细”按钮可以查看HRP的历史切换信息；

 点击“一致性检查”按钮可以对主备防火墙的配置做一致性检查。
 习题与答案：

 判断题：错误。

 单选题：A。
 IP不等于用户、端口不等于应用，传统防火墙基于IP/端口的五元组访问控制策略已不能
有效的应对现阶段网络环境的巨大变化。
 举例：

 当用户希望访问Internet访问资源。首先使用Authentication认证技术，用户输入
用户名密码。

 当通过认证后，通过Authorization 授权，授权不同用户访问的资源，可以访问百
度，或者Google。

 在客户访问期间，通过Accounting 计费，记录所做的操作和时长。
 认证的方式包括：

 我知道：用户所知道的信息（如：密码、个人识别号（PIN）等）

 我拥有：用户所拥有的信息（如：令牌卡、智能卡或银行卡）

 我具有：用户所具有的生物特征（如：指纹、声音、视网膜、DNA）
 授权用户可以使用哪些业务，公共业务，还是敏感业务。

 授权用户管理设备，可以使用那些命令。如，可以是Display命令，不能是用delete，
copy命令。
 计费主要的含义有三个：

 用户用多长时间

 用户花了多少钱

 用户做了哪些操作
 不认证：

 对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。

 本地认证：

 将用户信息（包括本地用户的用户名、密码和各种属性）配置在网络接入服务器
上。本地认证的优点是速度快，可以为运营降低成本；缺点是存储信息量受设备
硬件条件限制。

 服务器认证：

 将用户信息（包括本地用户的用户名、密码和各种属性）配置在认证服务器上。
AAA支持通过RADIUS（Remote Authentication Dial In User Service）协议或
HWTACACS （HuaWei Terminal Access Controller Access Control System）协议进
行远端认证。
 AAA可以用多种协议来实现，最常用的是RADIUS协议。RADIUS广泛应用于网络接入服
务器NAS（Network Access Server）系统。NAS负责把用户的认证和计费信息传递给
RADIUS服务器。RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和计费
信息以及认证和计费结果，RADIUS服务器负责接收用户的连接请求，完成认证，并把
结果返回给NAS。
 RADIUS使用UDP（User Datagram Protocol）作为传输协议，具有良好的实时性；同时
也支持重传机制和备用服务器机制，从而具有较好的可靠性。
 RADIUS客户端与服务器间的消息流程如下：
 用户登录USG或接入服务器等网络设备时，会将用户名和密码发送给该网络接入
服务器；
 该网络设备中的RADIUS客户端（网络接入服务器）接收用户名和密码，并向
RADIUS服务器发送认证请求；
 RADIUS服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给
客户端；对于非法的请求，RADIUS服务器返回认证失败的信息给客户端。
 RADIUS报文结构：
 Code：消息类型，如接入请求、接入允许等。
 Identifier：一般是顺序递增的数字，请求报文和响应报文中该字段必须匹配。
 Length：所有域的总长度。
 Authenticator：验证字，用于验证RADIUS的合法性。
 Attribute：消息的内容主体，主要是用户相关的各种属性。
 RADIUS报文交互流程
 用户输入用户名密码
 认证请求
 认证接受
 计费开始请求
 计费开始请求响应报文
 用户访问资源
 计费结束请求报文
 计费结束请求响应报文
 访问结束
 Code：包类型。包类型占1个字节，定义如下：
 Access-Request——请求认证过程
 Access-Accept——认证响应过程
 Access-Reject——认证拒绝过程
 Accounting-Request——请求计费过程
 Accounting-Response——计费响应过程
 Access-Challenge ——访问质询
 HWTACACS (Huawei Terminal Access Controller Access Control System，终端访问控制器
控制系统协议)
 目录服务就是由目录数据库和一套访问协议组成的系统。类似以下的信息适合储存在
目录中：

 企业员工信息，如姓名、邮箱、手机号码等；

 公司设备的物理信息，如IP地址、放置位置、厂商、购买时间等；

 公用证书和安全密钥；

 特点如下：

 目录方式组织数据；

 对外提供一个统一的访问点；

 支持数据的分布式数据存储；

 优化查询，读取数据较快。
 DN有三个属性，分别是DC (Domain Component),CN (Common Name),OU (Organizational
Unit).

 例如：CN=admin, OU=guest, DC=domainname, DC=com .

在上面的代码中 CN=admin 可能代表一个用户名，OU=guest 代表一个 active directory
中的组织单位。这句话的含义可能就是说明admin这个对象处在domainname.com 域的
guest 组织单元中。
 认证流程描述如下：

 用户输入用户名/密码发起登录请求，防火墙和LDAP服务器建立TCP连接。

 防火墙以管理员DN和密码向LDAP服务器发送绑定请求报文用以获得查询权限。

 绑定成功后，LDAP服务器向防火墙发送绑定回应报文。

 防火墙使用用户输入的用户名向LDAP服务器发送用户DN查询请求报文。

 LDAP服务器根据用户DN进行查找，如果查询成功测发送查询回应报文。

 防火墙使用查询到的用户DN和用户输入的密码向LDAP服务器发送用户DN绑定请
求报文，LDAP服务器查询用户密码是否正确。

 绑定成功后，LDAP服务器发送绑定回应报文。

 授权成功后，防火墙通知用户登录成功。
 本地认证

 访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW，FW上存储了
密码，验证过程在FW上进行，该方式称为本地认证。

 服务器认证

 访问者通过Portal认证页面将标识其身份的用户名和密码发送给FW，FW上没有存
储密码，FW将用户名和密码发送至第三方认证服务器，验证过程在认证服务器
上进行，该方式称为服务器认证。

 单点登录

 访问者将标识其身份的用户名和密码发送给第三方认证服务器，认证通过后，第
三方认证服务器将访问者的身份信息发送给FW。FW只记录访问者的身份信息不
参与认证过程，该方式称为单点登录（Single Sign-On）。

 短信认证

 访问者通过Portal认证页面获取短信验证码，然后输入短信验证码即通过认证。
FW通过校验短信验证码认证访问者。
 用户管理将分为不同的用户组，通过对用户认证，将用户打上标签，并且为用户组赋
予不同的权限和应用，从而实现安全的目标。

 举例：

 将公司员工（用户）加入用户组，然后针对用户或用户组进行网络行为控制和审
计，根据用户或用户组进行策略的可视化制定，提高策略制定的易用性，报表中
体现用户信息，对用户进行上网行为分析，以达到对用户（而非单纯的IP地址）
行为的追踪审计，解决现网应用中同一用户对应IP经常变化带来的应用行为策略
控制难题。
 当企业通过第三方认证服务器存储组织结构时，服务器上也存在类似的横向群组，为
了基于这些群组配置策略，FW上需要创建安全组与服务器上的组织结构保持一致。
 认证域

 认证域是认证流程中的重要环节，认证域上的配置决定了对用户的认证方式以及
用户的组织结构。

 对于不同认证方式的用户，认证域的作用不尽相同。

 FW通过识别用户名中包含的认证域，将所有待认证的用户“分流”到对应的认证域中，
根据认证域上的配置来对用户进行认证。

 为了给不同的用户或部门进行差异化管理，分配不同的权限，需要对组织结构进行规
划和管理。防火墙支持创建树型的组织结构，这种结构和通常的行政架构比较类似，
非常方便规划和管理。

 每个用户（组）可以被安全策略、限流策略、等引用，从而实现基于用户的权限和带
宽资源控制。

 如果管理员使用缺省的default认证域对用户进行认证，用户登录时只需要输入用户名；
如果管理员使用新创建的认证域对用户进行认证，则用户登录时需要输入“用户名@认
证域名”。
 管理员用户：管理员主要为了实现对设备的管理、配置和维护，登录方式可以分为：

 Console

 Web

 Telnet

 FTP

 SSH

 上网用户

 上网用户是网络访问的标识主体，是设备进行网络权限管理的基本单元。设备通
过对访问网络的用户进行身份认证，从而获取用户身份，并针对用户的身份进行
相应的策略控制。

 接入用户主要为了实现访问内部网络，主要有：

 通过SSL VPN接入设备后访问网络资源

 通过L2TP VPN接入设备后访问网络资源

 通过IPSec VPN接入设备后访问网络资源

 通过PPPoE接入设备后访问网络资源
 管理员主要为了实现对设备的管理、配置和维护，登录方式可以分为：

 Console

 Console接口提供命令行方式对设备进行管理，通常用于设备的第一次配置，或者
设备配置文件丢失，没有任何配置。

 当设备系统无法启动时，可通过Console口进行诊断或进入BootRom进行升级。

 Web

 终端通过HTTP/HTTPS方式登录到设备进行远程配置和管理。

 Telnet

 Telnet是一种传统的登录方式，通常用于通过命令行方式对设备进行配置和管理。

 FTP

 FTP管理员主要对设备存储空间里的文件进行上传和下载。

 SSH

 SSH提供安全的信息保障和强大的认证功能，在不安全的网络上提供一个安全的
“通道”。此时，设备作为SSH服务器。
 步骤1: User-interface

 Console:

 [USG] user-interface console 0

 [USG-ui-con0] authentication-mode aaa

 Telnet:

 [USG] user-interface vty 0 3

 [USG-ui-vty0] authentication-mode aaa

 步骤2: AAA View

 [USG] aaa

 [USG -aaa]manager-user client001

 [USG -aaa-manager-user-client001]password cipher Admin@123

 [USG -aaa-manager-user-client001]service-type terminal telnet ftp

 [USG -aaa-manager-user-client001]level 3

 [USG -aaa-manager-user-client001]ftp-directory hda1:

 启动SSH服务

 [USG]stelnet server enable

 Info: The Stelnet server is already started.

 为SSH用户sshuser配置密码为Admin@123。

 [USG] aaa

 [USG-aaa] manager-user sshuser

 [USG-aaa-manager-user-client001] ssh authentication-type password

 [USG-aaa-manager-user-client001] password cipher Admin@123

 [USG-aaa-manager-user-client001] service-type ssh

 以上配置完成后，运行支持SSH的客户端软件，建立SSH连接
 启动Web管理功能。

 [USG] web-manager security enable port 6666

 配置Web用户。

 [USG] aaa

 [USG-aaa]manager-user webuser

 [USG-aaa-manager-user-webuser]password cipher Admin@123

 [USG-aaa-manager-user-webuser]service-type web

 [USG-aaa-manager-user-webuser]level 3
 上网用户单点登录:用户只要通过了其他认证系统的认证就相当于通过了FW的认证。用
户认证通过后FW可以获知用户和IP的对应关系，从而基于用户进行策略管理。此种方
式适用于部署防火墙用户认证功能之前已经部署认证系统的场景。

 AD单点登录：用户登录AD域，由AD服务器进行认证。

 Agile Controller单点登录：用户由华为公司的Agile Controller系统（Policy Center

或Agile Controller）进行认证。

 RADIUS单点登录：用户接入NAS设备，NAS设备转发认证请求到RADIUS服务器进
行认证。

 上网用户内置Portal认证:FW提供内置Portal认证页面（缺省为https://接口IP地址:8887）
对用户进行认证。FW可转发认证请求至本地用户数据库、认证服务器。此种方式适用
于通过FW对用户进行认证的场景。

 会话认证：当用户访问HTTP业务时，FW向用户推送认证页面，触发身份认证。

 事前认证：当用户访问非HTTP业务时，只能主动访问认证页面进行身份认证。
 上网用户自定义Portal认证:FW与自定义Portal联动对用户进行认证。例如：Agile
Controller可以作为外部Portal服务器对用户进行认证。 目前存在两种类型的自定义
Portal认证.

 用户访问HTTP业务时，FW向用户推送自定义Portal认证页面，触发身份认证。

 上网用户免认证:用户不输入用户名和密码就可以完成认证并访问网络资源。免认证与
不认证有差别，免认证是指用户无需输入用户名、密码，但是FW可以获取用户和IP对
应关系，从而基于用户进行策略管理。

 将用户名与IP或MAC地址双向绑定，FW通过识别IP/MAC地址与用户的绑定关系，
使用户自动通过认证。此种方式一般适用于高级管理者。

 上网用户短信认证:FW通过短信验证码对用户进行认证。用户在FW提供的短信认证
Portal页面中获取短信验证码，输入后通过认证。用户通过认证后作为临时用户在FW上
线。

 会话认证：当用户访问HTTP业务时，FW向用户推送认证页面，触发身份认证。

 事前认证：当用户访问非HTTP业务时，只能主动访问认证页面进行身份认证。

 接入用户认证:VPN接入用户接入过程中FW对用户进行认证。如果期望接入认证成功后、
访问资源前再次进行认证，可以配置二次认证。

 本地认证、服务器认证。

 认证策略

 上网用户使用免认证或会话认证方式触发认证过程、以及已经接入FW的接入用
户使用会话认证方式触发认证过程时，必须经过认证策略的处理。

 认证策略的作用是选出需要进行免认证或会话认证的数据流，对免认证的数据流，
FW根据用户与IP/MAC地址的绑定关系来识别用户；对会话认证的数据流，FW会
推送认证页面。认证策略对单点登录或事前认证方式不起作用。

 本地认证/服务器认证用户：决定用户认证时采用本地认证方式还是服务器认证方式，
如果是服务器认证方式还包含了使用哪个认证服务器。

 单点登录用户：单点登录用户的认证过程FW不参与，只是从认证服务器接收用户登录/
注销消息，所以认证域中的认证方式配置对单点登录用户不起作用。但是在与用户域
名（dc字段）同名的认证域中配置的新用户选项对单点登录用户生效。
 访问者可以使用AD单点登录的方式来触发FW上的认证。设备通过启用单点登录功能，
可以识别出经过这些身份认证系统认证通过的用户，避免用户上网时再次要求输入用
户名/密码。AD单点登录时，FW支持通过多种方式获取用户认证通过的消息。
 AD监控器可以是AD域控制器也可以是AD域中其他机器。

 具体登录过程如下:

 访问者登录AD域，AD服务器向用户返回登录成功消息并下发登录脚本。

 访问者PC执行登录脚本，将用户登录信息发送给AD监控器。

 AD监控器连接到AD服务器查询登录用户信息，如果能查询到该用户的信息则转
发用户登录信息到FW。

 FW从登录信息中提取用户和IP的对应关系添加到在线用户表。

 如果访问者与AD服务器、访问者与AD监控器、AD监控器与AD服务器之间的交互报文
经过了FW，则需要确保FW上的认证策略不对这些报文进行认证，同时在安全策略中保
证这类报文可以正常通过FW。
 具体登录过程如下：

 访问者登录AD域，AD服务器记录用户上线信息到安全日志中。

 AD监控器通过AD服务器提供的WMI（Windows Management Instrumentation）接

口，连接到AD服务器查询安全日志，获取用户登录消息。

 AD监控器从AD单点登录服务开始启动的时间点为起点，定时查询AD服务器上产
生的安全日志。

 AD监控器转发用户登录消息到FW，用户在FW上线。
 当FW部署在访问者和AD服务器之间时，FW可以直接获取认证报文；如果认证报文未
经过FW，则需要将AD服务器发给访问者的认证结果报文镜像到FW。

 当使用该方式实现AD单点登录时：

 FW无法获取用户的注销消息，因此只能根据在线用户超时时间使用户下线。

 存在认证报文被恶意篡改、用户身份被伪造的风险，请谨慎使用。

 FW需要使用独立的二层接口接收镜像认证报文，该接口不能与其他业务口共用。
不支持配置管理口GigabitEthernet 0/0/0接收镜像报文。

 除了AD单点登录，防火墙还提供TSM单点登录和RADIUS单点登录。
 当FW收到访问者的第一条目的端口为80的HTTP业务访问数据流时，将HTTP请求重定向
到认证页面，触发访问者身份认证。认证通过后，就可以访问HTTP业务以及其他业务。
 FW还支持自定义Portal认证，目前存在两种类型的自定义Portal认证。

 采用这两种类型的自定义Portal认证时，企业需要单独部署外部Portal服务器，例如，都
可以部署Agile Controller作为Portal服务器。
 SSL VPN接入用户

 访问者登录SSL VPN模块提供的认证页面来触发认证过程，认证完成后，SSL VPN

接入用户可以访问总部的网络资源。

 L2TP VPN接入用户

 对于LAC自主拨号方式，在接入阶段，分支机构的LAC通过拨号方式触发认证过程，
与LNS建立L2TP VPN隧道。在访问资源阶段，分支机构中的访问者可以使用事前
认证、会话认证等方式触发认证过程，认证完成后，L2TP VPN接入用户可以访问
总部的网络资源。

 对于NAS-Initiated/Client-Initiated方式，在接入阶段，访问者通过拨号方式触发认
证过程，与LNS建立L2TP VPN隧道。在访问资源阶段，分支机构中的访问者可以
直接访问总部的网络资源；也可以使用事前认证、会话认证等方式触发二次认证，
通过二次认证后，访问总部的网络资源。

 IPSec VPN接入用户

 分支机构与总部建立IPSec VPN隧道后，分支机构中的访问者可以使用事前认证、
会话认证等方式触发认证过程，认证完成后，IPSec VPN接入用户可以访问总部的
网络资源。
 SSL VPN是以HTTPS为基础的VPN技术，工作在传输层和应用层之间，在Internet基础上
提供机密性的安全协议。主要提供业务有Web代理、网络扩展、文件共享和端口转发。

 SSL协议通信的握手步骤如下：

 SSL客户端向SSL服务器发起连接，并要求服务器验证自身的身份。

 服务器通过发送自身的数字证书证明身份。

 服务器发出一个请求，对客户端的证书进行验证。

 验证通过后，协商用于加密的消息加密算法和用于完整性检查的哈希函数。通常
由客户端提供它支持的所有算法列表，然后由服务器选择最强大的加密算法。

 客户端和服务器通过以下步骤生成会话密钥：

 客户端生成一个随机数，并使用服务器的公钥（从服务器证书中获取）对
它加密，以送到服务器上。

 服务器用随机数据（客户端的密钥可用时则使用客户端密钥，否则以明文
方式发送数据）响应。

 使用哈希函数从随机数据中生成密钥。

 如上图所示，某企业在网络边界处部署了防火墙作为VPN接入网关，连接内部网络与
Internet。出差员工通过SSL VPN接入到FW后，使用网络扩展业务访问网络资源。
 会话认证：用户访问HTTP业务时，如果数据流匹配了认证策略，防火墙会推送认证页
面要求访问者进行认证。

 事前认证：用户访问非HTTP业务时必须主动访问认证页面进行认证，否则匹配认证策
略的业务数据流访问将被FW禁止。

 免认证：用户访问业务时，如果匹配了免认证的认证策略，则无需输入用户名、密码
直接访问网络资源。防火墙根据用户与IP/MAC地址的绑定关系来识别用户。

 单点登录：单点登录用户上线不受认证策略控制，但是用户业务流量必须匹配认证策
略才能基于用户进行策略管控。

 以下流量即使匹配了认证策略也不会触发认证：

 访问设备或设备发起的流量。

 DHCP、BGP、OSPF、LDP报文。

 触发认证的第一条HTTP业务数据流对应的DNS报文不受认证策略控制，用户认证
通过上线后的DNS报文受认证策略控制。
 Portal认证
 对符合条件的数据流进行Portal认证。
 短信认证
 对符合条件的数据流进行短信认证，要求用户输入短信验证码。
 免认证：对符合条件的数据流进行免认证，防火墙通过其他手段识别用户身份。主要
应用于以下情况：
 对于企业的高级管理者来说，一方面他们希望省略认证过程；另一方面，他们可
以访问机密数据，对安全要求又更加严格。为此，管理员可将这类用户与IP/MAC
地址双向绑定，对这类数据流进行免认证，但是要求其只能使用指定的IP或者
MAC地址访问网络资源。防火墙通过用户与IP/MAC地址的绑定关系来识别该数据
流所属的用户。
 在AD/TSM/RADIUS单点登录的场景中，防火墙已经从其他认证系统中获取到用户
信息，对单点登录用户的业务流量进行免认证。
 不认证：对符合条件的数据流不进行认证，主要应用于以下情况：
 不需要经过FW认证的数据流，例如内网之间互访的数据流。
 在AD/TSM/RADIUS单点登录的场景中，如果待认证的访问者与认证服务器之间交
互的数据流经过FW，则要求不对这类数据流进行认证。
 防火墙上存在一条缺省的认证策略，所有匹配条件均为任意（any），动作为不认证。
 配置组/用户：设备实施基于用户/用户组的管理之前，必须先创建用户/用户组。设备支
持管理员手动配置、本地导入和服务器导入多种创建方式。

 手动配置组/用户

 FW上默认存在default认证域，可以在其下级创建用户/组，如果需要规划其他认
证域的组织结构请先配置认证域。

 当需要根据企业组织结构创建用户组时，并基于用户组进行网络权限分配等管理
时，该步骤必选。

 当对用户进行本地密码认证时，必须要在本地创建用户，并配置本地密码信息。

 本地导入

 本地导入支持将CSV格式文件和数据库dbm文件的用户信息导入到设备本地。

 服务器导入

 网络中，使用第三方认证服务器的情况非常多，很多公司的网络都存在认证服务
器，认证服务器上存放着所有用户和用户组信息。从认证服务器上批量导入用户
是指通过服务器导入策略，将认证服务器上用户（组）信息导入到设备上。

 配置认证选项包含全局参数、单点登录及定制认证页面三部分内容的配置。
 全局参数配置主要针对于本地认证及服务器认证方式，其配置包含：

 设置用户密码的强度、用户首次登录必须修改密码以及密码过期的设置；

 设置认证冲突时对当前认证的处理方式；

 定义用户认证后的跳转页面；

 定义认证界面使用的协议和端口；

 定义用户登录错误次数限制、达到限制次数后的锁定时间以及用户在线超时时间。

 单点登录部分包含AD单点登录、TSM单点登录和RADIUS单点登录的配置方法。在本教
材中只对AD单点登录进行详细说明。

 定制认证页面可以根据实际情况，设置Logo图片、背景图片、欢迎语或求助语等，满
足个性化的页面定制需求。

 上网用户或已经接入FW的接入用户使用会话认证方式触发认证过程时，必须经过认证
策略的处理。

 认证策略是多条认证策略规则的集合，FW匹配报文时总是在多条规则之间进行，从上
往下进行匹配。当报文的属性和某条规则的所有条件匹配时，认为匹配该条规则成功，
就不会再匹配后续的规则。如果所有规则都没有匹配到，则按照缺省认证策略进行处
理。

 FW上存在一条缺省的认证策略，所有匹配条件均为任意（any），动作为不认证。
 在此仅以RADIUS服务器及AD服务器为例介绍服务器相关配置。

 在使用RADIUS服务器对用户进行服务器认证的场景中，FW作为RADIUS服务器的代理客
户端，将用户名和密码发送给RADIUS服务器进行认证。且在FW上配置的参数必须与
RADIUS服务器上的参数保持一致。
 在配置AD服务器时，请确保FW的系统时间、时区和AD服务器的时间、时区保持一致。
 组/用户

 设备实施基于用户/用户组的管理之前，该用户/用户组必须在设备上存在。通过
组/用户节点，在设备上手动创建用户/用户组。

 新建用户组

 root组是设备默认自带的根用户组，不能删除，也无需创建。root组的组名不能
修改，但可以配置其描述信息，方便识别。

 所有创建的用户组都是root组的子组，或者子组的子组。

 选择“对象 > 用户 > 用户/组”。

 选中需要创建组的认证域，缺省只有default认证域。

 在“成员管理”中，单击“新建”，选择“新建组”。

 新建单个用户

 新建单个用户是指同一时刻只能创建一个用户。与新建多个用户不同的是，新建
单个用户时，除能完成新建多个用户涉及的配置项外，还能配置用户显示名、
IP/MAC地址双向绑定。

 选择“对象 > 用户 > 用户/组”。

 账号过期时间

 用户的账号过期时间。

 允许多人同时使用该账号登录

 选中该参数，表示允许多人同时使用该用户的登录名登录，即允许该登录名同时
在多台计算机上登录。

 去选中该参数，表示同一时刻仅允许该登录名在一台计算机上登录。

 IP/MAC绑定方式

 用户与IP/MAC地址的绑定方式。

 选中“单向绑定”，表示用户只能使用指定的IP/MAC地址进行认证，但同
时允许其他用户也使用该IP/MAC地址进行认证。

 选中“双向绑定”，表示用户只能使用指定的IP/MAC地址进行认证，并且
指定的IP/MAC地址仅供该用户使用。当一个IP/MAC地址被双向绑定后，其
他单向绑定此IP/MAC地址的用户将无法登录。

 IP/MAC地址

 与用户绑定的IP地址、MAC地址或IP/MAC地址对。
 Portal认证相关功能需要与Portal服务器配合完成，Portal服务器需要提供认证页面向用
户推送。目前可以与FW对接的Portal服务器为华为公司的Agile Controller或Policy Center。

 如使用web推送页面认证，还需要配置相应安全策略，允许端口号为8887的数据流到
达防火墙本身。
 如果FW部署在用户和AD域控制器之间，用户的认证报文经过FW。为实现单点登录功
能，配置认证策略时对于该数据流不进行认证。另外，认证报文还需要通过安全策略
的安全检查，即管理员需要在FW上配置如下安全策略：

 源安全区域：用户PC所在的安全区域。

 目的安全区域：AD服务器所在的安全区域。

 目的地址：AD服务器的IP地址。

 动作：允许。
 上网用户或已经接入FW的接入用户使用会话认证方式触发认证过程时，必须经过认证
策略的处理。
 CSV支持登录名、显示名、所属组、描述信息、密码、IP/MAC绑定信息、绑定模式、帐
号状态、有效期信息。
 DBM导出是从Ramdisk导出用户数据库文件到指定目录。
 用户导入是指批量导入用户信息到设备，支持本地导入和服务器导入。其中，本地导
入支持CSV格式文件；服务器导入支持LDAP服务器和AD服务器导入。
 从CSV格式文件中批量导入用户。
 CSV格式文件导入是指： 将用户信息（登录名、显示名、所属组路径、用户描述、
本地密码等）按照指定格式的CSV表格文件预先编辑完成，再将CSV格式文件中的
用户信息导入到设备内存中。
 将之前从设备上导出的CSV格式文件中的用户信息导入到设备内存中。
 选择“对象 > 用户 > 用户导入”。
 选择“本地导入”页签。
 从认证服务器上批量导入用户。
 网络中，使用第三方认证服务器的情况非常多，很多公司的网络都存在认证服务
器，认证服务器上存放着所有用户和用户组信息。从认证服务器上批量导入用户
是指通过服务器导入策略，将认证服务器上用户（组）信息导入到设备上。
 设备支持从AD、LDAP和TSM服务器批量导入用户。
 选择“用户 > 用户 > 用户导入”。 选择“服务器导入”页签。
 通过在线用户列表，可以查看已经通过设备认证的在线用户。管理员可对在线用户进
行相关的管理操作，例如强制注销。
 查看在线用户
 选择“对象 > 用户 > 在线用户”。
 定位待查看的在线用户。管理员可以使用以下方式定位待查看的在线用户：
 在“组织结构”中单击待查看用户所属的组，属于该组的所有在线用户将
会出现在“在线用户列表”中。
 使用简单查询或高级查询功能查找待查看的用户，查找结果将会出现在
“在线用户列表”中。
 强制注销在线用户
 选择“对象 > 用户 > 在线用户”。
 定位待注销的在线用户。
 管理员可以使用以下方式定位待注销的在线用户。
 在“组织结构”中单击待注销用户所属的组，属于该组的所有在线用户将会出现
在“在线用户列表”中。
 使用简单查询或高级查询功能查找待注销的用户，查找结果将会出现在“在线用
户列表”中。
 在“在线用户列表”中选中所有待注销的用户，单击“强制注销”。
 如果操作成功，已经被注销的用户将不会出现在“在线用户列表”中。
 习题与答案：

 单选题：D。

 多选题：ABC。
 这些入侵都有一些相似点，比如说相似的目的，入侵他方的领域获取利益，而受害方在
发现入侵的时候及时反击，“保卫地球”，当然最好的就是在入侵之前加固防御，保护
自身领土不受入侵。 那么网络中的入侵和防御又是怎么一回事呢？
 在目前出现的各种安全威胁当中，恶意程序（病毒与蠕虫、Bot、Rootkit、特洛依木马
与后门程序、弱点攻击程序以及行动装置恶意程序）类别占有很高的比例，灰色软件
（间谍/广告软件）的影响也逐渐扩大，而与犯罪程序有关的安全威胁已经成为威胁网络
安全的重要因素。

 目前用户面临的不再是传统的病毒攻击，“网络威胁”经常是融合了病毒、黑客攻击、
木马、僵尸、间谍等危害等于一身的混合体，因此单靠以往的防毒或者防黑技术往往难
以抵御。
 漏洞给企业造成严重的安全威胁：

 企业内网中许多应用软件可能存在漏洞；

 互联网使应用软件的漏洞迅速传播；

 蠕虫利用应用软件漏洞大肆传播，消耗网络带宽，破坏重要数据；

 黑客、恶意员工利用漏洞攻击或入侵企业服务器，业务机密被纂改、破坏和偷窃。
 DDOS攻击威胁：

 以经济利益为目标的全球黑色产业链的形成，网络上存在大量僵尸网络；

 不法分子的敲诈勒索，同行的恶意竞争等都有可能导致企业遭受DDoS攻击；

 遭受DDoS攻击时，网络带宽被大量占用，网络陷于瘫痪；受攻击服务器资源被耗
尽无法响应正常用户请求，严重时会造成系统死机，企业业务无法正常运行。
 病毒是一种恶意代码，可感染或附着在应用程序或文件中，一般通过邮件或文件共享等
协议进行传播，威胁用户主机和网络的安全。

 有些病毒会耗尽主机资源、占用网络带宽，有些病毒会控制主机权限、窃取用户数据，
有些病毒甚至会对主机硬件造成破坏。

 病毒及恶意软件安全威胁：

 浏览网页、邮件传输是病毒、木马、间谍软件进入内网的主要途径；

 病毒能够破坏计算机系统，纂改、损坏业务数据；

 木马使黑客不仅可以窃取计算机上的重要信息，还可以对内网计算机破坏；间谍
软件搜集、使用、并散播企业员工的敏感信息，严重干扰企业的正常业务；

 桌面型反病毒软件难于从全局上防止病毒泛滥。
 典型的入侵行为：

 篡改Web网页；

 破解系统密码；

 复制/查看敏感数据；

 使用网络嗅探工具获取用户密码；

 访问未经允许的服务器；

 其他特殊硬件获得原始网络包；

 向主机植入特洛伊木马程序。
 在信息安全建设中，入侵检测系统扮演着监视器的角色，通过监控信息系统关键节点的
流量，对其进行深入分析，发掘正在发生的安全事件。一个形象的比喻就是：IDS就像
安全监控体系中的摄像头，通过IDS，系统管理员能够捕获关键节点的流量并做智能的
分析，从中发现异常、可疑的网络行为，并向管理员报告。

 入侵检测（ID，Intrusion Detection），它通过监视各种操作，分析、审计各种数据和现
象来实时检测入侵行为的过程，是一种积极的和动态的安全防御技术。入侵检测的内容
涵盖了授权的和非授权的各种入侵行为。

 而入侵检测系统（IDS，Intrusion Detection System）能在发现有违反安全策略的行为或

系统存在被攻击的痕迹时，立即启动有关安全机制进行应对。

 防火墙与IDS：

 防火墙属于串路设备，需要做快速转发，无法做深度检测；

 防火墙无法正确分析掺杂在允许应用数据流中的恶意代码 ，无法检测来自内部人
员地恶意操作或误操作；

 防火墙属于粗粒度的访问控制，IDS属于细粒度的检测设备，通过IDS可以更精确
地监控现网；

 IDS可与防火墙、交换机进行联动，成为防火墙的得力“助手”，更好、更精确的
控制外域间地访问；

 IDS可灵活、及时的进行升级，策略地配置操作方便灵活。
 入侵防御系统的基本技术特点主要包括：

 实时阻断：能够让IPS实时阻断到发现的网络攻击行为，避免IDS发现攻击，而无法
实时阻止攻击行为发生的缺陷，最大限度的提升系统的安全性；

 自学习与自适应：IPS能够通过自学习与自适应将系统的漏报与误报降低到最低，
减少对业务的影响；

 自定义规则：IPS能够自定义入侵防御规则，最大限度的对最新的威胁作出反应；

 业务感知（SA：Service Awareness）：让IPS能够检测到基于应用层的异常与攻击；

 零配置上线：系统提供了默认的入侵防御安全配置文件，可以直接被引用。
 入侵日志信息：虚拟系统/命中的安全策略/源目地址/源目端口/源目安全域/用户/协议/应
用/命中的入侵安全配置文件/签名名称/签名序号/事件计数/入侵目标/入侵严重性/操作系
统/签名分类/签名动作，其中重点关注信息如下：

 配置文件：命中的入侵安全配置文件

 威胁名称：入侵防御签名用来描述网络中存在的攻击行为的特征，通过将数据流
和入侵防御签名进行比较来检测和防范攻击。

 事件计数：日志归并引入字段，是否归并需根据归并频率及日志归并条件来确定，
不发生归并则为1。

 入侵目标：签名所检测的报文所攻击对象。具体情况如下：

 server：攻击对象为服务端。

 client：攻击对象为客户端。

 both：攻击对象为服务端和客户端。

 入侵严重性：签名所检测的报文所造成攻击的严重性。具体情况如下：

 information：表示严重性为提示。

 low：表示严重性为低。

 medium：表示严重性为中。

 high：表示严重性为高。
  操作系统：签名所检测的报文所攻击的操作系统。具体情况如下：

 all：表示所有系统。

 android：表示安卓系统。

 ios：表示苹果系统。

 unix-like：表示Unix系统。

 windows：表示Windows系统。

 other：表示其他系统。

 签名分类：签名检测到的报文攻击特征所属的威胁分类。

 签名动作：签名动作。具体情况如下：

 alert：签名动作为告警。

 block：签名动作为阻断。
 计算机病毒分类：

 按照恶意代码功能分类：病毒、蠕虫、木马；

 按照传播机制分类：可移动媒体、网络共享、网络扫描、电子邮件、P2P网络；

 按照感染对象分类：操作系统、应用程序、设备；

 按照携带者对象分类：可执行文件、脚本、宏、引导区；
 病毒、蠕虫、木马的关系如下：

 病毒是一段寄生在正常程序中的恶意代码，当用户启用这段正常程序时，病毒也
会被启动，从而对系统的文件系统造成破坏。

 蠕虫是病毒的变种，是一个独立的个体，不需要寄生，其能进行自我拷贝，利用
网络上的系统漏洞或人为意识漏洞进行传播，影响更为恶劣，主要影响整个网络
的性能和计算机的系统性能。

 木马也是一种具有寄生性的恶意代码，它极具隐蔽性，黑客往往通过木马能够控
制一台主机，使其成为“肉鸡”，此外，木马也可以用于监控获取受害人关键信
息，如银行密码等。

 我们常说的反病毒，指的就是防恶意代码。
 单机反病毒可以通过安装杀毒软件实现，也可以通过专业的防病毒工具实现。病毒检测
工具用于检测病毒、木马、蠕虫等恶意代码，有些检测工具同时提供修复的功能。常见
的反病毒软件有塞门铁克等，专业防病毒工具有Process Explorer（如图所示）等。

 网络防病毒技术则指在安全网关上进行反病毒策略部署。
 在以下场合中，通常利用反病毒特性来保证网络安全：

 内网用户可以访问外网，且经常需要从外网下载文件。

 内网部署的服务器经常接收外网用户上传的文件。

 如图所示，NIP作为网关设备隔离内、外网，内网包括用户PC和服务器。内网用户可以
从外网下载文件，外网用户可以上传文件到内网服务器。为了保证内网用户和服务器接
收文件的安全，需要在NIP上配置反病毒功能。

 在NIP上配置反病毒功能后，正常文件可以顺利进入内部网络，包含病毒的文件则会被
检测出来，并被采取阻断或告警等手段进行干预。
 目前设备厂商（包括UTM、AVG）的AV扫描方式，分为两种：流扫描方式和代理扫描方
式。

 基于代理的反病毒网关可以进行更多如解压，脱壳等高级操作，检测率高，但是，
由于进行了文件全缓存，其性能、系统开销将会比较大。

 基于流扫描的反病毒网关性能高，开销小，但该方式检测率有限，无法应对加壳、
压缩等方式处理过的文件。
 网络流量进入智能感知引擎后，首先智能感知引擎对流量进行深层分析，识别出流量对
应的协议类型和文件传输的方向。
 判断文件传输所使用的协议和文件传输的方向是否支持病毒检测。
 FW支持对使用以下协议传输的文件进行病毒检测。
 FTP（File Transfer Protocol）：文件传输协议
 HTTP（Hypertext Transfer Protocol）：超文本传输协议
 POP3（Post Office Protocol - Version 3）：邮局协议的第3个版本
 SMTP（Simple Mail Transfer Protocol）：简单邮件传输协议
 IMAP（Internet Message Access Protocol）：因特网信息访问协议
 NFS（Network File System）：网络文件系统
 SMB（Server Message Block）：文件共享服务器
 FW支持对不同传输方向上的文件进行病毒检测。
 上传：指客户端向服务器发送文件。
 下载：指服务器向客户端发送文件。
 判断是否命中白名单。命中白名单后，NIP将不对文件做病毒检测。
 白名单由白名单规则组成，管理员可以为信任的域名、URL、IP地址或IP地址段配
置白名单规则，以此提高反病毒的检测效率。白名单规则的生效范围仅限于所在
的反病毒配置文件，每个反病毒配置文件都拥有自己的白名单。
 病毒检测：

 智能感知引擎对符合病毒检测的文件进行特征提取，提取后的特征与病毒特征库
中的特征进行匹配。如果匹配，则认为该文件为病毒文件，并按照配置文件中的
响应动作进行处理。如果不匹配，则允许该文件通过。当开启联动检测功能时，
对于未命中病毒特征库的文件还可以上送沙箱进行深度检测。如果沙箱检测到恶
意文件，则将恶意文件的文件特征发送给NIP，NIP将此恶意文件的特征保存到联
动检测缓存。下次再检测到该恶意文件时，则按照配置文件中的响应动作进行处
理。

 病毒特征库是由华为公司通过分析各种常见病毒特征而形成的。该特征库对各种
常见的病毒特征进行了定义，同时为每种病毒特征都分配了一个唯一的病毒ID。
当设备加载病毒特征库后，即可识别出特征库里已经定义过的病毒。

 当FW检测出传输文件为病毒文件时，需要进行如下处理：

 判断该病毒文件是否命中病毒例外。如果是病毒例外，则允许该文件通过。

 病毒例外，即病毒白名单。为了避免由于系统误报等原因造成文件传输失败等情
况的发生，当用户认为已检测到的某个病毒为误报时，可以将该对应的病毒ID添
加到病毒例外，使该病毒规则失效。如果检测结果命中了病毒例外，则对该文件
的响应动作即为放行。

 如果不是病毒例外，则判断该病毒文件是否命中应用例外。如果是应用例外，则
按照应用例外的响应动作（放行、告警和阻断）进行处理。

 应用例外可以为应用配置不同于协议的响应动作。应用承载于协议之上，同一协
议上可以承载多种应用。

 由于应用和协议之间存在着这样的关系，在配置响应动作时也有如下规定：

 如果只配置协议的响应动作，则协议上承载的所有应用都继承协议的响应动
作。

 如果协议和应用都配置了响应动作，则以应用的响应动作为准。

 如果病毒文件既没命中病毒例外，也没命中应用例外，则按照配置文件中配置的
协议和传输方向对应的响应动作进行处理。
 检测到病毒后的响应动作。包括：

 告警：允许病毒文件通过，同时生成病毒日志。

 阻断：禁止病毒文件通过，同时生成病毒日志。

 宣告：对于携带病毒的邮件文件，设备允许该文件通过，但会在邮件正文中添加
检测到病毒的提示信息，同时生成病毒日志。宣告动作仅对SMTP协议和POP3协议
生效。

 删除附件：对于携带病毒的邮件文件，设备允许该文件通过，但设备会删除邮件
中的附件内容并在邮件正文中添加宣告，同时生成病毒日志。删除附件动作仅对
SMTP协议和POP3协议生效。
 防火墙检测到病毒后，可以通过业务日志查看防火墙反病毒结果的详细信息。

 当配置了http协议和邮件协议反病毒后，能够在访问页面或邮件正文查看到相关提示信
息。
 参考答案：

 CD。

 D。
 加密是一个过程，它使信息只对正确的接收者可读，其他用户看到的是杂乱无序的信息，
使其只能在使用相应的密钥解密之后才能显示出本来内容。通过加密的方法来达到保护
数据不被非法人窃取、阅读的目的。加密在网络上的作用就是防止私有化信息在网络上
被拦截和窃取。通过加密可保证信息的机密性、完整性、鉴别性和不可否认性。

 机密性：通过数据加密实现。提供只允许特定用户访问和阅读信息，任何非授权用户对
信息都不可理解的服务。这是使用加密的普遍原因。通过小心使用数学方程式，可以保
证只有对应接收人才能查看它。

 完整性：通过数据加密、散列或数字签名来实现，提供确保数据在存储和传输过程中不
被未授权修改（篡改、删除、插入和重放等）的服务。对安全级别需求较高的用户来说，
仅仅数据加密是不够的，数据仍能够被非法破解并修改。

 鉴别性：通过数据加密、数据散列或数字签名来实现，提供与数据和身份识别有关的服
务，即认证数据发送和接受者的身份。

 不可否定性：通过对称加密或非对称加密，以及数字签名等，并借助可信的注册机构或
证书机构的辅助来实现，提供阻止用户否认先前的言论或行为的抗抵赖服务。
 加密作为保障信息安全的一种方式，它不是现代才有的，它产生的历史相当久远，可以
追溯到人类刚刚出现，并且尝试去学习如何通信的时候。他们不得不去寻找方法确保他
们的通信的机密。但是最先有意识地使用一些技术方法来加密信息的可能是公元前五百
年的古希腊人。他们使用的是一根叫scytale的棍子，送信人先绕棍子卷一张纸条，然后
把要加密的信息写在上面，接着打开纸送给收信人。如果不知道棍子的宽度（这里作为
密钥）是不可能解密信里面内容的。

 大约在公元前50年，古罗马的统治者凯撒发明了一种战争时用于传递加密信息的方法，
后来称之为“凯撒密码”。它的原理就是：将26个字母按自然顺序排列，并且首尾相连，
明文中的每个字母都用其后的第三个字母代替，例如HuaweiSymantec通过加密之后就变
成KxdzhlvBPdqwhf。

 近期加密技术主要应用于军事领域，如美国独立战争、美国内战和两次世界大战。在美
国独立战争时期，曾经使用过一种“双轨”密码，就是先将明文写成双轨的形式，然后
按行顺序书写。

 在第一次世界大战中，德国人曾依靠字典编写密码，比如：10-4-2，就是某字典第10页，
第4段的第2个单词。在二次世界大战中，最广为人知的编码机器是德国人的Enigma三转
轮密码机，在二次世界大战中德国人利用它加密信息。
 对称加密算法也叫传统密码算法（秘密密钥算法、单钥算法），加密密钥能从解密密钥
中推算出来。发件人和收件人共同拥有同一个密钥，既用于加密也用于解密。对称密钥
加密是加密大量数据的一种行之有效的方法。对称密钥加密有许多种算法，但所有这些
算法都有一个共同的目的：以可以还原的方式将明文（未加密的数据）转换为暗文。由
于对称密钥加密在加密和解密时使用相同的密钥，所以这种加密过程的安全性取决于是
否有未经授权的人获得了对称密钥。特别注意：希望使用对称密钥加密通信的双方，在
交换加密数据之前必须先安全地交换密钥。

 非对称算法也叫公钥加密，使用两个密钥：一个公钥和一个私钥，这两个密钥在数学上
是相关的。在公钥加密中，公钥可在通信双方之间公开传递，或在公用储备库中发布，
但相关的私钥是保密的。只有使用私钥才能解密用公钥加密的数据。使用私钥加密的数
据只能用公钥解密。
 甲与乙事先协商好对称密钥，具体加解密过程如下：

 甲使用对称密钥对明文加密，并将密文发送给乙。

 乙接收到密文后，使用对称密钥对密文解密，得到最初的明文。
 甲事先获得乙的公钥，具体加解密过程如下：

 甲使用乙的公钥对明文加密，并将密文发送给乙。

 乙收到密文后，使用自己的私钥对密文解密，得到最初的明文。
 对称密钥加密的优点是效率高，算法简单，系统开销小，适合加密大量数据。缺点是实
现困难，扩展性差。实现困难原因在于进行安全通信前需要以安全方式进行密钥交换；
扩展性差表现在每对通信用户之间都需要协商密钥，n个用户的团体就需要协商n*(n-1)/2
个不同的密钥。

 公钥加密的优点是无法从一个密钥推导出另一个密钥；公钥加密的信息只能用私钥进行
解密。缺点是算法非常复杂，导致加密大量数据所用的时间较长，而且加密后的报文较
长，不利于网络传输。

 基于公钥加密的优缺点，公钥加密适合对密钥或身份信息等敏感信息加密，从而在安全
性上满足用户的需求。
 数字信封是指发送方采用接收方的公钥来加密对称密钥后所得的数据。采用数字信封时，
接收方需要使用自己的私钥才能打开数字信封得到对称密钥。

 甲事先获得乙的公钥，具体加解密过程如下：

 甲使用对称密钥对明文进行加密，生成密文信息。

 甲使用乙的公钥加密对称密钥，生成数字信封。

 甲将数字信封和密文信息一起发送给乙。

 乙接收到甲的加密信息后，使用自己的私钥打开数字信封，得到对称密钥。

 乙使用对称密钥对密文信息进行解密，得到最初的明文。

 从加解密过程中，可以看出，数字信封技术结合了对称密钥加密和公钥加密的优点，解
决了对称密钥的发布和公钥加密速度慢等问题，提高了安全性、扩展性和效率等。

 但是，数字信封技术还有个问题，如果攻击者拦截甲的信息，用自己的对称密钥加密伪
造的信息，并用乙的公钥加密自己的对称密钥，然后发送给乙。乙收到加密信息后，解
密得到的明文，而且乙始终认为是甲发送的信息。此时，需要一种方法确保接收方收到
的信息就是指定的发送方发送的。
 数字签名是指发送方用自己的私钥对数字指纹进行加密后所得的数据。采用数字签名时，
接收方需要使用发送方的公钥才能解开数字签名得到数字指纹。

 数字指纹又称为信息摘要，它是指发送方通过HASH算法对明文信息计算后得出的数据。
采用数字指纹时，发送方会将数字指纹和明文一起发送给接收方，接收方用同样的
HASH算法对明文计算生成的数据指纹，与收到的数字指纹进行匹配，如果一致，便可
确定明文信息没有被篡改。

 甲事先获得乙的公钥，具体加解密过程如下：

 甲使用乙的公钥对明文进行加密，生成密文信息。

 甲使用HASH算法对明文进行HASH运算，生成数字指纹。

 甲使用自己的私钥对数字指纹进行加密，生成数字签名。

 甲将密文信息和数字签名一起发送给乙。

 乙使用甲的公钥对数字签名进行解密，得到数字指纹。

 乙接收到甲的加密信息后，使用自己的私钥对密文信息进行解密，得到最初的明
文。

 乙使用HASH算法对明文进行HASH运算，生成数字指纹。

 乙将生成的数字指纹与得到的数字指纹进行比较，如果一致，乙接受明文；如果
不一致，乙丢弃明文。
 从加解密过程中，可以看出，数字签名技术不但证明了信息未被篡改，还证明了发送方
的身份。数字签名和数字信封技术也可以组合使用。

 但是，数字签名技术还有个问题，如果攻击者更改乙的公钥，甲获得的是攻击者的公钥，
攻击者拦截乙发送给甲的信息，用自己的私钥对伪造的信息进行数字签名，然后与使用
甲的公钥的加密伪造的信息一起发送给甲。甲收到加密信息后，解密得到的明文，并验
证明文没有被篡改，则甲始终认为是乙发送的信息。此时，需要一种方法确保一个特定
的公钥属于一个特定的拥有者。
 对称加密算法根据加密的对象不同，主要包括两类：

 流加密算法（stream algorithm）

 流加密算法在算法过程中连续输入元素，一次产生一个输出元素。典型的流密码
算法一次加密一个字节的明文，密钥输入到一个伪随机字节生成器，产生一个表
面随机的字节流，称为密钥流。流加密算法一般用在数据通信信道，浏览器或网
络链路上。

 常见的流加密算法：RC4是Ron Rivest在1987年为RSA Security公司设计的流加密算

法。它是密钥大小可变的流密码，使用面向字节的操作，就是实时的把信息加密
成一个整体。该算法的速度可以达到DES加密的10倍左右。

 分组加密算法（block algorithm）

 分组加密算法的输入为明文分组及密钥，明文被分为两半，这两半数据通过n轮处
理后组合成密文分组，每轮的输入为上轮的输出；同时子密钥也是由密钥产生。
典型分组长度是64位。

 分组算法包括以下几种：

 数据加密标准（DES， Data Encryption Standard）：DES是由美国国家标准与技术

研究院（NIST）开发的。DES是第一个得到广泛应用的密码算法，使用相同的密钥
来加密和解密。DES是一种分组加密算法，输入的明文为64位，密钥为56位，生
成的密文为64位（把数据加密成64位的block）。因密码容量只有56位，因此针对
其不具备足够安全性的弱点，后来又提出了3DES。
 三重数据加密标准（3DES， Triple DES）：3DES使用了128位密钥。信息首先使用56位
的密钥加密，然后用另一个56位的密钥译码，最后再用原始的56位密钥加密，这样
3DES使用了有效的128位长度的密钥。Triple DES最大的优点就是可以使用已存在的软件
和硬件，并且在DES加密算法上的技术可以轻松的实施Triple DES。

 高级加密标准（AES，Advanced Encryption Standard）：AES采用128位的分组长度，支

持长度为128位、192位和256位的密钥长度，并可支持不同的平台。128位的密钥长度
能够提供足够的安全性，而且比更长的密钥需要较少的处理时间。到目前为止，AES还
没有出现任何致命缺陷。但由于快速DES芯片的大量生产，使得DES仍能继续使用。但
AES取代DES和3DES以增强安全性和效率已是大势所趋。

 IDEA（International Data Encryption Algorithm）：IDEA是对称分组密码算法，输入明文

为64位，密钥为128位，生成的密文为64位。应用方面有很多，其中SSL就将IDEA包含在
其加密算法库中。

 RC2是Ron Rivest为RSA公司设计的变长密钥加密算法，它是一种block模式的密文，就是
把信息加密成64位的数据。因为它可以使用不同长度的密钥，它的密钥长度可以从零到
无限大，并且加密的速度依赖于密钥的大小。

 RC5是由RSA公司的Rivest于1994年设计的一种新型的分组密码算法。RC5类似于RC2，
也是block密文，但是这种算法采用不同的block大小和密钥大小。另外此算法中数据所
通过的round也是不同的。一般建议使用128位密钥的RC5算法，并运行12到16个rounds。
它是一种分组长度、密钥长度和迭代轮数都可变的分组迭代密码算法。

 RC6不像其它一些较新的加密算法，RC6包括整个算法的家族。RC6系列在1998年被提出
在RC5算法提出来后，经调查发现其在对特殊的round上加密时存在于一个理论上的漏洞。
RC6的设计弥补了这种漏洞。

 国密算法是由国家密码管理局编制的一种商用密码分组标准对称算法，国密算法的分组
长度和密钥长度都为128bit。在安全级别要求较高的情况下，使用SM1或SM4国密算法
可以充分满足加密需求。

 目前比较常用的对称密钥加密算法，主要包含DES（Data Encryption Standard）、

3DES(Triple Data Encryption Standard)、AES（Advance Encrypt Standard）算法。
 目前比较常用的公钥加密算法，主要包含DH（Diffie-Hellman）、RSA（Ron Rivest、Adi
Shamirh、LenAdleman）和DSA（Digital Signature Algorithm）算法。

 DH算法一般用于双方协商出一个对称加密的密钥，即加密解密都是同一个密钥。实质是
双方共享一些参数，然后各自生成密钥，然后根据数学原理，各自生成的密钥是相同的，
这个密钥不会涉及到在链路中传播，但是之前的参数的交互会涉及链路传输。

 RSA公钥加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在（美国麻省理工

学院）开发的。RSA取名来自开发他们三者的名字。RSA是目前最有影响力的公钥加密
算法，它能够抵抗到目前为止已知的所有密码攻击，已被ISO推荐为公钥数据加密标准。
是第一个能同时用于加密和数字签名的算法。

 DSA是Schnorr和ElGamal签名算法的变种，被美国NIST作为DSS(DigitalSignature Standard)。
在保证数据的完整性、私有性、不可抵赖性等方面起着非常重要的作用。DSA是基于整
数有限域离散对数难题的，其安全性与RSA相比差不多。在DSA数字签名和认证中，发
送者使用自己的私钥对文件或消息进行签名，接受者收到消息后使用发送者的公钥来验
证签名的真实性。DSA只是一种算法，和RSA不同之处在于它不能用作加密和解密，也
不能进行密钥交换，只用于签名,它比RSA要快很多。

 目前比较常用的公钥加密算法，主要包含DH（Diffie-Hellman）、RSA（Ron Rivest、Adi
Shamirh、LenAdleman）和DSA（Digital Signature Algorithm）算法。
 MD5（信息认证代码）是计算机安全领域广泛使用的一种散列函数，用以提供消息的完
整性保护。将数据（如汉字）运算为另一固定长度值。其作用是让大量信息在用数字签
名软件签署私人密钥前被“压缩”成一种保密的格式。除了可以用于数字签名，还可以
用于安全访问认证。

 SHA（安全哈希算法）主要适用于数字签名标准里面定义的数字签名算法。

 SHA-1：安全散列算法SHA（Secure Hash Algorithm）是由NIST开发的。在1994年

对原始的HMAC功能进行了修订，被称为SHA-1。SHA-1在RFC2404中描述。SHA-1
产生160位的消息摘要。SHA-1比MD5要慢，但是更安全。因为它的签名比较长，
具有更强大的防攻破功能，并可以更有效的发现共享的密钥。

 SHA-2：SHA-2是SHA-1的加强版本，SHA-2算法相对于SHA-1加密数据长度有所上
升，安全性能要远远高于SHA-1。SHA-2算法包括SHA2-256、SHA2-384和SHA2-
512，密钥长度分别为256位、384位和512位。

 SM3（国密算法）是国家密码管理局编制的商用算法，用于密码应用中的数字签名和验
证、消息认证码的生成与验证以及随机数的生成，可满足多种密码应用的安全需求。

 以上几种算法各有特点，MD5算法的计算速度比SHA-1算法快，而SHA-1算法的安全强
度比MD5算法高，SHA-2、SM3算法相对于SHA-1来说，加密数据位数的上升增加了破解
的难度，使得安全性能要远远高于SHA-1。
 参考答案：

1. CD。

2. AB。
 数字证书可以说是Internet上的安全护照或身份证。当人们到其他国家旅行时，用护照可
以证实其身份，并被获准进入这个国家。数字证书提供的是网络上的身份证明。

 数字证书技术解决了数字签名技术中无法确定公钥是指定拥有者的问题。

 证书有四种类型

 自签名证书：又称为根证书，是自己颁发给自己的证书，即证书中的颁发者和主
体名相同。申请者无法向CA申请本地证书时，可以通过设备生成自签名证书，可
以实现简单证书颁发功能。设备不支持对其生成的自签名证书进行生命周期管理
（如证书更新、证书撤销等）。

 CA证书：CA自身的证书。如果PKI系统中没有多层级CA，CA证书就是自签名证书；
如果有多层级CA，则会形成一个CA层次结构，最上层的CA是根CA，它拥有一个
CA“自签名”的证书。申请者通过验证CA的数字签名从而信任CA，任何申请者都
可以得到CA的证书（含公钥），用以验证它所颁发的本地证书。

 本地证书：CA颁发给申请者的证书。

 设备本地证书：设备根据CA证书给自己颁发的证书，证书中的颁发者名称是CA服
务器的名称。申请者无法向CA申请本地证书时，可以通过设备生成设备本地证书，
可以实现简单证书颁发功能。
 最简单的证书包含一个公钥、名称以及证书授权中心的数字签名。一般情况下证书中还
包括密钥的有效期，颁发者（证书授权中心）的名称，该证书的序列号等信息，证书的
结构遵循X.509 v3版本的规范。

 证书内容中各字段含义

 版本：即使用X.509的版本，目前普遍使用的是v3版本（0x2）。

 序列号：颁发者分配给证书的一个正整数，同一颁发者颁发的证书序列号各不相
同，可用与颁发者名称一起作为证书唯一标识。

 签名算法：颁发者颁发证书使用的签名算法。

 颁发者：颁发该证书的设备名称，必须与颁发者证书中的主体名一致。通常为CA
服务器的名称。

 有效期：包含有效的起、止日期，不在有效期范围的证书为无效证书。

 主体名：证书拥有者的名称，如果与颁发者相同则说明该证书是一个自签名证书。

 公钥信息：用户对外公开的公钥以及公钥算法信息。

 扩展信息：通常包含了证书的用法、CRL的发布地址等可选字段。

 签名：颁发者用私钥对证书信息的签名。
 随着网络技术和信息技术的发展，电子商务已逐步被人们所接受，并得到不断普及。但
通过网络进行电子商务交易时，存在如下问题：

 交易双方并不现场交易，无法确认双方的合法身份。

 通过网络传输时信息易被窃取和篡改，无法保证信息的安全性。

 交易双方发生纠纷时没有凭证可依，无法提供仲裁。

 为了解决上述问题，PKI技术应运而生，其利用公钥技术保证在交易过程中能够实现身
份认证、保密、数据完整性和不可否认性。因而在网络通信和网络交易中，特别是电子
政务和电子商务业务，PKI技术得到了广泛的应用。

 PKI的核心技术就围绕着数字证书的申请、颁发和使用等整个生命周期进行展开，而在
这整个生命周期过程中，PKI会使用到对称密钥加密、公钥加密、数字信封和数字签名
技术。
 终端实体EE（End Entity）：也称为PKI实体，它是PKI产品或服务的最终使用者，可以是
个人、组织、设备（如路由器、防火墙）或计算机中运行的进程。
 证书认证机构CA（Certificate Authority）：CA是PKI的信任基础，是一个用于颁发并管理
数字证书的可信实体。它是一种权威性、可信任性和公正性的第三方机构，通常由服务
器充当，例如Windows Server 2008。
 CA通常采用多层次的分级结构，根据证书颁发机构的层次，可以划分为根CA和从
属CA。
 根CA是公钥体系中第一个证书颁发机构，它是信任的起源。根CA可以为其
它CA颁发证书，也可以为其它计算机、用户、服务颁发证书。对大多数基
于证书的应用程序来说，使用证书的认证都可以通过证书链追溯到根CA。
根CA通常持有一个自签名证书。
 从属CA必须从上级CA处获取证书。上级CA可以是根CA或者是一个已由根CA
授权可颁发从属CA证书的从属CA。上级CA负责签发和管理下级CA的证书，
最下一级的CA直接面向用户。例如，CA2和CA3是从属CA，持有CA1发行的
CA证书；CA4、CA5和CA6是从属CA，持有CA2发行的CA证书。
 当某个PKI实体信任一个CA，则可以通过证书链来传递信任，证书链就是从用户的
证书到根证书所经过的一系列证书的集合。当通信的PKI实体收到待验证的证书时，
会沿着证书链依次验证其颁发者的合法性。
 CA的核心功能就是发放和管理数字证书，包括：证书的颁发、证书的更新、证书
的撤销、证书的查询、证书的归档、证书废除列表CRL（Certificate Revocation List）
的发布等。
 证书注册机构RA（Registration Authority）：是数字证书注册审批机构，RA是CA面对用
户的窗口，是CA的证书发放、管理功能的延伸，它负责接受用户的证书注册和撤销申请，
对用户的身份信息进行审查，并决定是否向CA提交签发或撤销数字证书的申请。RA作
为CA功能的一部分，实际应用中，通常RA并不一定独立存在，而是和CA合并在一起。
RA也可以独立出来，分担CA的一部分功能，减轻CA的压力，增强CA系统的安全性。

 证书/CRL存储库：由于用户名称的改变、私钥泄漏或业务中止等原因，需要存在一种方
法将现行的证书吊销，即撤消公钥及相关的PKI实体身份信息的绑定关系。在PKI中，所
使用的这种方法为证书废除列表CR。任何一个证书被撤消以后，CA就要发布CRL来声明
该证书是无效的，并列出所有被废除的证书的序列号。因此，CRL提供了一种检验证书
有效性的方式。证书/CRL存储库用于对证书和CRL等信息进行存储和管理，并提供查询
功能。构建证书/CRL存储库可以采用LDAP（Lightweight Directory Access Protocol）服务
器、FTP（File Transfer Protocol）服务器、HTTP（Hypertext Transfer Protocol）服务器或
者数据库等等。其中，LDAP规范简化了笨重的X.500目录访问协议，支持TCP/IP，已经
在PKI体系中被广泛应用于证书信息发布、CRL信息发布、CA政策以及与信息发布相关的
各个方面。如果证书规模不是太大，也可以选择架设HTTP、FTP等服务器来储存证书，
并为用户提供下载服务。
 证书申请：证书申请即证书注册，就是一个PKI实体向CA自我介绍并获取证书的过程。

 证书颁发：PKI实体向CA申请本地证书时，如果有RA，则先由RA审核PKI实体的身份信息，
审核通过后，RA将申请信息发送给CA。CA再根据PKI实体的公钥和身份信息生成本地证
书，并将本地证书信息发送给RA。如果没有RA，则直接由CA审核PKI实体身份信息。

 证书存储：CA生成本地证书后，CA/RA会将本地证书发布到证书/CRL存储库中，为用户
提供下载服务和目录浏览服务。

 证书下载：PKI实体通过SCEP或CMPv2协议向CA服务器下载已颁发的证书，或者通过
LDAP、HTTP或者带外方式，下载已颁发的证书。该证书可以是自己的本地证书，也可
以是CA/RA证书或者其他PKI实体的本地证书。

 证书安装：PKI实体下载证书后，还需安装证书，即将证书导入到设备的内存中，否则
证书不生效。该证书可以是自己的本地证书，也可以是CA/RA证书，或其他PKI实体的本
地证书。通过SCEP协议申请证书时，PKI实体先获取CA证书并将CA证书自动导入设备内
存中，然后获取本地证书并将本地证书自动导入设备内存中。
 证书验证：PKI实体获取对端实体的证书后，当需要使用对端实体的证书时，例如与对
端建立安全隧道或安全连接，通常需要验证对端实体的本地证书和CA的合法性（证书是
否有效或者是否属于同一个CA颁发等）。如果证书颁发者的证书无效，则由该CA颁发
的所有证书都不再有效。但在CA证书过期前，设备会自动更新CA证书，异常情况下才
会出现CA证书过期现象。PKI实体可以使用CRL或者OCSP（Online Certificate Status
Protocol）方式检查证书是否有效。使用CRL方式时，PKI实体先查找本地内存的CRL，如
果本地内存没有CRL，则需下载CRL并安装到本地内存中，如果证书在CRL中，表示此证
书已被撤销。使用OCSP方式时，PKI实体向OCSP服务器发送一个对于证书状态信息的请
求，OCSP服务器会回复一个“有效”（证书没有被撤消）、“过期”（证书已被撤消）
或“未知”（OCSP服务器不能判断请求的证书状态）的响应。

 证书更新：当证书过期、密钥泄漏时，PKI实体必须更换证书，可以通过重新申请来达
到更新的目的，也可以使用SCEP或CMPv2协议自动进行更新。

 证书撤销：由于用户身份、用户信息或者用户公钥的改变、用户业务中止等原因，用户
需要将自己的数字证书撤消，即撤消公钥与用户身份信息的绑定关系。在PKI中，CA主
要采用CRL或OCSP协议撤销证书，而PKI实体撤销自己的证书是通过带外方式申请。
 在线申请：PKI实体支持通过SCEP（Simple Certificate Enrollment Protocol）或CMPv2
（Certificate Management Protocol version 2）协议向CA发送证书注册请求消息来申请本
地证书。

 离线申请：是指PKI实体使用PKCS#10格式打印出本地的证书注册请求消息并保存到文件
中，然后通过带外方式（如Web、磁盘、电子邮件等）将文件发送给CA进行证书申请。
 针对一个使用PKI的网络，配置PKI的目的就是为指定的PKI实体向CA申请一个本地证书，
并由设备对证书的有效性进行验证。
 PKI实体向CA请求CA证书，即CA服务器证书。
 CA收到PKI实体的CA证书请求时，将自己的CA证书回复给PKI实体。
 PKI实体收到CA证书后，安装CA证书。
 当PKI实体通过SCEP协议申请本地证书时，PKI实体会用配置的HASH算法对CA证书
进行运算得到数字指纹，与提前配置的CA服务器的数字指纹进行比较，如果一致，
则PKI实体接受CA证书，否则PKI实体丢弃CA证书。
 PKI实体向CA发送证书注册请求消息（包括配置的密钥对中的公钥和PKI实体信息）。
 当PKI实体通过SCEP协议申请本地证书时，PKI实体对证书注册请求消息使用CA证
书的公钥进行加密和自己的私钥进行数字签名。如果CA要求验证挑战密码，则证
书注册请求消息必须携带挑战密码（与CA的挑战密码一致）。
 当PKI实体通过CMPv2协议申请本地证书时，PKI实体可以使用额外证书（其他CA
颁发的本地证书）或者消息认证码方式进行身份认证。
 额外证书方式：PKI实体对证书注册请求消息使用CA证书的公钥进行加密和
PKI实体的额外证书相对应的私钥进行数字签名。
 消息认证码方式：PKI实体对证书注册请求消息使用CA证书的公钥进行加密，
而且证书注册请求消息必须包含消息认证码的参考值和秘密值（与CA的消
息认证码的参考值和秘密值一致）。
 CA收到PKI实体的证书注册请求消息。

 当PKI实体通过SCEP协议申请本地证书时，CA使用自己的私钥和PKI实体的公钥解
密数字签名并验证数字指纹。数字指纹一致时，CA才会审核PKI实体身份等信息，
审核通过后，同意PKI实体的申请，颁发本地证书。然后CA使用PKI实体的公钥进
行加密和自己的私钥进行数字签名，将证书发送给PKI实体，也会发送到证书/CRL
存储库。

 当PKI实体通过CMPv2协议申请本地证书时：

 额外证书方式：CA使用自己的私钥解密和PKI实体的额外证书中的公钥解密
数字签名并验证数字指纹。数字指纹一致时，CA才会审核PKI实体身份等信
息，审核通过后，同意PKI实体的申请，颁发本地证书。然后CA使用PKI实体
的额外证书中的公钥进行加密和自己的私钥进行数字签名，将证书发送给
PKI实体，也会发送到证书/CRL存储库。

 消息认证码方式：CA使用自己的私钥解密后，并验证消息认证码的参考值
和秘密值。参考值和秘密值一致时，CA才会审核PKI实体身份等信息，审核
通过后，同意PKI实体的申请，颁发本地证书。然后CA使用PKI实体的公钥进
行加密，将证书发送给PKI实体，也会发送到证书/CRL存储库。

 PKI实体收到CA发送的证书信息。

 当PKI实体通过SCEP协议申请本地证书时，PKI实体使用自己的私钥解密，并使用
CA的公钥解密数字签名并验证数字指纹。数字指纹一致时，PKI实体接受证书信息，
然后安装本地证书。

 当PKI实体通过CMPv2协议申请本地证书时：

 额外证书方式：PKI实体使用额外证书相对应的私钥解密，并使用CA的公钥
解密数字签名并验证数字指纹。数字指纹一致时，PKI实体接受证书信息，
然后安装本地证书。

 消息认证码方式：PKI实体使用自己的私钥解密，并验证消息认证码的参考
值和秘密值。参考值和秘密值一致时，PKI实体接受证书信息，然后安装本
地证书。

 PKI实体间互相通信时，需各自获取并安装对端实体的本地证书。PKI实体可以通过
HTTP/LDAP等方式下载对端的本地证书。在一些特殊的场景中，例如IPSec，PKI实体会把
各自的本地证书发送给对端。

 PKI实体安装对端实体的本地证书后，通过CRL或OCSP方式验证对端实体的本地证书的有
效性。

 对端实体的本地证书有效时，PKI实体间才可以使用对端证书的公钥进行加密通信。

 如果PKI认证中心有RA，则PKI实体也会下载RA证书。由RA审核PKI实体的本地证书申请，
审核通过后将申请信息发送给CA来颁发本地证书。
 管理员可以通过HTTPS方式安全地登录HTTPS服务器的Web界面，并通过Web界面对设备
进行管理。

 为了提高双方建立SSL连接时的安全性，在设备上为HTTPS客户端指定由Web浏览器信任
的CA颁发的本地证书。这样，Web浏览器可以验证本地证书的合法性，避免了可能存在
的主动攻击，保证了管理员的安全登录。
 设备作为网络A和网络B的出口网关，网络A和网络B的内网用户通过公网进行相互通信。

 因为公网是不安全的网络，为了保护数据的安全性，设备采用IPSec技术，与对端设备建
立IPSec隧道。通常情况下，IPSec采用预共享密钥方式协商IPSec。但是，在大型网络中
IPSec采用预共享密钥方式时存在密钥交换不安全和配置工作量大的问题。为了解决上述
问题，设备之间可以采用基于PKI的证书进行身份认证来完成IPSec隧道的建立。
 SSL VPN可以为出差员工提供方便的接入功能，使其在出差期间也可以正常访问内部网
络。

 通常情况下，出差员工使用用户名和密码的方式接入内部网络。但是，这种安全手段存
在保密性差的问题，一旦用户名和密码令泄漏，可能导致非法用户接入内部网络，从而
造成信息泄漏。为了提高出差员工访问内部网络的安全性，设备可以采用PKI的证书方
式来对用户进行认证。
 参考答案：

1. D。

2. D。
 VPN：很多VPN技术需要使用采用加解密技术来保证数据的机密性，如IPSec VPN、SSL
VPN。

 IPv6：为了防止设备被攻击者冒充，可以在设备上配置SEND（Secure Neighbor Discovery）

路由器授权功能。通过数字证书技术选用合法网关设备。

 HTTPS登录：管理员可以通过HTTPS方式安全地登录HTTPS服务器的Web界面，并通过
Web界面对设备进行管理。为了提高双方建立SSL连接时的安全性，在设备上为HTTPS客
户端指定由Web浏览器信任的CA颁发的本地证书。这样，Web浏览器可以验证本地证书
的合法性，避免了可能存在的主动攻击，保证了管理员的安全登录。

 系统登录授权：将用户密码先进行摘要算法之后存放，用户登录时比对授权。

 在各种应用场景中，其中最主要的应用场景就是在VPN上的应用。

 本课程主要介绍几种加密VPN并顺带介绍一些其他常用的VPN技术。
 传统的VPN组网主要采用专线VPN和基于客户端设备的加密VPN两种方式。专线VPN是
指用户租用数字数据网（DDN）电路、ATM永久性虚电路（PVC）、帧中继（FR）PVC
等组建一个二层的VPN网络，骨干网络由电信运营商进行维护，客户负责管理自身的站
点和路由。基于客户端设备的加密VPN则将VPN的功能全部由客户端设备来实现，VPN
各成员之间通过非信任的公网实现互联。第一种方式的成本比较高，扩展性也不好；第
二种方式对用户端设备及人员的要求较高。

 IETF草案对基于IP的VPN的理解是：“使用IP机制仿真出一个私有的广域网”。即通过隧
道技术在公共数据网络上模拟出一条点到点的专线技术。所谓虚拟，是指用户不再需要
拥有实际的专用长途数据线路，而是利用Internet的长途数据线路建立自己的私有网络。
所谓专用网络，则是指用户可以为自己制定一个最符合自己需求的网络。

 随着IP数据通信技术的不断发展，基于IP的VPN技术逐渐成为VPN市场的主流。由于IP
VPN采用IP网络来承载，而且运营商网络越来越完善，因此成本较低，服务质量也足以
满足客户需求，并且具有较好的可扩展性和可管理性。也正是如此，越来越多的用户开
始选择IP VPN，运营商也建设IP VPN来吸引更多的用户。
 L3VPN

 三层VPN主要是指VPN技术工作在协议栈的网络层。以IPSec VPN技术为例，IPSec
报头与IP报头工作在同一层次，封装报文时或者是以IPinIP的方式进行封装，或者
是IPSec报头与IP报头同时对数据载荷进行封装。

 除IPSec VPN技术外，主要的三层VPN技术还有GRE VPN。GRE VPN产生的时间比较

早，实现的机制也比较简单。GRE VPN可以实现任意一种网络协议在另一种网络
协议上的封装。与IPSec相比，安全性没有得到保证，只能提供有限的简单的安全
机制。

 L2VPN

 与三层VPN类似，二层VPN则是指VPN技术工作在协议栈的数据链路层，即数据链
路层。二层VPN主要包括的协议有点到点隧道协议（PPTP, Point-to-Point Tunneling
Protocol）、二层转发协议（L2F, Layer 2 Forwarding）以及二层隧道协议（L2TP,
Layer 2 Tunneling Protocol）。
 本课程主要介绍最为常用的Client-Initiated VPN拨号场景
 L2TP (Layer Two Tunneling Protocol) 二层隧道协议

 为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议。提供了对PPP
链路层数据包的通道（Tunnel）传输支持。

 主要用途

 企业驻外机构和出差人员可从远程经由公共网络，通过虚拟隧道实现和企业总部
之间的网络连接
 Client-Initiated VPN中，每个接入用户和LNS之间均建立一条隧道；每条隧道中仅承载一
条L2TP会话和PPP连接。

 L2TP隧道的呼叫建立流程

 当接入用户拨号到LNS时，首先触发接入用户和LNS之间建立L2TP隧道。

 L2TP隧道建立成功后，在隧道基础上建立L2TP会话。

 LNS对用户进行认证。

 用户与LNS之间建立PPP连接。

 用户在PPP连接基础上，通过LNS访问内网资源。
 PC_A通过GRE隧道访问PC_B时，FW_A和FW_B上的报文转发过程如下：

 PC_A访问PC_B的原始报文进入FW_A后，首先匹配路由表。

 根据路由查找结果，FW_A将报文送到Tunnel接口进行GRE封装，增加GRE头，外
层加新IP头。

 FW_A根据GRE报文的新IP头的目的地址（2.2.2.2），再次查找路由表。

 FW_A根据路由查找结果转发报文。

 FW_B收到GRE报文后，首先判断这个报文是不是GRE报文。封装后的GRE报文会有
个新的IP头，这个新的IP头中有个Protocol字段，字段中标识了内层协议类型，如
果这个Protocol字段值是47，就表示这个报文是GRE报文。如果是GRE报文，FW_B
则将该报文送到Tunnel接口解封装，去掉新的IP头、GRE头，恢复为原始报文；如
果不是，则报文按照普通报文进行处理。

 FW_B根据原始报文的目的地址再次查找路由表，然后根据路由匹配结果转发报文。
 对于L2TP VPN和GRE VPN，数据都是明文传输的，用户或企业的安全性得不到保证。

 若在网络中部署IPSec，便可对传输的数据进行保护处理，降低信息泄漏的风险。
 AH是报文头验证协议，主要提供数据源验证、数据完整性验证和防报文重放功能，不提
供加密功能。

 ESP是封装安全载荷协议，主要提供加密、数据源验证、数据完整性验证和防报文重放
功能。

 AH和ESP协议提供的安全功能依赖于协议采用的验证、加密算法。

 IPSec加密和验证算法所使用的密钥可以手工配置，也可以通过因特网密钥交换IKE
（Internet Key Exchange）协议动态协商。本课程主要讲解手工方式的IPSec隧道建立。
 SA是通信的IPSec对等体间对某些要素的约定，例如：对等体间使用何种安全协议、需
要保护的数据流特征、对等体间传输的数据的封装模式、协议采用的加密算法、验证算
法，对等体间使用何种密钥交换和IKE协议，以及SA的生存周期等。

 SA由一个三元组来唯一标识，这个三元组包括安全参数索引SPI（Security Parameter
Index）、目的IP地址和使用的安全协议号（AH或ESP）。
 传输模式不改变报文头，故隧道的源和目的地址必须与IP报文头中的源和目的地址一致，
所以只适合两台主机或一台主机和一台VPN网关之间通信。
 隧道模式主要应用于两台VPN网关之间或一台主机与一台VPN网关之间的通信。

 传输模式和隧道模式的区别在于：

 从安全性来讲，隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证
和加密。隧道模式下可以隐藏内部IP地址，协议类型和端口。

 从性能来讲，隧道模式因为有一个额外的IP头，所以它将比传输模式占用更多带
宽。
 因特网密钥交换IKE（Internet Key Exchange）协议建立在Internet安全联盟和密钥管理协
议ISAKMP定义的框架上，是基于UDP的应用层协议，可为数据加密提供所需的密钥，能
够简化IPSec的使用和管理，大大简化了IPSec的配置和维护工作。

 对等体之间建立一个IKE SA完成身份验证和密钥信息交换后，在IKE SA的保护下，根据

配置的AH/ESP安全协议等参数协商出一对IPSec SA。此后，对等体间的数据将在IPSec隧
道中加密传输。
 IPSec采用对称加密算法对数据进行加密和解密。

 验证指IP通信的接收方确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。

 IPSec采用HMAC（Keyed-Hash Message Authentication Code）功能进行验证。HMAC功

能通过比较数字签名进行数据包完整性和真实性验证。
 IPSec可以通过加密实现数据的安全传输，但是IPSec的加密和验证功能在一些特殊场景
下是存在问题的，比如说NAT穿越场景。而SSL VPN因其特有的属性，加密只对应用层生
效，且不需要用户安全VPN客户端，因而适用范围更广、也更便捷。

 SSL可以为HTTP协议提供安全连接，广泛应用于电子商务、网上银行等领域，为网络上
数据的传输提供安全性保证。
 用户认证：是虚拟网关对客户端身份的验证。

 Web代理：实现了无客户端的页面访问，充分体现了SSL VPN的易用性，是SSL VPN区别

于其他VPN的一个重要功能。它将远端浏览器的页面请求（采用https协议）转发给web
服务器，然后将服务器的响应回传给终端用户，提供细致到URL的权限控制，即可控制
到用户对某一张具体页面的访问。Web代理按照实现方式的不同分为了Web改写和Web
link两种。

 文件共享：将不同的系统服务器（如支持SMB协议的Windows系统，支持NFS协议的
Linux系统）的共享资源以网页的形式提供给用户访问。支持SMB协议（Windows）和
NFS协议（LINUX）文件协议。

 端口转发：用于C/S等不能使用web技术访问的应用。

 网络扩展：使用网络扩展功能后，远程客户端将获得内网IP地址，就像处于内网一样，
可以随意访问任意内网资源。同时针对不同的访问方式，具备不同的Internet和本地子网
访问权限。不同的访问方式有全路由模式（Full Tunnel）、分离模式（Split Tunnel ）和
手动模式（Manual Tunnel ） 。
 拨号用户名为“user001”和密码为“Admin@123”。

 L2TP配置结束后需要配置安全策略允许用户和内网服务器的互访，并放过L2TP报文。
 VPN客户端设置需与防火墙上的配置保持一致。
 要求配置实现网络1和网络2互访时通过GRE隧道进行。实验配置展示以FWA为例。
 配置安全策略，允许网络1和网络2的互访并放过GRE的报文。

 FWB的配置参照FWA。
 选择“网络 > 路由 > 静态路由”，新建到达对端网络的路由。
 选择“策略 > 安全策略 > 安全策略”，单击“新建”安全策略。
 选择“网络 > IPSec > IPSec”，单击“新建”，选择“场景”为“点到点”。

 在“基础配置”中设置IPSec相关参数.
 配置界面的“待加密数据流”中单击“新建”，新建感兴趣的加密流量。
 参考答案：

1. B。

2. ABCD。
 安全运营条件：

 业务连续性计划：业务连续性计划（Business Continuity Planning，BCP）涉及对组

织各种过程的风险评估，还有在发生风险的情况下为了使风险对组织的影响降至
最小程度而制定的各种策略、计划和策略，用于在出现危急事件时维护业务的连
续运作。

 物理安全：物理安全的目的是防止受到物理威胁，包括周边安全和内部安全。

 管理安全运营

 保护资源的配置：管理各项资产的配置，包括物理资产、云资产、虚拟资产
及数据资产等，确保各项系统处于一致的安全状态，并在其整个生命周期维
护这种状态。

 采用资源保护技术：通过介质管理方法和资产管理方法保护资源在整个生命
周期中的配置和管理。

 理解和应用基本的安全操作原则：在对组织人员进行职责管理和权限管理时
需要考虑的安全原则。

 执行和支持补丁及脆弱性管理：补丁管理能够确应用适当的补丁，并且漏洞
管理有助于验证系统免受已知威胁的干扰。

 参与和理解变更管理流程：变更管理有助于减少由未授权变更造成的不可预
料的中断，确保变更不会导致中断。例如配置变更等。

 参与解决人身安全：实施安全控制来增强企业人员安全。
 安全运营条件：

 事件预防及响应

 管理日志和监控行为：日志、监控和审计程序有助于组织防止事件发生，并
能够在事件发生时做出有效响应。

 实施事件管理：事件响应的主要目标是在安全事件发生时尽量减少事件对组
织的影响。

 操作和维护预防措施：通过配置相应的设备和措施预防安全事件的发生。

 灾难恢复计划：当灾难中断业务时，灾难恢复计划应该能够几乎全自动起到作用
并开始为恢复操作提供支持。

 实施恢复策略：在灾难发生后如何恢复业务具有指导意义。

 执行灾难恢复过程

 测试灾难恢复计划

 调查取证：在一些信息安全事件造成的威胁和破坏足以严重到需要执法机构接入
时，调查人员必须仔细调查，确保执行正确的步骤。

 理解和支持调查

 理解调查取证类别的要求
 业务组织分析：用于确定参与业务连续性计划编制过程的所有相关部门和人员。分析时
需要考虑包括以下关键领域：

 提供核心服务业务的运营部门

 支持服务部门，如IT部门等这些对运营部门的系统进行维护的部门

 高层行政管理人员以及企业决策者

 BCP团队的选择：根据上述业务组织分析，业务连续与运营部门、服务部门以及企业高
层都有重要的关系，那么在BCP制定和维护的团队中，必须都有这些部门的人的参与，
具体包括且不仅限于以下人员：

 每个核心业务运营部门的部门代表

 支持部门代表

 BCP所设领域内的具有技术专长的IT代表

 了解BCP过程的安全代表

 熟悉相关法律的法律代表

 高层管理代表

 资源要求：BCP开发、测试、培训、维护和实现过程中都需要消耗大量的人力、时间和
物资等，这些也是BCP所需要的资源。

 法律和法规要求：国家和地方针对业务连续性都发布了相应的法律法规，这些法律法规
在要求企业业务运营连续性的标准的同时，也保障了国家经济的生命力。
 确定优先级：确定业务的优先级在出现灾难时对于恢复操作非常重要，业务优先级可以
使用最大允许终端时间（Maximum Tolerable Downtime，MTD）定量分析。

 风险识别：在这个部分组织应该识别可能面临的风险，包括自然风险和人为风险，在这
个阶段仅仅做一个定性分析，为后续的评估做铺垫。

 可能性评估：针对上述威胁组织的风险发生的可能性仅性评估。

 影响评估：根据风险及风险发生的可能性对组织造成的影响进行定向或定量地评估，包
括且不仅限于信誉、公共影响及资源流失等影响。

 资源优先级划分：划分针对各种不同风险所分配的业务连续性计划资源的优先级。
 策略开发：根据业务影响评估的结果，决定对每种风险采取的缓解措施。

 计划实现：利用特定的资源，尽可能地依据策略开发计划，并使之达到预定的目标。

 预备和处理：为业务连续性计划方案的制定、维护及实施提供必要的资源以及保护措施，
这些资源包括人、建筑物/设备和基础设施。

 培训和教育：对参与BCP的所有相关人员进行业务连续性计划方案的培训，从而使他们
了解其中的任务，在面临紧急事件时能够沉着有序地处理。

 计划批准：在业务连续性方案设计完成后，需要取得组织高层的批准。
 检测：工作人员通过数据监察和数据分析检测安全事件的发生，比如收集日志等，详细
介绍请参照后续章节《数据监察与数据分析》。

 响应：检测和验证事件发生后，激活响应程序，计算机安全事件响应小组需要尽快协助
调查事件、评估损害、收集证据、报告事件和恢复程序、修复以及吸取经验教训，并且
帮助做根因分析。尽快响应安全时间，能更大地减少损害。详细介绍请参照后续章节
《应急响应》。

 缓解：缓解也是应急响应的一种方式，用于遏制事件的影响，比如通过中断被感染者与
企业网络的连接从而隔离问题。

 报告：当事件发生时，需要向组织内部报告，有时需要向外界报告。轻微的安全事件可
以不必要报告给组织高层，但重大的事故必须通知高层行政人员，以便及时调整响应方
针遏制影响。

 恢复：将系统恢复到正常的状态，如果需要收集证据，则需要在恢复系统前进行。

 修复：在这一阶段进行事件根因分析，对系统漏洞进行修复，预防类似事件再次发生。

 经验教训：总结该事件，吸取经验教训，并将该阶段的输出应用到后续的业务连续性计
划的检测和维护阶段。
 灾难包括：

 自燃灾难：地震、洪水、火灾等

 人为灾难：恐怖行为、电力中断等

 其他公共设施和基础设施故障：软/硬件故障、示威游行、故意破坏等

 恢复策略：对重要的数据和设施进行备份，以提高系统的恢复能力和容错能力，从而保
持业务高可用性和提高服务质量。

 备份存储策略

 站点恢复策略

 相互援助协议

 执行灾难恢复过程：详细介绍参考后续章节《应急响应》

 测试灾难恢复计划：灾难恢复计划必须进行定期测试，以确保计划的内容是可行的并且
符合组织变化的需要。测试类型包括：

 通读测试

 结构化测试

 模拟测试

 并行测试

 完全中短测试
 调查方式必须遵守法律法规。

 操作型调查：主要用于调查组织的计算设施问题，比如是否存在性能问题、配置
问题等，主要用于分析问题，不需要特别严谨的证据。

 犯罪调查：法律执行者针对违法行为进行的调查。

 民事调查：民事调查通常不涉及内部员工和外部顾问代表法律团队的工作。

 监管调查：监管调查由政府机构执行，在组织可能违法法律时进行。

 电子发现：即电子取证，详细介绍参照后续章节《电子取证》。
 证据必须是可接纳的证据：

 证据必须与确定事实相关。

 证据必须与本事件相关。

 证据必须合法获得。

 证据类型：

 实物证据：客观证据，比如物件等；

 文档证据：书面内容，比如计算机日志等；

 言辞证据：证人证词。

 电子取证参照后续章节。
 BCP和灾难恢复计划（DRP）都是为了降低灾难对业务持续运营的影响。灾难恢复计划
在BCP中止时开始，当灾难发生且业务连续性计划无法阻止业务中断时，灾难恢复计划
开始生效。
 近年来，随着互联网的迅速发展，黑客、病毒攻击事件越来越多。据统计，成功的Web
攻击事件中约95%都是由于没有对已知的漏洞进行修补。攻击事件的增多，一方面是
由于互联网的应用范围越来越广，另一方面也由于简单易用的黑客工具越来越多。而
最主要、最根本的原因是计算机系统存在可以被渗透的脆弱性，或称安全漏洞。在实
际的计算机网络系统中，脆弱性几乎无所不在，因此对脆弱性进行评估就显得尤为重
要。

 根据安全评估结果，参考当前网络和系统现状，为客户信息安全架构的改进或升级提
出切实可行的解决方案。通过帮助客户实施安全加固工作，提高网络安全性并保障网
络性能的最佳 。

 标准依据：

 SSE-CMM：系统安全工程能力成熟度模型。

 ISO17799（BS7799）：信息安全管理业务规范。

 ISO7498-2：信息处理系统开放系统互连基本参考模型 第2部分：安全体系结构。

 ISO13335：信息技术-安全技术-IT安全管理指南。

 ISO27001：信息安全管理体系标准

 IATF：信息保障技术框架。
 安全评估方法：

 安全扫描：充分了解目标系统当前的网络安全漏洞状况，需要利用扫描分析评估
工具对目标系统进行扫描，以便发现相关漏洞。

 人工审计：对包括主机系统、业务系统、数据库、网络设备、安全设备等在内的
目标系统进行人工检查。

 渗透测试：模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全作
深入的探测，发现系统最脆弱的环节。

 调查问卷：对网络系统管理员、安全管理员、技术负责人等进行业务、资产、威
胁、脆弱性等方面的检查。

 访谈调研：确认问卷调查结果，详细获取管理执行现状并听取用户想法和意见。
 Nmap命令参数规则：

 nmap [Scan Type(s)] [Options] {target specification}

 -sT TCP connect()扫描

 -sn/sP Ping扫描

 -sU UDP扫描

 -sR RPC扫描

 -P0 在扫描前不尝试或者PING主机

 -O 经由TCP/IP获取‘指纹’来判别主机的OS类型

 -v 详细模式。这是被强烈推荐的选项

 -h 这是一个快捷的帮助选项

 -o 指定一个放置扫描结果的文件的参数

 -D 带有诱骗模式的扫描，在远程主机的连接记录里会记下所有你所指定的诱骗
性的地址。

 -n 不做DNS解析，可增加扫描速度
 可以使用以下命令进行信息收集：

 执行一个网段的Ping快速扫描：nmap –sn [IP段]

 针对一个IP地址进行TCP扫描：nmap –sT IP

 针对一个IP地址进行UDP扫描：nmap –sU IP

 针对一个IP地址进行RPC扫描：nmap –sV IP

 通过扫描判断主机的操作系统：nmap –A IP
 Sparta是一款图形界面化的工具，操作比较方便，并且他集成了端口扫描的功能和暴力
破解的功能。
 在使用Burp Suite之前，我们除了要正确配置Burp Proxy并设置浏览器代理外，还需要在
Burp Target的站点地图中存在需要扫描的域和URL模块路径。当Burp Target的站点地图
中存在这些域或URL路径时，我们才能对指定的域或者URL进行全扫描或者分支扫描。
 在每一个漏洞的条目上，我们可以选中漏洞。在弹出的右击菜单中，依次选择Set
severity，对漏洞的等级进行标识。也可以选择Set confidence，对漏洞是否存在或误报
进行标注。
 在实际开始评估扫描同时，在被评估方的授权下，根据客户要求的重点IP，进行渗透测
试，完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全作深入的
探测，发现系统最脆弱的环节。对这些重点IP做到尽可能的准确全面的测试，一旦发现
危害性严重的漏洞，及时修补，以免后患。

 根据用户需求决定是否采用。
 抓包可以获取所有报文信息，直接分析使用；对于镜像和日志文件，有时需要配置监
控设备或日志服务器，通过专门的软件进行分析，获得数据报表，确定威胁或漏洞。
 镜像端口：是指被监控的端口，镜像端口收发的报文将被复制一份到与监控设备相连
的端口。

 观察端口：是指连接监控设备的端口，用于将镜像端口复制过来的报文发送给监控设
备。
 日志存储依赖于硬盘或SD卡，当硬盘或SD卡不在位时，会对查看日志、导出日志有影
响。不同的设备型号，对日志、报表支持情况也不同，请参考华为产品文档。

 日志类型：

 系统日志：管理员可以查看系统运行过程中所产生的运行日志以及硬件环境的相
关日志记录，了解设备是否一直正常运行，在发生问题时可以用于故障的定位和
分析。

 业务日志：管理员可以获知网络中的相关信息，可及时进行故障定位和分析。

 告警信息：通过Web界面直观查看设备产生的告警信息，包括告警级别、产生事
件、告警源以及描述信息。

 流量日志：管理员可以获知网络中的流量特征，了解当前网络的带宽占用以及安
全策略和带宽策略配置的生效情况。

 威胁日志：管理员可以查看AV、入侵、DDoS、僵尸、木马、蠕虫、APT等网络威
胁的检测和防御情况的记录，了解曾经发生和正在发生的威胁事件，以及时做出
策略调整或主动防御。

 URL日志：管理员可以查看用户访问URL时产生的允许、告警或阻断情况，了解用
户的URL访问情况以及被允许、告警或阻断的原因。
 内容日志：管理员可以查看用户传输文件或数据、收发邮件、访问网站时产生的
告警和阻断，了解用户的安全风险行为以及被告警或阻断的原因。

 操作日志：通过操作日志显示信息，可以查看所有管理员的登录注销、配置设备
等操作的记录，了解设备管理的历史，增强设备安全性。

 用户活动日志：管理员可以查看用户的在线记录，例如登录时间、在线时长/冻结
时长、登录时所使用的IP地址等信息，了解当前网络中的用户活动情况，发现异
常的用户登录或网络访问行为，及时做出应对。

 策略命中日志：管理员可以获知流量命中的安全策略，从而确定安全策略配置是
否正确及达到理想效果，在发生问题时用于故障定位。

 沙箱检测日志：管理员可以查看沙箱检测的一系列信息，例如被检测文件的文件
名称、文件类型、发出的源安全区域、送达的目的安全区域等。通过了解沙箱检
测的具体情况，管理员可以对异常情况及时做出应对。

 邮件过滤日志：管理员可以查看用户收发邮件的协议类型，邮件中包含的附件个
数和大小，合法正常的邮件被阻断的原因，进而采取合理的应对措施。

 审计日志：通过查看审计日志，管理员可以获知用户的FTP行为、HTTP行为、收
发邮件的行为、QQ上下线行为、搜索关键字以及审计策略配置的生效情况等。
 FW通过信息中心输出系统日志。信息中心是FW上系统软件模块的信息枢纽，通过对系
统输出信息进行细致的分类，可以有效地对信息进行筛选。
 根据信息的严重等级或紧急程度，信息分为8个等级，信息越严重，其严重等级值越小：
 Emergency（0）：设备致命的异常，系统已经无法恢复正常，必须重启设备。如
程序异常导致设备重启，内存的使用被检测出错误等。
 Alert（1）：设备重大的异常，需要立即采取措施。如设备内存占用率达到极限
等。
 Critical（2）：设备重大的异常，需要采取措施进行处理或原因分析。如设备内
存占用率超过低界线，温度超过低温告警线，BFD探测出设备不可达，检测出错
误的消息（消息是由本设备内部生成）等。
 Error（3）：错误的操作或设备的异常流程，不会影响后续业务，但是需要关注
和原因分析。如错误指令，用户密码错误，检测出错误协议报文（报文是由其他
设备获得）。
 Warning（4）：设备的异常运转的异常点，可能引起业务故障的流程，需要引起
注意。如关闭路由进程，BFD探测的一次报文丢失，检测出错误协议报文等。
 Notice（5）：用于设备正常运转的关键操作信息。如执行shutdown命令，邻居
发现，协议状态机的正常跳转等。
 Informational（6）：用于设备正常运转的一般性操作信息。
 Debugging（7）：设备正常运转的一般性信息，用户无需关注。
 FW支持输出安全业务功能的日志，管理员可以通过Web界面、日志服务器查看到这些
日志信息。

 FW上的业务日志包括威胁日志、内容日志、策略命中日志、邮件过滤日志、URL过滤
日志以及审计日志等。

 FW上的业务日志可以输出到Web界面上，也可以直接输出到日志主机，还可以通过信
息中心输出。管理员通过查看业务日志了解业务运行情况和网络状态。
 Windows事件日志文件本质上是数据库，其中包括有关系统、安全、应用程序的记录。
记录的事件包含9个元素：日期/时间、事件类型、用户、计算机、事件ID、来源、类别、
描述、数据等信息。
 头部字段是内容和格式相对固定，包括：来源，记录时间、事件ID、任务类别和事件结
果（成功\失败）等信息。

 描述字段的信息会根据具体事件的不同而不同，但是其形式都是一系列组合信息，每
个组合信息是一个内容固定的描述信息已及后面的动态信息组成。
 关于主动分析的过程，我们在前面胶片中已经提到，通过安全评估方法：安全扫描，
人工审计，渗透测试，调查问卷和访谈调研获得有价值的信息，输出对网络安全评估
的报告，这里不再介绍。

 后面我们将对被动采集中的日志信息进行详细的分析，日志中主要记录的是发生的关
键事件，对于事件的分析，需要掌握以下几个方面的信息：谁，什么时间，在什么地
方，通过什么方式，做了什么事。
 日志分析要点：

 Who：是用户还是访客。

 When：什么时间。

 Where：在什么地点，如位置信息，登录的设备信息，接入的接口信息，访问的
服务等。

 How：通过什么方式，如通过有线接入，无线接入或者VPN接入。

 What：做了什么，如进行的操作行为，使用接入设备，访问的资源服务等。
 对于IP Spoof Attack，可以使用源探测技术，辨别对方的身份，对于真实源发送的数据
放行，对虚假源的数据进行丢弃。

 对于UDP类型的攻击，可以利用指纹学习技术，分析攻击报文的特征地段，获取攻击报
文的特征，为防御提供依据。也可以创建会话，依据会话，对真实源的UDP报文进行放
行，虚假源的UDP报文丢弃。
 如图展示了在安全日志中，筛选出日志来源为“Application Error”，事件级别为“关键”
或“警告”，事件结果为“审核失败”的日志信息。

 对于Windows事件日志分析，我们可以根据自己的需要，根据Event ID迅速取出我们关
心的信息，不同的Event ID代表了不同的意义。
 以上事件都是以windows 2008 R2举例进行说明。
 以上事件都是以windows 2008 R2举例进行说明。
 事件1记录了修改时间的用户名、原始时间和修改后的时间。

 事件4616不仅记录了修改时间的用户名、原始时间、修改后的时间，此外还记录通过
修改时间是通过哪个进程执行的。
 以上事件都是以windows 2008 R2举例进行说明。
 事件20001和20003记录了即插即用设备的驱动安装（如U盘，移动硬盘等），其中信
息还包括了设备品牌、型号以及SN等，可以用于追踪用户插入了哪些USB存储介质。
 参考答案：

1. D。

2. D。
 计算机犯罪具有犯罪主体的专业化、犯罪行为的智能化、犯罪客体的复杂化、犯罪对
象的多样化、危害后果的隐蔽性等特点，使计算机犯罪明显有别于传统一般刑事犯罪。

 近年来，计算机犯罪案例呈逐年上升趋势。给国家带来不可估量的严重后果和巨大的
经济损失，甚至威胁到国家的安全，破坏了良好的社会秩序。
 其它形式犯罪：
 系统弱密码攻击
 网络监听(sniffer)
 地址欺骗(Spoofing)
 信息丢失、篡改、销毁
 连接盗用(Hijacking)
 业务否决(Denial of Service)
 对域名系统和其他基础设施的破坏
 利用Web破坏数据库
 蓄意破坏
 利用CGI/IIS漏洞入侵
 Buffer Overflow入侵
 DOS/DDOS攻击
 IP Spoof入侵
 利用PHP程序漏洞入侵
 来自内部的攻击（90%相关）
 社会工程(Social Engineering)
 电子证据的表现形式是多样的，可以是文本、图形、图像、动画、音频及视频等多种
媒体信息。这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。
 电子证据的来源很多，还有其他的来源，如：

 IDS、防火墙、ftp、www和反病毒软件日志；

 系统的审计记录（Audit trails）；

 E-mail；

 Windows操作系统和数据库的临时文件或隐藏文件；

 硬盘驱动的交换（swap）分区；

 完成特定功能的脚本文件；

 书签、历史记录或会话日志、实时聊天记录等等。
 作为计算机领域和法学领域的一门交叉科学：计算机取证正逐渐称为人们研究与关注
的焦点。

 计算机取证是指对计算机入侵、破坏、欺诈、攻击等犯罪行为利用计算机软硬件技术，
按照符合法律规范的方式进行证据获取、保存、分析和出示的过程。

 从技术上，计算机取证是对受侵计算机系统进行扫描和破解，以对入侵事件进行重建
的过程。

 计算机取证包括物理证据获取和信息发现两个阶段：

 物理证据获取是指调查人员到计算机犯罪或入侵的现场，寻找并扣留相关的计算
机硬件；

 信息发现是指从原始数据（包括文件，日志等）中寻找可以用来证明或者反驳的
证据，即电子证据。
 标准化组织

 国际标准化组织信息安全技术委员会(ISO/IECJT/SC27)在2012年10月发布了《电子
证据识别、收集、获取和保存指南》(ISO/IEC27037：2012)，该指南规定了电子
证据的定义、处理电子证据的要求、电子证据处理步骤及其关键的组件，包括证
据的连续性、证据链、现场安全、取证的角色与责任等。

 美国国家标准

 NIST在2004年制订了《SP800—72PDA取证指南》和《PDA取证工具：概述和分
析》，2005年制定了《手机取证工具：概述和分析》(2007年进行了更新)，2006
年制订了《SP800—86在安全事件响应中集成电子取证的指南》，2007年制订了
《SP800—101蜂窝电话取证指南》并正在2013年将其修订为《移动设备取证指
南》，2009年制定了《移动终端取证参考资料：方法和物化》，2014年制定了
《云计算取证的挑战》。

 英国标准学会

 在英国，英国标准学会从2003年就发布了BIP0008—2003《电子存储信息的法定
许可和证据权重的实施规范》、BIP0008—2—2005《电子传送信息的法定许可和
证据权重的实施规范》、BS10008—2008《电子信息的法定许可和证据权重规范》
(2014年计划更新)以及BIP0009—2008《电子信息证据权重和法定许可性与
BS10008共同使用的遵守手册》等一系列国家标准。
 全面性：

 搜索目标系统中的所有文件。最大程度地显示操作系统或应用程序使用的隐藏文
件、临时文件和交换文件的内容，并分析磁盘特殊区域中的相关数据；

 全面分析结果，给出必要的专家证明。例如系统的整体情况，发现的文件结构、
数据、和作者的信息，对信息的任何隐藏、删除、保护、加密企图，以及在调查
中发现的其它的相关信息。
 图片检查工具：Thumbs Plus是专门用来帮助个人查看和轻松地浏览你的计算机上的所
有照片，以及编辑的工具。

 反删除工具：Hetman Uneraser是一款可以将被删文件或文件夹恢复的软件。

 CD-ROM工具：使用CD-R Diagnostics可以看到在一般情况下看不到的数据。

 文本搜索工具：dtSearch是一个很好的用于文本搜索的工具，特别是具有搜索Outlook
的.pst文件的能力。

 磁盘擦除工具：这类工具主要用在使用取证分析机器之前，为了确保分析机器的驱动
器中不包含残余数据，显然，只是简单的格式化肯定不行。从软盘启动后运行NTI公司
的DiskScrub程序即可把硬盘上的每一扇区的数据都清除掉。

 驱动器映像程序：可以满足取证分析，即逐位拷贝以建立整个驱动器的映像的磁盘映
像软件包括SafeBackSnapBack、Ghost、DD等。
 芯片取证：当通信设备被恶意损坏，掩埋，水浸，造成无法使用时，可以使用芯片取
证，提取设备中的信息。

 云取证：当数据在云端转移时，保证数据的完整性，对于删除的数据，能够定位云服
务提供商，恢复云端数据。

 物联网取证：当联网设备被入侵时，能够获取相关资料，涉及的技术包括物联网黑盒
子技术，分布式IDS技术嗅探取证技术等等。

 边信道攻击取证：边信道攻击简称SAC（Side Channel Attack），针对加密电子设备在

运行过程中的时间消耗、功率消耗或电磁辐射之类的侧信道信息泄露而对加密设备进
行攻击的方法。
 对称加密：在对称加密算法中，使用的密钥只有一个，发收信双方都使用这个密钥对
数据进行加密和解密，这就要求解密方事先必须知道加密密钥。

 非对称加密：非对称加密算法需要两个密钥来进行加密和解密，这两个秘钥是公开密
钥（public key）和私有密钥（private key）。

 数字信封：数字信封中采用了对称密码体制和公钥密码体制。信息发送者首先利用随
机产生的对称密码加密信息，再利用接收方的公钥加密对称密码，被公钥加密后的对
称密码被称之为数字信封。在传递信息时，信息接收方若要解密信息，必须先用自己
的私钥解密数字信封，得到对称密码，才能利用对称密码解密所得到的信息。这样就
保证了数据传输的真实性和完整性。

 数字签名技术是将摘要信息用发送者的私钥加密，与原文一起传送给接收者。接收者
只有用发送者的公钥才能解密被加密的摘要信息，然后用HASH函数对收到的原文产生
一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在
传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整
性。

 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的
文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证
书还有一个重要的特征就是只在特定的时间段内有效。数字证书可用于发送安全电子
邮件、访问安全站点、网上证券交易、网上招标采购、网上办公、网上保险、网上税
务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。

 时间戳：表示数据在某个特定时间之前已经存在的、 完整的、 可验证的数据。

 电子数据司法鉴定是一种提取、保全、检验分析电子数据证据的专门措施。也是一种
审查和判断电子数据证据的专门措施。它主要包括电子数据证据内容一致性的认定、
对各类电子设备或存储介质所存储数据内容的认定、对各类电子设备或存储介质已删
除数据内容的认定、加密文件数据内容的认定、计算机程序功能或系统状况的认定、
电子数据证据的真伪及形成过程的认定等。

 电子数据鉴定的关联性标准

 关联性是证据的自然属性，是证据与案件事实之间的必然联系。电子证据如果在
一定程度上能够对案件事实产生实质性影响，法庭应当裁定其具有关联性。

 电子数据鉴定的客观性标准

 客观性也可称为真实性。保证电子证据从最初的获取收集，一直到作为诉讼证据
提交使用的全部过程中，其内容没有任何变化，则该电子证据就具有客观性或真
实性。

 电子数据鉴定的合法性标准

 合法性是指只有采取法定形式，具有法定来源，由法定主体以合法手段取得的证
据材料，才具有证据能力。电子证据的获取、存储、提交等环节均应合法，对国
家利益、社会公益和个人隐私等基本权利不构成严重侵犯。
 合法原则：这一原则要求电子数据司法鉴定在业务范围、鉴定程序和技术标准上的规
范化和制度化。这又包括两方面内容：

 行为合法原则：这是针对鉴定人的要求。电子数据司法鉴定人首先必须经过专门
培训；应该做到及时鉴定，防止电子数据随时间推移而改变。

 状态合法原则：这是针对电子数据状态的要求。电子数据应该有多个备份，应该
远离高磁场、高温、灰尘、积压、潮湿等，应该尽量保持与目标系统的最初状态
一致或改变最小。

 独立原则：电子数据司法鉴定人在不受外界干扰的情况下，独立表达鉴定意见，根据
所得实际结果作出科学判断，鉴定结果是独立意志的体现，鉴定人只服从于科学和法
律。

 监督原则：电子数据司法鉴定需要监督机制，包括两方面：

 侦查人员监督：电子数据的移交、保管、开封、拆卸以及分析等各个阶段都要由
侦查人员监督执行，并由鉴定人与监督人共同签名承担责任。

 社会监督：公开要求社会监督的介入，力求防止和克服腐败。电子数据鉴定是符
合正义的活动，社会监督，可以最大限度地体现公平正义
 其他分析技术还包括：

 根据已获得的文件或用词、语法和写作（编程）风格，推断出其可能的作者；

 发掘同一事件的不同证据间的联系等。
 攻击源包括：设备来源、软件来源、IP地址来源等。
 链路测试（也称为逐段追踪）通过测试路由器之间的网络链路来确定攻击业务源头。
大部分技术从最接近受害主机的路由器开始，测试它的输入（上行）链路以确定携带
业务的路由器。如果检测到了有电子欺骗的数据包（通过比较数据包的源IP地址和它的
路由表信息），那么它就会登录到上一级路由器，并继续监控数据包。如果仍然检测
到有电子欺骗的扩散攻击，就会登录到再上一级路由器上再次检测电子欺骗的数据包。
重复执行这一过程，直到到达实际的攻击源。

 数据包记录通过Internet的关键路由器上记录数据包，然后使用数据钻取技术提取有关
攻击业务源的信息。尽管这个解决方法似乎很显然，并且可以对攻击业务做出准确分
析（即使在攻击已经停止之后），但是它的最大缺点是保存记录所需要的大量处理和
存储能力，且保存和在ISP 之间共享这个信息的需求还存在法律及保密问题。

 数据包标记通过在被追踪的IP 数据包中插入追踪数据，从而在到目标主机的网络上的
各个路由器上标记数据包。数据包标记的最简单的实现是使用记录路由选项（在
RFC791 中指定的）在IP头的选项字段中存储路由器地址。但是，这个方法增加了每个
路由器处的数据包长度，并且可能导致额外的分段。而且，攻击者可能试图用假数据
来填充为路由保留的字段，从而逃避追踪。

 垃圾邮件追踪的浅层邮件行为解析可以实现联机次数分析、发送 IP 地址、发送时间、
发送频率、收件者数目、浅层电子邮件标头检查、发送行为侦测等，还可以使SMTP
MTA 主机应针对邮件发送来源进行通透解析，判定是否具匿名、伪造、滥发等非法行
为，以采取退件或延迟反制机制。
 参考答案：

1. D。

2. C。
 莫里斯蠕虫病毒事件标志着大众对计算机网络所产生的脆弱性的突然警醒。蠕虫发作
后全美国一片慌乱的情景，使人们前所未有地认识到，随着人们对计算机的依赖日益
加深，与此同时计算机网络遭受攻击的可能性也在增大。随着计算机之间联系越来越
紧密，随着网络对越来越多的人开放，出现莫里斯蠕虫一类的程序其实是不可避免的。
尽管如此，当这样的程序到来时，人们还是感到极大的震惊。CERT的建立标志着信息
安全由传统的静态保护手段开始转变为较为完善的动态防护机制。
 FIRST是一个由信任的计算机事件响应小组组成的国际联盟，它们合作处理计算机安全
事件并推动事件预防计划。主要工作如下：

 FIRST成员开发和分享技术信息，工具，方法，流程和最佳实践；

 FIRST鼓励并推动质量安全产品，政策和服务的开发；

 FIRST开发并颁布最佳计算机安全实践；

 FIRST促进来自世界各地组织的事件响应团队的创建和扩展；

 FIRST成员利用他们的综合知识，技能和经验促进更安全和更安全的全球电子环境。
 此外，中国还成立了一些专业性的应急组织，如国家计算机网络入侵防范中心、国家
863计划法计算机入侵和防病毒研究中心等。并且许多公司也都展开了网络安全救援相
关的收费服务。
 作为国家级应急中心，CNCERT的主要职责是：按照“积极预防、及时发现、快速响应、
力保恢复”的方针，开展互联网网络安全事件的预防、发现、预警和协调处置等工作，
维护国家公共互联网安全，保障基础信息网络和重要信息系统的安全运行，开展以互
联网金融为代表的“互联网+”融合产业的相关安全监测工作。
 CNCERT业务范围：
 事件发现：CNCERT依托公共互联网网络安全监测平台开展对基础信息网络、金
融证券等重要信息系统的自主监测。同时还通过与国内外合作伙伴进行数据和信
息共享，以及通过热线电话、传真、电子邮件、网站等接收国内外用户的网络安
全事件报告等多种渠道发现网络攻击威胁和网络安全事件；
 预警通报：CNCERT依托对丰富数据资源的综合分析和多渠道的信息获取实现网
络安全威胁的分析预警、网络安全事件的情况通报、宏观网络安全状况的态势分
析等，为用户单位提供互联网网络安全态势信息通报、网络安全技术和资源信息
共享等服务；
 应急处置：对于自主发现和接收到的危害较大的事件报告，CNCERT及时响应并
积极协调处置，重点处置的事件包括：影响互联网运行安全的事件、波及较大范
围互联网用户的事件、涉及重要政府部门和重要信息系统的事件、用户投诉造成
较大影响的事件，以及境外国家级应急组织投诉的各类网络安全事件等；
 测试评估：作为网络安全检测、评估的专业机构，按照“支撑监管，服务社会”
的原则，以科学的方法、规范的程序、公正的态度、独立的判断，按照相关标准
为政府部门、企事业单位提供安全评测服务。CNCERT还组织通信网络安全相关
标准制定，参与电信网和互联网安全防护系列标准的编制等。除此之外，还承担
全国互联网金融风险的技术监测和分析工作。
 《中华人民共和国网络安全法》后文将简称“网络安全法”。

 《网络安全法》本身并不完善，因此需要一系列的法律规范与之配套使用，包括：

 《电信和互联网用户个人信息保护规定》

 《关键信息基础设施安全保护条例（征求意见稿）》

 《国家网络安全事件应急预案》

 《网络关键设备和网络安全专用设备产品目录（第一批）》

 《互联网新闻信息服务管理规定》

 《互联网信息内容管理行政执法程序规定》

 除此之外，还有一些其他的法律法规正在筹划中，这些法律规范结合起来将成为一个
较为完善的网络安全法体系。
 各类网络安全事件具体内容如下：

 有害程序事件：计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合型程序攻击、
网页内嵌恶意代码等等。

 网络攻击事件：拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、
干扰事件等等。

 信息破坏事件：信息篡改、信息假冒、信息泄露、信息窃取、信息丢失事件等等。

 信息内容安全事件：通过网络传播法律法规禁止信息，组织非法串联、煽动集会
游行或炒作敏感问题并危害国家安全、社会稳定和公众利益的事件。

 设备设施故障：软硬件自身故障、外围保障设施故障、认为破坏事故等等。

 灾害性事件：由自然灾害等其他突发事件导致的网络安全事件。

 不能归为以上分类的网络安全事件属于其他事件类型。
 《国家网络安全事件应急预案》适用于网络安全事件的应对工作。其中，有关信息内
容安全事件的应对方法，各单位或公司需根据具体情况另行制定专项预案。
 应急响应预案种类可分为：
 综合预案：是组织开展应急响应工作的指导性文件；
 专题预案：具体类型的安全事件解决方案；
 特定系统预案：特定环境下、特定安全事件的处理方案；
 单项预案：针对特定场景的一次性解决方案。
 不同类型的应急预案，对于安全事件等级，预警等级以及应急响应等级定义的范围不
同，学员可根据具体情况参考《国家网络安全事件应急预案》进行学习和理解，规定
如下：
 特别重大网络安全事件：
 重要网络和信息系统遭受特别严重的系统损失，造成系统大面积瘫痪，丧
失业务处理能力；
 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对
国家安全和社会稳定构成特别严重威胁；
 其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造
成特别严重影响的网络安全事件。
 重大网络安全事件：
 重要网络和信息系统遭受严重的系统损失，造成系统长时间中断或局部瘫
痪，业务处理能力受到极大影响；
  国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对
国家安全和社会稳定构成严重威胁；

 其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严
重影响的网络安全事件。

 较大网络安全事件：

 其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严
重影响的网络安全事件；

 国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒，对
国家安全和社会稳定构成较严重威胁；

 其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成
较严重影响的网络安全事件。

 一般网络安全事件：

 除上述情形外，对国家安全、社会秩序、经济建设和公众利益构成一定威
胁、造成一定影响的网络安全事件。

 预警响应：

 红色预警启动Ⅰ级响应：

 应急办组织预警响应工作，联系专家和有关机构，组织对事态发展情况进
行跟踪研判，研究制定防范措施和应急工作方案，协调组织资源调度和部
门联动的各项准备工作；

 有关部门网络安全事件应急指挥机构实施24小时值班，相关人员保持通信
联络畅通，并加强网络安全事件检测和事态发展信息搜集工作。组织应急
支撑队伍开展应急处置或准备，风险评估和控制等工作；

 国家网络安全应急技术支撑队伍进入待命状态，针对预警信息研究制定应
对方案，检查应急车辆，设备，软件工具等处于良好状态。

 橙色预警启动Ⅱ级响应：

 有关部门网路安全事件应急指挥机构启动相应预案，组织展开预警响应工
作，做好风险评估，应急准备和风险控制工作；

 有关部门及时将事态发展情况报告应急办，应急办密切关注事态发展，有
关重大事项及时荣宝相关部门；

 国家网络安全应急技术支撑队伍保持联络畅通，检查应急检查应急车辆，
设备，软件工具等处于良好状态。

 黄色和蓝色预警启动Ⅲ级响应和启动Ⅳ级响应：

 有关地区和部门网络安全事件应急指挥机构启动相应应急预案，指导组织
开展预警响应。
 世界各国的应急响应机构所提供的应急响应服务基本相同，主要包括以下几个方面的
内容：

 提供安全咨询服务，应急响应服务；

 提供系统评估或风险评估服务；

 提供入侵检测服务；

 发布安全公告，漏洞信息，提供补丁下载；

 攻击源追踪与数据恢复；

 教育与培训；

 组织各种形式的学术交流活动。
 在研究信息安全及网络战防御理论的过程中，美国国防部提出了信息保障(Information
Assurance)的概念，并给出了包括防护(Protection) 、检测(Detection) 、响应(Response)和
恢复(Restore) 4个环节的动态模型，简称为PDRR模型，其中的响应重点在于针对安全事
件的应急处理。

 PDRR网络安全模型包括防御、检测、响应和恢复，这四个方面组成了一个信息安全周
期：

 PDRR网络安全模型的第一部分就是防护，根据系统已知的所有安全问题做出防御
的措施，如打补丁、访问控制、数据加密等等；

 PDRR的第二个战线就是检测，攻击者如果穿过了防御系统，检测系统就会检测出
来。这个安全战线的功能就是检测出入侵者的身份，包括攻击源、攻击状况、系
统损失等；

 PDRR的第三个战线就是响应，一旦检测出入侵，响应系统开始响应包括事件处理
和其他业务；

 PDRR模型的最后一个战线就是系统恢复。在入侵事件发生后，把系统恢复到原来
的状态。每次发生入侵事件，防御系统都要更新，保证相同类型的入侵事件不能
再发生。
 在远程应急响应中，需要与客户网络相关人员确认后，客户方提供主机或设备的临时
支持账号，由应急响应组远程登陆主机进行检测和服务，问题解决后出具详细的应急
响应报告。

 远程系统无法登陆，或无法通过远程访问的方式替客户解决问题，经客户确认后，转
到本地应急响应流程，同时此次远程响应无效，归于本地应急响应类型。
 应急响应处理流程并非固定不变，需要应急响应服务人员在实际中灵活变通，可适当
简化，但任何变通都必须纪录有关的原因。

 规范性引用文件：

 GB/T 20984-2007 《信息安全技术信息安全风险评估规范》

 GB/Z 20985-2007 《信息技术安全技术信息安全事件管理指南》

 GB/Z 20986-2007 《信息安全技术 信息安全事件分类分级指南》

 GB/T 20988-2007 《信息系统灾难恢复规范》

 GB/T XXX XXXX 《信息系统安全等级保护定级指南》

 GB/T XXX XXXX 《信息系统安全等级保护基本要求》

 检测阶段用于识别和发现各种安全的紧急事件。在紧急事件发生前，产生安全的预警
报告，在紧急情况发生时，产生安警报，并报告给应急响应中心。应急响应中心根据
事件的级别，采取响应的措施。主要包括以下几种处理方法：

 主动发现：入侵检测设备、全局预警系统；

 被动发现：网络使用者报告的异常情况；

 确定事件责任人人选，即指定一个责任人全权处理此事件并给予必要资源；

 估计事件的范围和影响的严重程度，来决定启动相应的应急响应的方案；

 影响了多少主机、涉及到多少网络、攻击者入侵到网络内部有多远、攻击者得到
了什么样的权限、风险是什么、使用了多少种攻击方法以及攻击者利用的漏洞传
播的范围有多大；

 通过汇总，确定是否发生了全网的大规模事件。
 根据不同的场景，抑制阶段采取的动作不同，举例如下：

 初步分析，重点确定适当的遏制方法，如阻断正在发起攻击的行为，缓解系统的
负载，通过路由器、防火墙封堵入侵的源地址，隔离被病毒感染的系统等；

 修改所有防火墙和路由器的过滤规则，拒绝来自看起来是发起攻击的主机的流量；

 封锁或删除被攻击的登录账号；

 提高系统或网络行为的监控级别；

 设置蜜罐并关闭被利用的服务；

 汇总数据，估算损失和隔离效果。
 车辆驾驶中的“两难决策”：有一个伦理难题，在一条铁路线上有两条轨道，一条轨
道上有一群孩子，另一条轨道上有1个孩子，一辆火车疾驰而来，火车需要转向，这样
情境下扳道工怎么办，是让火车驶向一群孩子，还是一个孩子？从功利主义角度看，
应该牺牲一个孩子，挽救一群孩子，但从价值角度，谁又有权力剥夺一个孩子的生命。
自动驾驶的人工智能算法编制决策也面临同样的伦理问题。

 诸如加密和反加密、区块链安全、虹膜识别、数字身份等新议题，因为尚处于技术
（产业）发展初期，安全风险未知，或由于牵涉利益关系过于庞杂，各国立法和监管
机构止步于讨论，暂无成文规则出台。
 参考答案：

1. D。

2. B。
 学习推荐
 华为培训与认证官方网站
 http://learning.huawei.com/cn/

 华为在线学习
 https://ilearningx.huawei.com/portal/#/portal/ebg/26

 华为职业认证
 http://support.huawei.com/learning/NavigationAction!createNavi?navId=_31&l
ang=zh

 查找培训入口
 http://support.huawei.com/learning/NavigationAction!createNavi?navId=_traini
ngsearch&lang=zh

更多信息
 华为培训APP

版权所有© 2018 华为技术有限公司