1、什么是防火墻？

防火墻（ Firewall ）是防止火災(zāi)發(fā)生時，火勢燒到其它區(qū)域，使用由防火材料砌的墻。

后來這個詞語引入到了網(wǎng)絡(luò)中，把從外向內(nèi)的網(wǎng)絡(luò)入侵行為看做是火災(zāi)，防止這種入侵的策略叫做防火墻。后來，防火墻不但用于防范外網(wǎng)，例如：對企業(yè)內(nèi)網(wǎng)的 DoS 攻擊或非法訪問等，也開始防范從內(nèi)部網(wǎng)絡(luò)向互聯(lián)網(wǎng)泄露信息、把內(nèi)部網(wǎng)絡(luò)作為攻擊跳板等行為。

硬件防火墻可以實現(xiàn) CIA 的機密性（ Confidentiality ）、完整性（ Integrity ）、可用性（ Availability ）這三種類型的對應(yīng)策略。小企業(yè)會在局域網(wǎng)和互聯(lián)網(wǎng)的邊界部署防火墻。

2、防火墻有哪些類型？

防火墻可分為軟件防火墻和硬件防火墻。軟件防火墻又可分為個人防火墻和網(wǎng)關(guān)防火墻。

個人防火墻

個人防火墻運行在 PC 上，用于監(jiān)控 PC 和外網(wǎng)的通信信息。在 Windows 操作系統(tǒng)中集成了 Windows 防火墻。

殺毒軟件產(chǎn)品廠家的個人防火墻一般包含在安全軟件套件里。

網(wǎng)關(guān)防火墻

在網(wǎng)絡(luò)中的網(wǎng)關(guān)上配置防火墻的功能，能對網(wǎng)絡(luò)中的流量進行策略控制，這就是網(wǎng)關(guān)防火墻。

網(wǎng)關(guān)防火墻分為兩種，一種是在 Windows 、Linux 等操作系統(tǒng)上安裝并運行防火墻軟件的軟件網(wǎng)關(guān)防火墻，另一種是使用專用設(shè)備的硬件網(wǎng)關(guān)防火墻。

個人防火墻主要監(jiān)控 PC 的通信流量，網(wǎng)關(guān)防火墻是監(jiān)控網(wǎng)絡(luò)中所有終端的通信流量，在網(wǎng)關(guān)處進行策略控制。

硬件防火墻

通過硬件設(shè)備實現(xiàn)的防火墻叫做硬件防火墻，外形跟路由器相似，接口類型通常有千兆網(wǎng)口、萬兆光口。

3、防火墻有哪些技術(shù)類型？

4、什么是代理服務(wù)器？

代理服務(wù)器是應(yīng)用網(wǎng)關(guān)防火墻的一種。假設(shè)客戶端和 HTTP 服務(wù)器通信時， 客戶端發(fā)送請求報文時，代理服務(wù)器會替代客戶端向 HTTP 服務(wù)器發(fā)送請求；HTTP 服務(wù)器回復響應(yīng)報文時，代理服務(wù)器會代替 HTTP 服務(wù)器向客戶端回復。對于客戶端來說，代理服務(wù)器就是 HTTP 服務(wù)器。客戶端和代理服務(wù)器、代理服務(wù)器和 HTTP 服務(wù)器分別建立兩個會話。

• 從客戶端收到的請求報文、從服務(wù)器收到響應(yīng)報文，代理服務(wù)器都會在應(yīng)用層進行檢查，如果有異常就放棄通信或發(fā)送出錯信息。

• 由于代理服務(wù)器是會話的起點，對互聯(lián)網(wǎng)的服務(wù)器來說，是看不到客戶端的 IP 地址。

報文過濾防火墻是以 IP 或 TCP/UDP 為對象，判斷是否允許通信。而應(yīng)用網(wǎng)關(guān)防火墻是以應(yīng)用程序為對象，也就是將 FTP 、HTTP 、Telnet 、DNS 等為對象進行判斷。

5、防火墻有哪些接口模式？

防火墻有四種接口模式，分別是 L3 模式、L2 模式、L1 模式和 TAP 模式。

L1 ~ L3 模式是將防火墻進行串連，TAP 模式是防火墻進行旁掛。

6、防火墻能防范哪些威脅？

防火墻能夠防范的威脅如下：

• 竊聽：通過竊聽網(wǎng)絡(luò)數(shù)據(jù)獲取銀行卡號、密碼等重要信息

• 篡改：將網(wǎng)站主頁、郵件等通信內(nèi)容惡意修改

• 破壞：通過電腦病毒或DoS攻擊等破壞系統(tǒng)的正常工作

• 冒充：冒充他人發(fā)送郵件，對接收方進行釣魚、詐騙等行為

• 信息泄露：電腦或服務(wù)器上的重要信息或文檔泄露

• 攻擊跳板：作為病毒部署或DoS攻擊的跳板

• 垃圾郵件：以營利為目的發(fā)送大量郵件

7、有哪些人會威脅安全？

• 黑客（ hacker ）：是指精通計算機技術(shù)的人，并非特指網(wǎng)絡(luò)攻擊者。

• 破解者（ cracker ）：對網(wǎng)絡(luò)進行非法訪問、竊聽信息、篡改等行為的人。

• 攻擊者（ attacker ）：使用 DoS 等攻擊系統(tǒng)，以造成系統(tǒng)宕機為目的的人。

• 妨礙者：發(fā)送大量垃圾郵件、在論壇粘貼大量廣告、發(fā)布大量無意義信息的人。

• 普通用戶：盡管不會主動攻擊，但在病毒、蠕蟲等感染電腦后，成為威脅網(wǎng)絡(luò)安全的對象。

• 僵尸（ bot ）：作為攻擊跳板的終端，被植入具有攻擊程序的病毒，遭受感染的終端叫做僵尸，由大量僵尸程序組成的網(wǎng)絡(luò)叫做僵尸網(wǎng)絡(luò)。

8、防火墻有哪些功能？

防火墻常見的功能有：會話管理、報文結(jié)構(gòu)解析、安全區(qū)域、安全策略、NAT 、VPN 、DoS 防御、報文攻擊防御、內(nèi)容掃描、監(jiān)控和報告、報文抓包。

9、什么是會話？

會話是兩個終端系統(tǒng)之間的邏輯連接，從開始到結(jié)束的通信過程。

在 TCP 中，客戶端和服務(wù)器通信，使用 3 次握手建立 1 個 TCP 連接，客戶端發(fā)送請求（ request ），服務(wù)器進行回應(yīng)（ response ），直至結(jié)束的過程就是進行了 1 個會話通信。

在 UDP 中，客戶端和服務(wù)器的源端口和目的端口一致，之后的一系列通信都叫做會話。

在 ICMP 中，Echo request 和對應(yīng)的 Echo reply 組成 1 個會話。

數(shù)據(jù)流是一組有序，有起點和終點的數(shù)據(jù)序列。一個會話有兩個數(shù)據(jù)流（ flow ）：一個是 “ 客戶端到服務(wù)器 ”（ client to server ），另一個是 “ 服務(wù)器到客戶端 ”（ server to client ）。

10、什么是 TCP 連接管理？

在數(shù)據(jù)通信前，客戶端發(fā)送一個 SYN 包作為建立連接的請求。如果服務(wù)器發(fā)來回應(yīng)，則認為可以開始數(shù)據(jù)通信。如果未收到服務(wù)器的回應(yīng)，就不會進行數(shù)據(jù)通信。在通信結(jié)束時，會使用 FIN 包進行斷開連接的處理。

SYN 包和 FIN 包是通過 TCP 頭部的控制字段來管理 TCP 連接。一個連接的建立與斷開，正常過程至少需要來回發(fā)送 7 個包才能完成。建立一個 TCP 連接需要發(fā)送 3 個包，這個過程叫作三次握手。斷開一個 TCP 連接需要發(fā)送 4 個包，這個過程也稱作四次揮手。創(chuàng)建一個 TCP 連接，會產(chǎn)生一個 32 位隨機序列號，因為每一個新的連接使用一個新的隨機序列號。

• SYN 檢查

TCP 會話開始時，客戶端會發(fā)送一個 SYN 消息。如果沒有會話信息，或尚未建立會話，即非 SYN 消息的 TCP 數(shù)據(jù)段到達防火墻，防火墻會當做非法消息而丟棄。

• ACK 檢查

通過對 SYN-ACK 的 ACK 消息檢查，確認進行中的 3 次握手是否是非法嘗試，防范 SYN Flood 攻擊。

• 重復數(shù)據(jù)段檢查

防火墻收到重復數(shù)據(jù)段，也就是序列號相同的 TCP 數(shù)據(jù)段，可以選擇接收或者丟棄。

• 窗口檢查

防火墻可以檢測 TCP 頭部的序列號和滑動窗口大小，攔截超過滑動窗口容量數(shù)據(jù)的序列號。

• 數(shù)據(jù)段重組

防火墻可以驗證 TCP 數(shù)據(jù)段序列號是否完整。

11、防火墻如何建立會話？

a.防火墻收到報文后，首先檢查會話表，確認是否有相同的會話。如果有相同會話，那么會禁止會話建立，確保會話都是唯一的。

b.如果是不同會話，那么檢查報文，通常是查看路由表或 MAC 地址表來確定轉(zhuǎn)發(fā)路徑。如果可以轉(zhuǎn)發(fā)，就確定對應(yīng)的轉(zhuǎn)發(fā)出接口和目的網(wǎng)段。如果不能轉(zhuǎn)發(fā)，就丟棄這個數(shù)據(jù)。

c.報文檢查目的地址是否需要進行 NAT 。如果需要，就先完成 NAT ，然后轉(zhuǎn)發(fā)到相應(yīng)出接口和目的網(wǎng)段。

d.對報文和目的信息進行安全策略檢查，源信息是源接口、源區(qū)域和源地址，目的信息是目的接口、目的區(qū)域和目的地址。如果有匹配的安全策略，就根據(jù)策略進行處理，允許通信就進行轉(zhuǎn)發(fā)，拒絕通信就進行丟棄。如果沒有匹配的安全策略，就根據(jù)默認拒絕的策略丟棄數(shù)據(jù)。

e.當報文被允許通信時，防火墻的會話表中就會生成相應(yīng)的會話信息。

12、什么是會話生存時間？

自動生成的會話表信息，是有一定的生存時間。會話建立后，一段時間內(nèi)一直沒有進行通信，防火墻會刪除生存時間到期的會話表項。如果長期保留會話表項，這些會話信息可能會被惡意攻擊。同時，會話表是會占用防火墻資源，防火墻的會話表項的數(shù)量也是有限的，長期保留閑置的會話，會影響新會話的生成。

會話時間可以根據(jù)協(xié)議的不同，分別進行設(shè)置。

TCP 的話，會話的超時時間通常是 30 分鐘到 1 小時，UDP 是 30 秒。比如，Telnet 連接在防火墻上建立會話后，如果在 1 個小時內(nèi)沒有任何數(shù)據(jù)通信，防火墻會自動刪除這個會話表項?？蛻舳藷o法再次使用這個 Telnet 會話了。

13、會話如何正常終止？

客戶端完成數(shù)據(jù)傳輸后，發(fā)送 FIN 消息，即使用 FIN 標志位的 TCP 數(shù)據(jù)段。

服務(wù)器收到 FIN 消息后，在回復消息中，使用 FIN 和 ACK 標志位，并將 ACK 編號設(shè)置為“接收的 Seq 編號 + 1 ” 。

客戶端相同處理方式，在回復消息中，使用 ACK 標志位，并將 ACK 編號設(shè)置為“接收的 Seq 編號 + 1 ” 。

如果客戶端或服務(wù)器在連接過程發(fā)生故障，只有一方是偵聽狀態(tài)，這叫做半偵聽或半關(guān)閉。如果通信恢復，接收到故障前的數(shù)據(jù)段，那么會回復 RST 消息，強制終止 TCP 連接。

當防火墻收到 FIN 或 RST 消息時，會啟動一個 30 秒的定時器。即使 FIN → FIN-ACK → ACK 的終止過程沒完成，防火墻也會強制刪除會話表項。

14、什么是 UDP 數(shù)據(jù)流？

UDP 不需要像 TCP 一樣 3 次握手，客戶端和服務(wù)器直接使用應(yīng)用程序的 UDP 數(shù)據(jù)進行交互。

UDP 數(shù)據(jù)流是指源 IP 地址、源端口號、目的 IP 地址和目的端口號這 4 個參數(shù)都相同的一系列 UDP 數(shù)據(jù)。

DNS 和 SNMP 這類應(yīng)用程序，只需要 1 個 UDP 數(shù)據(jù)，就能構(gòu)成 1 個數(shù)據(jù)流。

音頻和視頻使用的 RTP ，就需要多個 UDP 數(shù)據(jù)，來構(gòu)成 1 個數(shù)據(jù)流。

15、沒有端口號的協(xié)議如何生成會話？

像 ICMP 這類沒有端口號的協(xié)議，是直接根據(jù) IP 頭部的協(xié)議號來生成會話。

防火墻通過識別 ICMP 不同的請求消息和對應(yīng)的響應(yīng)消息，來判斷這些消息序列是否屬于同一個會話。

16、兩臺防火墻，如何管理會話？

通常兩臺防火墻會使用主備方式的冗余結(jié)構(gòu)，對主防火墻和備防火墻的會話信息進行同步。主防火墻負責建立用戶通信的會話，并把會話信息記錄到會話表中，同時將信息轉(zhuǎn)發(fā)到備防火墻。

17、會話管理有什么防御功能？

防火墻可以通過限制會話數(shù)量，能夠防范 DoS 攻擊，還能控制防火墻的負載，提高防火墻的性能。

防火墻可以以 TCP SYN 、UDP 、ICMP 等協(xié)議為單位，通過指定源與目的的組合方式，來限制這類會話的數(shù)目。

18、如何防范非法報文？

為了防止非法報文的流入和流出，防火墻會對報文的頭部和數(shù)據(jù)進行解析。常見的有：IP 頭部解析、TCP 頭部解析、UDP 頭部解析。

IP 頭部解析

數(shù)據(jù)幀和 IPv4 頭部的解析內(nèi)容如下：

以太網(wǎng)類型與 IP 版本：以太網(wǎng)數(shù)據(jù)幀頭部的類型字段為 0x0800 時表示 IPv4 ，同時 IPv4 頭部的版本也是 4 。類型字段為 0x86DD 時表示 IPv6 ，IP 頭部的版本也是 6 。

IP 頭部：確認數(shù)據(jù)是否完整，并檢查報文長度與實際長度是否一致。

IP 協(xié)議號、TTL ：檢查字段值，如果值為 0 就丟棄報文。

源地址、目的地址：確認是否存在 LAND attack 。

數(shù)據(jù)總長度：確認是否存在 ping of death 攻擊。

標志位、分片偏移：丟棄無法進行分片的報文。

可選項：丟棄無用可選項的報文。

TCP 頭部解析

TCP 頭部的解析內(nèi)容如下：

TCP 頭部：確認各個字段是否完整、是否有被中途截斷。

數(shù)據(jù)偏移：確認數(shù)據(jù)偏移字段的值是否是 5 以下，TCP 頭部長度最小是 5 字符 = 20 字節(jié)。

校驗和：確認校驗和是否錯誤。

端口號：確認源端口號和目的端口號是否為 0 。

控制位：檢查 SYN 、ACK 等字段是否存在組合不正確的情況。

UDP 頭部解析

UDP 頭部的解析內(nèi)容如下：

UDP 頭部：確認各個字段是否完整、是否有被中途截斷。

校驗和：確認校驗和是否錯誤。

19、什么是安全區(qū)域？

防火墻有安全區(qū)域（ Security Zone ，簡稱區(qū)域）的概念。防火墻的物理接口和邏輯接口會分配到不同的區(qū)域中，也就是將防火墻的網(wǎng)段分別劃分到不同的區(qū)域中。一個網(wǎng)絡(luò)接口只能屬于一個區(qū)域。

在同一個區(qū)域內(nèi)，可以自由進行通信，但是跨區(qū)域通信，必須符合安全策略才行。當然，防火墻也可以設(shè)置安全策略，根據(jù)源或目的地址等條件，判斷在同一區(qū)域內(nèi)能否允許通信。

信任區(qū)域（ Trust Zone ），也叫做內(nèi)部區(qū)域，所屬接口是 G1/1 、tunnel1 、Loopback1 ，是指公司內(nèi)部網(wǎng)絡(luò)區(qū)域，表示可以信賴的區(qū)域。通常區(qū)域內(nèi)是可以自由通信。

不信任區(qū)域（ Untrust Zone ），也叫做外部區(qū)域，所屬接口是 G1/2 ，是指公司外部網(wǎng)絡(luò)區(qū)域，比如互聯(lián)網(wǎng)。與信任區(qū)域相對，是不可信任的區(qū)域，通常只會攔截通信，不允許所有通信。也可以設(shè)置安全策略，允許從信任區(qū)域到不信任區(qū)域的通信。

DMZ 區(qū)域（ DeMilitarized Zone ），所屬接口是 G1/4 ，是對外公開的服務(wù)器使用的區(qū)域，與信任區(qū)域是分開的。

為了防止攻擊，從外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)的通信會被防火墻攔截，但是內(nèi)部網(wǎng)絡(luò)中有對外公開的服務(wù)器，比如 Web 服務(wù)器，對于 Web 請求就不能一刀切的攔截。但如果把服務(wù)器放在內(nèi)部網(wǎng)絡(luò)中，一旦從外部網(wǎng)絡(luò)惡意入侵，就會導致內(nèi)網(wǎng)的重要數(shù)據(jù)泄露。因此，我們把需要對外公開的服務(wù)器放在 DMZ 中，這樣即使服務(wù)器遭到入侵，DMZ 區(qū)域也無法直接訪問內(nèi)部網(wǎng)絡(luò)。

自定義區(qū)域（ Custom Zone），這里說的是上圖 Sales Zone ，所屬接口是 G1/3 ，只有銷售部門員工才能訪問的區(qū)域，是人為劃分和定義的自定義區(qū)域。當然，也能根據(jù)具體內(nèi)容、安全策略描述和管理目的自定義其它區(qū)域。

20、什么是安全策略？

防火墻的主要功能是訪問控制，也就是判斷特定源和特定目的之間是否允許進行特定的通信。訪問控制是通過規(guī)則來實現(xiàn)，每一條規(guī)則都指定了源、目的和通信內(nèi)容等信息。這些訪問控制規(guī)則的集合，在路由器中，叫做訪問控制列表，而在防火墻中，叫做安全策略或安全規(guī)則。

21、路由器的訪問控制列表是什么樣的？

通常一個規(guī)則是由多條訪問控制列表組成，一條訪問控制列表也叫做一個表項。一個表項由對象（ object ）、行為（ action ）、選型（ option ）這 3 個元素組成。

舉個栗子：思科標準訪問控制列表，表項只允許源 IP 地址作為對象，而行為是在允許（ permit ）和拒絕（ deny ）之間二選一。當滿足條件時，也就是觸發(fā)對象時，選項可以指定 “ 記錄日志 ” 或 “ 表項有效時間 ” 等操作。如果使用了有效時間選項，就可以設(shè)置一個只有公司上班時間為對象的表項。

擴展訪問控制列表，對象就不僅僅是 IP 地址，還可以是 IP 協(xié)議號、源 IP 地址、目的 IP 地址、ToS 數(shù)據(jù)域、ICMP 類型、ICMP 消息、源 TCP/UDP 端口號、目的 TCP/UDP 端口號、TCP 會話是否已經(jīng)建立等。

舉個栗子：允許 IP地址是 10.1.1.2 的客戶端向 IP 地址是 172.16.1.1 的服務(wù)器進行 Telnet 連接，Telnet 的 TCP 端口是 23 ，訪問控制列表如下：

access-list 101 permit tcp host 10.1.1.2 host 172.16.1.1 eq telnet

22、防火墻的安全策略是什么樣的？

對比路由器的訪問控制列表，防火墻的安全策略最大的不同點是對象，防火墻以區(qū)域作為對象，還可以以應(yīng)用程序名稱和用戶名稱等信息作為對象。

舉個栗子：在上圖的安全策略中，192.168.2.1 從信任區(qū)域向不信任區(qū)域的 80 端口通信時，防火墻首先執(zhí)行第 1 條安全策略，發(fā)現(xiàn)源地址不匹配，不執(zhí)行 Allow 。接著執(zhí)行第 2 條安全策略，發(fā)現(xiàn)地址和端口匹配，執(zhí)行 Deny ，也就是拒絕通信。防火墻的安全策略從上往下依次執(zhí)行的行為，也叫做安全策略查找（ policy lookup ）。

Any 表示任何值都與策略匹配。如果是安全策略中，出現(xiàn)未定義的通信，比如從信任區(qū)到 DMZ 區(qū)域的通信，防火墻默認執(zhí)行拒絕，這個策略叫做 “ 默認拒絕 ”（ implicit deny ）。

如果需要在防火墻沒有匹配的情況下，執(zhí)行 Allow ，可以在安全策略的最后一行設(shè)置對象為 Any ，行為為 Allow 的策略。

當然，防火墻的安全策略是會有上限，上限由產(chǎn)品規(guī)格決定。而且當表項越多時，設(shè)備性能也會隨之下降。

23、什么是內(nèi)容安全策略？

防火墻不僅能夠基于區(qū)域、IP 地址、端口號、應(yīng)用程序等設(shè)置安全策略，還可以使用內(nèi)容安全策略進行通信控制。內(nèi)容安全策略包括反病毒、IPS（入侵防御系統(tǒng)）、URL 過濾、DLP（數(shù)據(jù)泄露防護）等基于內(nèi)容的安全機制，能夠攔截非法通信和避免不必要的通信流量。還可以對這些通信不進行攔截，而是記錄到告警日志中后放行。

安全設(shè)備的默認設(shè)置是攔截嚴重程度高的攻擊，嚴重程度低的攻擊只記錄到告警日志中。當然，嚴重程度的高低可以自定義，也可以修改設(shè)置為攔截嚴重程度低的攻擊。

反病毒和 IPS 可能會出現(xiàn)誤判，誤判分為假陽性錯誤和假陰性錯誤兩種。

假陽性錯誤是沒有攻擊行為或病毒入侵，但是被判定為攻擊行為或病毒入侵，并記錄到日志中，或把通信攔截。這類錯誤，用戶容易察覺。

假陰性錯誤是存在攻擊行為，卻判定沒有攻擊行為，而允許通信，也沒有記錄到日志中，無法察覺到嚴重后果。只有 PC 上安裝反病毒軟件或防火墻軟件，才能找到?jīng)]有被識別的攻擊行為。這種錯誤一般是由于數(shù)字簽名本身不存在，或誤認為數(shù)字簽名存在而導致的檢測失敗。

24、什么是 NAT ？

私有 IP 地址只能在內(nèi)部網(wǎng)絡(luò)通信，如果要訪問外部網(wǎng)絡(luò)（互聯(lián)網(wǎng)），可以通過路由器或防火墻把私有 IP 地址轉(zhuǎn)換為公網(wǎng) IP 地址，這個過程叫做 NAT（ Network Address Translator ）。

NAT 以前是路由器的功能，后來位于網(wǎng)絡(luò)邊界的防火墻也常常使用這個功能。路由器和防火墻等運行 NAT 功能后，也叫做網(wǎng)關(guān)（ gateway ）。

靜態(tài) NAT

靜態(tài) NAT（ Static NAT ）是指 NAT 轉(zhuǎn)換前的地址和 NAT 轉(zhuǎn)換后的地址是一對一的對應(yīng)關(guān)系，通常是一個私網(wǎng)地址對應(yīng)一個公網(wǎng)地址，手動將對應(yīng)信息配置到網(wǎng)關(guān)中。

動態(tài) NAT

動態(tài) NAT（ Dynamic NAT ）是在網(wǎng)關(guān)配置一個 IP 地址池（ IP address pool ），地址池里面包含多個 IP 地址。在 NAT 建立會話時，在地址池內(nèi)的 IP 地址按順序分配一個轉(zhuǎn)換后的 IP 地址。由于地址范圍能夠手動進行設(shè)置和更改，因此這種方式應(yīng)用的比較多。

雖然和靜態(tài) NAT 有點類似，私有地址和公網(wǎng)地址是一對一的映射關(guān)系，但不是指定的 NAT 轉(zhuǎn)換后地址，而是動態(tài)分配的、在 IP 地址池中排序靠前的有效地址。

源 NAT

源 NAT（ Source NAT ）是對發(fā)送方的源 IP 地址進行 NAT 轉(zhuǎn)換。在公司內(nèi)部網(wǎng)絡(luò)的客戶端，要訪問互聯(lián)網(wǎng)的服務(wù)器，客戶端的私有地址作為發(fā)送源，把數(shù)據(jù)發(fā)送到網(wǎng)關(guān)時，必須將私有 IP 地址轉(zhuǎn)換成公網(wǎng) IP 地址才行。

要和互聯(lián)網(wǎng)上的服務(wù)器進行通信，必須使用公網(wǎng) IP 地址，但是 IPv4 地址有限，無法為每臺客戶端都分配一個公網(wǎng)地址。大部分情況下，源 NAT 能夠通過動態(tài) NAT 方式節(jié)約公網(wǎng)地址資源。在網(wǎng)關(guān)上設(shè)置地址池，或在網(wǎng)關(guān)的接口使用 NAPT ，可以實現(xiàn)私有網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)的功能。

外部網(wǎng)絡(luò)只能看到公網(wǎng)地址信息，源 NAT 能夠隱藏客戶端實際使用的 IP 地址，從而降低受到外部網(wǎng)絡(luò)攻擊的風險。

目的 NAT

目的 NAT（ Destination NAT ）是接收到的目的 IP 地址進行 NAT 轉(zhuǎn)換。

互聯(lián)網(wǎng)的客戶端，想要通過網(wǎng)關(guān)訪問內(nèi)部網(wǎng)絡(luò)的服務(wù)器時，由于公司內(nèi)部服務(wù)器使用內(nèi)網(wǎng)地址，無法直接從互聯(lián)網(wǎng)訪問到，需要進行目的 NAT 。網(wǎng)關(guān)作為內(nèi)部服務(wù)器的代理，把服務(wù)器的內(nèi)網(wǎng)地址映射到公網(wǎng)地址，收到外網(wǎng)客戶端訪問公網(wǎng)地址時，網(wǎng)關(guān)將報文的目的地址轉(zhuǎn)換為內(nèi)部服務(wù)器的私有地址，完成路由和訪問。公司內(nèi)的服務(wù)器通常放置在 DMZ 區(qū)域中，能夠?qū)ν獠烤W(wǎng)絡(luò)屏蔽內(nèi)部服務(wù)器的地址，從而避免內(nèi)部網(wǎng)絡(luò)受到攻擊。

NAPT

當有大量的內(nèi)網(wǎng)客戶端要跟外網(wǎng)通信，而公網(wǎng)地址只有一個或者少量時，網(wǎng)關(guān)無法完成私有地址和公網(wǎng)地址的一對一的分配。

這時，網(wǎng)關(guān)需要結(jié)合 TCP 或 UDP 端口號，完成多個私有地址映射成一個公網(wǎng)地址的轉(zhuǎn)換，這種轉(zhuǎn)換方式叫做 NAPT（ Network Address Port Translation ，網(wǎng)絡(luò)地址端口轉(zhuǎn)換）。

25、什么是 VPN ？

VPN ，全稱是 Virtual Private Network ，也就是虛擬私有網(wǎng)絡(luò)。VPN 是使用電信運營商提供的公共網(wǎng)絡(luò)，搭建內(nèi)部網(wǎng)絡(luò)的技術(shù)。

內(nèi)部網(wǎng)絡(luò)的財務(wù)、人事等數(shù)據(jù)，對外而言是屬于機密信息，必須在內(nèi)部封閉的傳輸數(shù)據(jù)。如果只有一個辦公場所，可以通過 LAN 搭建內(nèi)網(wǎng)。但如果北京和上海都有分支機構(gòu)時，就需要在不同的辦公場所之間搭建內(nèi)網(wǎng)。電信運營商有專線服務(wù)，可以完成不同地域的內(nèi)網(wǎng)搭建。專線是單獨使用的線路，不用擔心數(shù)據(jù)被竊聽，通信質(zhì)量也能得到保證，但是專線費用昂貴。

還有 ADSL 這種互聯(lián)網(wǎng)接入服務(wù)，雖然屬于共享類型網(wǎng)絡(luò)，但是價格低廉，搭建內(nèi)網(wǎng)有成本優(yōu)勢。路由器、防火墻、VPN 設(shè)備都支持 IPsec-VPN 功能，在各個分支機構(gòu)內(nèi)，使用這些設(shè)備建立 IPsec 隧道，完成 VPN 的搭建。

26、VPN 有哪幾種網(wǎng)絡(luò)拓撲？

常見的 VPN 網(wǎng)絡(luò)拓撲有點對點 VPN 、中心型 VPN 、遠程接入 VPN 。

• 點對點 VPN

點對點 VPN（ site-to-site VPN ）是通過 IPsec 隧道連接兩個網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。網(wǎng)絡(luò)的網(wǎng)關(guān)，通常是路由器或防火墻等網(wǎng)絡(luò)設(shè)備，在兩個網(wǎng)絡(luò)間，使用點對點的拓撲結(jié)構(gòu)，建立 IPsec 隧道。

這里的網(wǎng)絡(luò)，是指不在同一個局域網(wǎng)的網(wǎng)絡(luò)，比如：成都機構(gòu)或廣州總部的任意一個站點。因為是站點（ site ）之間的連接，所以叫做點對點 VPN 。

• 中心型 VPN

中心型 VPN（ hub and spoke VPN ）是星型拓撲結(jié)構(gòu)，也就是一個中心站點的設(shè)備，連接多個遠程站點的設(shè)備，形成的網(wǎng)絡(luò)結(jié)構(gòu)。中心站點（ center site ）位于總部的網(wǎng)絡(luò)，也就是數(shù)據(jù)中心，成為整個結(jié)構(gòu)的核心站點。一般是電信供應(yīng)商提供的 VPN 業(yè)務(wù)，以電信供應(yīng)商的基礎(chǔ)設(shè)施為中心站點，通過 VPN 連接其它站點。

• 遠程接入 VPN

在家里，或出差在外時，通過互聯(lián)網(wǎng)使用 PC 上的軟件，與公司的 VPN 設(shè)備建立 IPsec 隧道，能夠訪問公司內(nèi)部網(wǎng)絡(luò)的拓撲結(jié)構(gòu)，叫做遠程接入 VPN 。

遠程接入的 IPsec-VPN 需要在 PC 上安裝 VPN 客戶端軟件，而 SSL-VPN 是通過 Web 瀏覽器，使用 SSL 連接到公司的 VPN ，通過 SSL（ HTTPS ）和公司的內(nèi)部網(wǎng)絡(luò)進行連接。

27、IPsec VPN 有哪些專用名詞？

SA（ Security Association ）：IPsec 通信時建立的邏輯連接。

ESP（ Encapsulating Security ）：原始報文使用 DES/3DES/AES 中的任意一種算法進行加密，通過 HMAC 確定數(shù)據(jù)是否被篡改，使用的 IP 協(xié)議號是 50 。

AH（ Authentication Header ）：根據(jù) HMAC 信息確定報文是否被篡改的認證協(xié)議。不對報文加班，使用的 IP 協(xié)議號是 51 。

IKE（ Internet Key Exchange ）：IPsec 協(xié)議用來交換 key 信息的協(xié)議，也叫做 ISAKMP/Oakley 。在 ISAKMP 協(xié)議上實現(xiàn) Oakley 的 key 交換過程。使用的是 UDP 端口號 500 。分為階段一和階段二進行處理。

HMAC（ Keyed-Hashing for Message Authentication code ）：用來驗證信息是否被篡改的一種 MAC ，也就是消息認證碼，通過散列函數(shù)與密鑰信息的組合計算得出，其中散列函數(shù)使用的算法一般是 MD5 或 SHA-1 。

SPI（ Security Pointer Index ）：表示 SA 的編號，32 比特。在對報文加密時，用這個值表示使用了什么加密算法和密鑰信息。

NAT traversal ：通過 ESP 加密的報文，由于沒有 TCP/UDP 頭部，因此無法使用 NAPT ?？梢允褂?NAT traversal 技術(shù)，給 ESP 加密后的報文添加 UDP 頭部，從而在 NAPT 環(huán)境下進行 IPsec 通信。一般使用 500 或 4500 的端口號。

IPsec-VPN 連接：在建立 IPsec 隧道時，發(fā)起協(xié)商的叫做發(fā)起方（ initiator ），另一方叫做應(yīng)答方（ responder ）。發(fā)送方是最先發(fā)出通過 IPsec 隧道報文的設(shè)備。

更新 key（ rekey ） ：IPsec 隧道建立后，每過一段時間，或經(jīng)過一定量的數(shù)據(jù)，就會進行 rekey 操作。VPN 設(shè)備有修改 rekey 時間的功能。

28、點對點 VPN 的處理過程是什么樣的？

舉個栗子：網(wǎng)絡(luò) A 與網(wǎng)絡(luò) B 通過 IPsec 隧道連接時，網(wǎng)絡(luò) A 的 PC1 想和網(wǎng)絡(luò) B 的 PC2 進行通信。

PC1 發(fā)送請求，到達網(wǎng)絡(luò) A 的網(wǎng)關(guān)，也就是 VPN 設(shè)備 A ，這時的報文還未加密，是明文狀態(tài)。VPN 設(shè)備 A 對報文進行加密，并添加 ESP 頭部和在隧道中使用的 IP 頭部（叫做外層 IP 地址），再通過 IPsec 隧道發(fā)送出去。

網(wǎng)絡(luò) B 的 VPN 設(shè)備 B 通過 IPsec 隧道收到加密的報文，會檢查 ESP 頭部和 AH 頭部。如果 ESP 序列號不正確，VPN 設(shè)備 B 就會認為是重放攻擊，并輸出錯誤信息，SPI 值不正確，會輸出 “ Bad SPI ” 的錯誤通知信息。

如果加密報文正常，就進行解密操作，去除外部 IP 、ESP 、AH 等頭部，并對原來 IP 頭部的目的地址進行路由，從而到達 PC2 。

PC2 向 PC1 回復消息時，由 VPN 設(shè)備 B 進行加密處理，由 VPN 設(shè)備 A 進行解密處理。

中心型 VPN 的遠程站點客戶端和中央站點服務(wù)器的 VPN 通信也是這種處理流程。

29、遠程站點之間的通信過程是什么樣的？

舉個栗子：遠程站點 A 、遠程站點 B 和中央站點 VPN 設(shè)備 C 。A 的 PC1 和 B 的 PC2 進行通信。

報文通過 VPN 設(shè)備 A 和 VPN 設(shè)備 C 的 IPsec 隧道，再經(jīng)過 VPN 設(shè)備 C 和 VPN 設(shè)備 B 的 IPsec 隧道，最終到達 PC2 。

如果中央站點是路由器或 VPN 設(shè)備，一般只會解密、加密和路由選擇處理。如果中央站點是防火墻，就會在報文解密后進行檢查，只對安全的報文進行加密，然后再向遠程站點發(fā)送。

30、什么是基于策略的 VPN ？

路由器和 VPN 設(shè)備通常使用基于策略的 VPN 。基于策略的 VPN 是指根據(jù)策略（訪問控制列表）控制經(jīng)過 IPsec 隧道的流量，這樣即使路徑發(fā)生變化，也不會對 IPsec 通信造成影響。

基于策略的 VPN 需要設(shè)置 IPsec 策略和 proxyID 信息。proxyID 指定 IPsec 隧道傳輸報文的本地網(wǎng)絡(luò)和遠程網(wǎng)絡(luò)。

舉個栗子：站點 A 和站點 B 使用點對點 VPN 組成網(wǎng)絡(luò)，其中站點 A 網(wǎng)絡(luò)是 192.168.1.0/24 和 192.168.2.0/24 ，站點 B 網(wǎng)絡(luò)是 192.168.3.0/24 和 192.168.4.0/24 。如果只有 192.168.1.0/24 和 192.168.3.0/24 進行加密通信，那么在站點 A 的 VPN 設(shè)備設(shè)置本地 proxyID 為 192.168.1.0/24 ，遠程 proxyID 為 192.168.3.0/24 。在站點 B 的 VPN 設(shè)備設(shè)置本地 proxyID 為 192.168.3.0/24 ，遠程 proxyID 為 192.168.1.0/24 。

31、什么是基于路由的 VPN ？

基于路由的 VPN 通常是防火墻產(chǎn)品使用的 VPN 類型。防火墻會對 IPsec 報文進行精確的控制。

在基于路由的 VPN 中，IPsec 隧道是使用的虛擬接口，又叫做隧道接口（ tunnel interface ），流量通過這個接口進入 IPsec 隧道。如果有流量需要在 IPsec 隧道內(nèi)傳輸，可以設(shè)置路由選擇，轉(zhuǎn)發(fā)到隧道接口就行。

基于策略的 VPN 使用策略來控制 IPsec 通信的流量，而基于路由的 VPN 通過隧道接口的路由信息來控制 IPsec 通信的流量。所以在進行 IPsec 通信時，可以和處理普通報文一樣，通過策略定義報文過濾和防火墻處理等。

32、什么是階段 1 ？

在 IPsec 通信中，為了建立加密隧道的 SA ，需要在設(shè)備之間使用 IKE 協(xié)議完成密鑰的交換。

為了提高安全性，IKE 協(xié)議分為階段 1 和階段 2 兩個部分。IKE 階段 1 是完成鑒別和保護 SA 通信的雙方，同時生成階段 2 需要的公有密鑰，建立 IKE SA 等工作。

33、什么是階段 2 ？

IKE 階段 2 負責生成 IPsec 通信使用的密鑰，并建立 IPsec SA 。

34、什么是 SSL-VPN ？

SSL-VPN 是通過瀏覽器使用 HTTPS（ HTTP over SSL ）進行 Web 訪問的遠程接入 VPN 。

如果要使用 IPsec-VPN ，需要在 PC 上安裝專用的客戶端軟件。這個客戶端軟件不一定支持 Mac OS 、手機等操作系統(tǒng)。同時 IPsec-VPN 連接過程，可能會因為防火墻過濾了 IPsec-VPN 的協(xié)議號或 NAT traversal 的端口號，而導致連接失敗。

SSL-VPN 就方便很多，只要設(shè)備帶有瀏覽器，就能夠通過反向代理的方式完成 VPN 的連接。而且防火墻幾乎不會攔截，因為使用的是 HTTPS 的 443 端口，讓 VPN 遠程連接擺脫了操作系統(tǒng)和連接方式的限制。

IPsec-VPN 是在網(wǎng)絡(luò)層實現(xiàn)的，能夠完成傳輸層 TCP 和 UDP 的加密和隧道傳輸處理。而 SSL-VPN 是在會話層實現(xiàn)的，基于 TCP 的 443 端口運行。只有特定的幾種 TCP 能夠使用反向代理和端口轉(zhuǎn)發(fā)方式，而 ICMP 和 UDP 等傳輸層通信，只能選擇隧道方式。

35、什么是反向代理？

反向代理，又叫做無客戶端 SSL-VPN 。SSL-VPN 的終端在 443 端口號上，通過 HTTPS 完成解密工作后，轉(zhuǎn)換為 80 端口號的 HTTP 通信，與內(nèi)部網(wǎng)絡(luò)上的 Web 服務(wù)器進行交互。這種方式只有使用 80 端口號、通過瀏覽器訪問 Web 的應(yīng)用程序才能使用。

在內(nèi)部客戶端訪問互聯(lián)網(wǎng)時，進行中繼的代理服務(wù)器，叫做轉(zhuǎn)發(fā)代理服務(wù)器。如果訪問方向相反，也就是在互聯(lián)網(wǎng)上的客戶端訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器時，進行中繼的代理服務(wù)器叫做反向代理服務(wù)器（ reverse proxy ）。

36、什么是端口轉(zhuǎn)發(fā)？

端口轉(zhuǎn)發(fā)，又叫做瘦客戶端 SSL-VPN 。使用 ActiveX 或 Java applet 等瀏覽器插件來創(chuàng)建 PC 和服務(wù)器的 SSL 隧道。用戶只要登錄 Web 門戶（ SSL-VPN 網(wǎng)關(guān)），并完成認證，就能夠下載相關(guān)插件。用戶能夠使用公司內(nèi)網(wǎng)服務(wù)器上的特定應(yīng)用程序，也能夠使用端口固定且無需瀏覽器支持的 TCP 應(yīng)用程序，比如 E-mail 。有些產(chǎn)品還能夠支持端口號變動的應(yīng)用和 UDP 應(yīng)用程序等。

37、什么是隧道？

隧道方式是使用 SSL-VPN 客戶端軟件的方式。和 IPsec-VPN 一樣，支持網(wǎng)絡(luò)層以上協(xié)議的隧道傳輸。

用戶通過瀏覽器訪問 SSL-VPN 設(shè)備，并完成認證，就可以下載應(yīng)用程序，并安裝在用戶的 PC 上。接下來就是通過客戶端軟件建立 PC 和 SSL-VPN 設(shè)備的隧道。由于使用了客戶端軟件，還是會不可避免的受到操作系統(tǒng)的限制。

38、什么是主機檢查？

支持主機檢查（ Host Checker ）功能的 SSL-VPN ，在客戶端與 SSL-VPN 設(shè)備連接時，能夠?qū)B接的客戶端主機進行檢查，檢查信息如下圖。

如果主機檢查結(jié)果 OK ，就允許客戶端的 SSL-VPN 連接，就能夠從外部網(wǎng)絡(luò)訪問公司內(nèi)網(wǎng)。如果結(jié)果是 NO ，就拒絕客戶端的 SSL-VPN 連接，或只能進行軟件升級等特定范圍的訪問操作。

39、什么是 DoS 攻擊？

DoS 全稱是 Denial of Service ，也就是無法繼續(xù)提供服務(wù)的意思。這里的服務(wù)是指服務(wù)器的應(yīng)用程序服務(wù)，比如客戶端發(fā)起 HTTP 請求時，服務(wù)器能夠發(fā)出 HTTP 響應(yīng)就說明完成了 HTTP 服務(wù)。DoS 攻擊是針對服務(wù)器和網(wǎng)絡(luò)設(shè)備發(fā)起的攻擊，制造遠超預(yù)先設(shè)計的訪問量，讓服務(wù)器和網(wǎng)絡(luò)設(shè)備無法正常的回復響應(yīng)報文，導致被攻擊的系統(tǒng)無法提供服務(wù)。DoS 攻擊也可以利用操作系統(tǒng)或程序的安全漏洞等，以少量流量使系統(tǒng)發(fā)生異常。在 DoS 中，通過僵尸網(wǎng)絡(luò)的多個跳板，對服務(wù)器發(fā)起攻擊的方式叫做 DDoS（ Distributed Denial of Service ）攻擊。

40、DoS 攻擊有哪些類型？防火墻有什么防范措施？

Syn Flood ：發(fā)送大量 TCP SYN 報文，導致服務(wù)器資源消耗過度，一段時間內(nèi)無法提供服務(wù)的狀態(tài)。在防火墻內(nèi)，定義每秒允許通過的 SYN 報文數(shù)量，當網(wǎng)絡(luò)中的 SYN 報文超過這個值時，就會執(zhí)行 SYN Cookie 的策略。SYN Cookie 策略是當服務(wù)器收到客戶端的 SYN 報文時，不建立 TCP 連接，而是將 TCP 頭部內(nèi)容的散列值當做序列號放入 SYN-ACK 報文中返回。之后收到包含正確響應(yīng)編號的 ACK 報文時，才將會話信息存儲在內(nèi)存中，有效防止攻擊對服務(wù)器內(nèi)存的消耗。

ICMP Flood ：也叫做 ping flood ，發(fā)送大量的 ICMP echo request 報文來消耗服務(wù)器內(nèi)存，讓服務(wù)器暫時無法提供服務(wù)。防火墻通過定義一秒內(nèi)允許的最大 ICMP 報文數(shù)量，對超過這個值的 ICMP 報文暫時不處理。

UDP Flood ：發(fā)送大量的 UDP 報文來消耗服務(wù)器的內(nèi)存，使得服務(wù)器暫時無法提供服務(wù)。防火墻通過定義一秒內(nèi)允許的最大 UDP 報文數(shù)量，對超過這個值的 UDP 報文暫時不處理。

IP Flood ：發(fā)送大量的 IP 報文來消耗服務(wù)器的內(nèi)存，使得服務(wù)器暫時無法提供服務(wù)。防火墻通過定義一秒內(nèi)允許的最大 IP 報文數(shù)量，對超過這個值的 IP 報文暫時不處理。

Land ：發(fā)送源地址和目的地址相同的報文。受到這種攻擊、又有安全漏洞的設(shè)備，會不斷向自己轉(zhuǎn)發(fā)數(shù)據(jù)而導致宕機。防火墻對于這類報文，一律丟棄。

Tear Drop ：發(fā)送偽造的、含有 offset 的非法 IP 分片報文。這類攻擊對于有安全漏洞的設(shè)備而言，會發(fā)生無法重新生成報文的現(xiàn)象發(fā)生，導致宕機。防火墻對于這類報文，一律丟棄。

Ping of Death ：發(fā)送超過 IP 報文最大長度 65535 的 ping 。這類攻擊對于有安全漏洞的設(shè)備而言，會導致無法運行的情況發(fā)生。防火墻對于這類報文，一律丟棄。

Smurf ：把攻擊對象的地址設(shè)置成源地址，并廣播發(fā)送 ICMP echo request 報文，使得攻擊對象收到大量 ICMP echo reply 報文而消耗帶寬資源。

Fraggle ：同 Smurf 類似，UDP 替代 ICMP 發(fā)起攻擊，同時利用 echo 、Chargen 、daytime 、qotd 等多種端口。防火墻一般關(guān)閉這類端口，或使用安全策略進行攔截。

Connection Flood ：反復生成大量長時間為 open 狀態(tài)的連接，占據(jù)攻擊對象的 socket 資源。如果服務(wù)器端沒有最大連接數(shù)目的限制，就會發(fā)生系統(tǒng)崩潰。

Reload ：在 Web 瀏覽器中連續(xù)按下 F5 鍵，讓 Web 頁面反復執(zhí)行刷新操作，也叫做 F5 攻擊。在 Web 通信量大時，會讓服務(wù)器負載加重。

41、如何防御 DoS ？

防御 DoS 就是限制異常高速通信流量，一般通過設(shè)置區(qū)域、網(wǎng)絡(luò)接口、網(wǎng)絡(luò)等單位來實現(xiàn)。

DoS 防御也可以攔截含有非法內(nèi)容或安全性低的報文，這類報文讓防火墻或路由器處理的話，會導致資源的浪費，因此需要使用專門的 DoS 防御功能來阻擋這類攻擊。

42、什么是端口掃描？

攻擊者在發(fā)起攻擊前，會對攻擊對象的設(shè)備情況進行調(diào)查，最基礎(chǔ)也是最常用的手段就是端口掃描（ port scan ）。端口掃描可分為 TCP 端口掃描和 UDP 端口掃描兩大類，對 TCP 端口和 UDP 端口按照順序發(fā)送報文，探測目的設(shè)備是否開啟了對應(yīng)的服務(wù)。比如，某臺設(shè)備的掃描結(jié)果是開啟了 22 號端口，攻擊者就會知道設(shè)備開啟了 SSH 服務(wù)，從而利用 SSH 服務(wù)訪問這個設(shè)備，并發(fā)起后續(xù)攻擊。

防火墻能夠探測出端口掃描行為，可以阻斷這個行為。

43、端口掃描有哪些類型？

TCP 端口掃描：對 TCP 的 0 ~ 65535 號端口全部進行掃描，或在一定范圍內(nèi)掃描端口，從而探測服務(wù)器有哪些端口可以使用。掃描過程是向服務(wù)器發(fā)送 TCP（ SYN ）分組，如果收到了響應(yīng) TCP（ SYN + ACK ）報文，那么說明端口是打開狀態(tài)。如果端口關(guān)閉，就會從服務(wù)器收到 TCP（ RST + ACK ）報文。

SYN 端口掃描：屬于 TCP 端口掃描的一種，無需完成 3 次握手，直接針對 SYN 報文進行端口掃描，也叫做半掃描。在 3 次握手過程中，根據(jù)服務(wù)器回復的是 ACK 報文還是 RST 報文來判斷端口是否打開。

ACK 端口掃描：為規(guī)避防火墻對 SYN 端口掃描的檢測，向服務(wù)器發(fā)送 ACK 報文，根據(jù)回復的 RST 報文窗口大小來判斷端口是否打開。只對端口打開或關(guān)閉時發(fā)送不同窗口大小報文的服務(wù)器有效。

Null 端口掃描：向服務(wù)器發(fā)送 TCP 頭部所有字段為 0 的報文，通過服務(wù)器是否返回 RST + ACK 報文來判斷服務(wù)器端口是否打開。

FIN 端口掃描：向服務(wù)器發(fā)送 FIN 報文，根據(jù)是否收到 RST + ACK 報文來判斷端口是否打開。

Xmas 端口掃描：向服務(wù)器發(fā)送 TCP 頭部所有字段為 1 的報文，根據(jù)是否收到 RST + ACK 報文來判斷端口是否打開。

UDP 端口掃描：對 UDP 的 0 ~65535 號端口全部進行掃描，或是在一定范圍內(nèi)掃描端口，從而探測服務(wù)器有哪些端口可以使用。

Host Sweep ：向大量主機發(fā)送 ICMP 報文或 TCP 報文，如果返回應(yīng)答，就根據(jù)返回的應(yīng)答報文判斷主機是否存在，并得知主機上運行了哪些應(yīng)用程序等信息。TCP SYN Host Sweep 會同時向多臺主機的相同端口發(fā)送 TCP SYN 報文。

44、有哪些非法報文攻擊？

IP 地址欺騙（ IP Spoofing ）：為了通過防火墻，避免被監(jiān)控日志記錄，偽造 IP 頭部中源 IP 地址的攻擊方式。

分片報文：分片的 IP 報文，由于安全性弱，常用于攻擊，因此防火墻會有攔截分片報文的功能。如果報文和通信鏈路的 MTU 大小一致，就不會發(fā)送分片，這個功能也不會影響正常的通信。

ICMP 分片：跟 IP 分片報文類似，防火墻也有攔截 ICMP 分片報文的功能。

巨型 ICMP 報文：防火墻通過攔截一定大小以上的 ICMP 報文，就能避免 Ping of Death 攻擊。

非法 ICMP 報文：如果接收的 ICMP 報文中，頭部出現(xiàn)未定義的值時，需要進行額外的異常處理。防火墻會對這類非法的 ICMP 報文進行攔截。

SYN 以外的 TCP 報文控制：TCP 會話開始前，會發(fā)送 SYN 報文。如果在未確認的 TCP 會話中，收到了除 SYN 以外的字段位是 1 的 TCP 報文，很有可能就是端口掃描等攻擊，就需要通過防火墻攔截這類報文。

45、什么是 IDS/IPS ？

IDS ，全稱 Intrusion Detection System ，即入侵檢測系統(tǒng)。IPS ，全稱 Intrusion Prevention System ，即入侵防御系統(tǒng)，合稱為 IDS/IPS 。

IDS 負責檢測非法入侵，并告知系統(tǒng)管理員，而 IPS 是通過設(shè)置對非法入侵使用的協(xié)議和應(yīng)用程序進行攔截。

IDS/IPS 能夠檢測的威脅有：

• DoS 攻擊

• P2P 造成的信息泄露

• 運行蠕蟲、特洛伊木馬、鍵盤記錄器等惡意軟件

• 入侵局域網(wǎng)和入侵偵查行為

當 IDS/IPS 檢測到入侵行為后，會進行相應(yīng)處理：

• 通知管理員，通過電子郵件或 SNMP 等方式

• 記錄日志

• 攔截通信，向攻擊方發(fā)送 TCP RST 報文

46、什么是 Deep Inspection ？

防火墻的 Deep Inspection 功能，能夠針對特定的應(yīng)用層協(xié)議，重組應(yīng)用程序數(shù)據(jù)流的 TCP 數(shù)據(jù)段，檢測其中是否包含了非法應(yīng)用程序參數(shù)。

47、IDS/IPS 和 Deep Inspection 能夠檢測和攔截哪些類型的攻擊？

信息泄露：攻擊者利用帶有惡意腳本的郵件，或附帶惡意軟件的 URL 地址發(fā)起的攻擊。攻擊成功的話，能夠獲取對方的機密信息。

執(zhí)行代碼：向服務(wù)器發(fā)送非法數(shù)據(jù)，讓服務(wù)器接受并執(zhí)行遠端的代碼。

DoS 攻擊：發(fā)送大量報文，讓服務(wù)器的 CPU 、內(nèi)存使用率上升，妨礙服務(wù)器正常提供服務(wù)的攻擊。

緩存溢出（ Buffer Overflow ）：通過惡意程序誘導服務(wù)器運行內(nèi)存超過上限，導致緩存溢出的攻擊。

SQL 注入：針對 Web 應(yīng)用程序，使用數(shù)據(jù)庫 SQL 語言，對數(shù)據(jù)庫進行非法操作的攻擊。

暴力破解（ Brute Force Attack ）：也叫循環(huán)攻擊，使用密碼字典等工具，反復嘗試管理員密碼的攻擊。為了防止這類攻擊，需要執(zhí)行輸錯 3 次密碼就切斷會話的類似策略。

跨站腳本攻擊（ Cross-site Scripting ）：簡稱 CSS 或 XSS 。利用 Web 應(yīng)用程序的漏洞，在提交頁面表單時，通過服務(wù)器執(zhí)行攜帶 HTML 標簽的腳本，到達劫持會話或釣魚的目的。

exploit 攻擊：利用軟件安全漏洞發(fā)起的攻擊中使用的程序或腳本。

瀏覽器劫持：通過操作攜帶惡意軟件的瀏覽器，在用戶瀏覽 Web 頁面時，篡改顯示的頁面形式和內(nèi)容。一般會導致持續(xù)彈出廣告欄、自動添加 URL 連接、跳轉(zhuǎn)其它網(wǎng)頁失敗的情況。

釣魚：使用偽造官方網(wǎng)站站點 URL 連接的郵件或網(wǎng)站，騙取用戶的個人信用卡和銀行賬號信息。

僵尸網(wǎng)絡(luò)：通過僵尸程序感染多臺 PC ，并根據(jù)攻擊方命令，同時發(fā)送垃圾和實施 DoS 等攻擊。主要通過使用 IRC 對僵尸下達攻擊命令。

48、什么是 CVE ？

CVE（ Common Vulnerabilities Exposures ，通用漏洞披露）是美國非盈利機構(gòu) MIRTE 公司識別已知漏洞的項目。機構(gòu)會為發(fā)現(xiàn)的安全漏洞問題分配一個 CVE 識別編號（ CVE-ID ），當安全廠家提供多個漏洞防范對策時，通過使用這個編號告知用戶是哪個安全漏洞問題。以 “ CVE-(公元紀年)-(4字符編號) ” 的格式記錄，表明使用這個編號的安全漏洞問題已經(jīng)廣為人知。

49、什么是反病毒？

反病毒也叫做防病毒策略，通過在個人電腦和服務(wù)器上安裝防病毒軟件，來保護設(shè)備免遭病毒侵襲。

在終端上安裝防病毒軟件的方式叫做主機型防病毒。而通過互聯(lián)網(wǎng)網(wǎng)關(guān)的防火墻以及專用設(shè)備，對網(wǎng)絡(luò)上所有的通信數(shù)據(jù)進行掃描的方式叫做網(wǎng)關(guān)型防病毒。使用網(wǎng)關(guān)型防病毒，能夠防止局域網(wǎng)中病毒的蔓延以及跳板機攻擊網(wǎng)絡(luò)的發(fā)生。

確認是否存在病毒的操作叫做掃描。主機型防病毒的掃描是在主機內(nèi)進行，而網(wǎng)關(guān)型病毒的掃描在通信流量中完成。

50、什么是反垃圾郵件？

垃圾郵件是指騷擾郵件、廣告郵件和詐騙郵件等，很多產(chǎn)品都有過濾這類垃圾郵件的反垃圾郵件功能，但是反垃圾郵件很容易引發(fā)誤檢。有可能出現(xiàn)正常郵件歸檔到騷擾軟件中，誤以為沒收到郵件，這個需要注意。

51、什么是 DLP ？

DLP ，全稱 Data Loss Prevention ，也就是防范信息泄露功能。

這個功能是檢測網(wǎng)絡(luò)中交換的應(yīng)用程序數(shù)據(jù)，當發(fā)現(xiàn)特定文件或數(shù)據(jù)時，及時執(zhí)行告警、斷開會話、記錄日志等操作。主要由文件過濾和數(shù)據(jù)過濾兩個部分組成。

52、什么是 URL 過濾？

URL 過濾功能是在 HTTP 通信中，當客戶端向服務(wù)器發(fā)起請求時，能夠?qū)?URL 信息進行檢查，判斷 URL 能否訪問，并對有害的 Web 站點進行攔截的功能，通常作為服務(wù)器上的軟件、防火墻和代理服務(wù)器的功能之一，提供給用戶。

53、防火墻有哪些監(jiān)控功能？

防火墻有監(jiān)控、告警通知、日志記錄和報告等監(jiān)控功能。

監(jiān)控（ monitoring ）：對網(wǎng)絡(luò)和網(wǎng)絡(luò)設(shè)備的實時狀態(tài)進行監(jiān)控，及時觀察流量狀態(tài)和故障信息，當發(fā)生故障、異常情況時，能夠及時告警通知管理員。

告警通知（ alerting ）：發(fā)生故障和出現(xiàn)定義事件時，向管理員發(fā)生告警通知。告警方式可以是發(fā)送 SNMP Trap 、向 Syslog 服務(wù)器發(fā)送 syslog 通信和向服務(wù)器發(fā)送電子郵件等。

日志記錄（ logging ）：記錄流量日志、事件日志等各類日志的功能。日志能夠?qū)С鰹榧兾谋靖袷?、CSV 格式、PDF 格式等。

報告（ reporting ）：通過 Web 對日志進行加工處理，提供一目了然的圖表等信息。有些防火墻是發(fā)送 Syslog 日志或?qū)Ｓ萌罩镜焦芾矸?wù)器，在管理服務(wù)器上展示報告。

54、什么是報文抓包功能？

有些安全設(shè)備有報文抓包功能。抓到的報文可以在設(shè)備上流量，也可以導出為 WinPcap 格式的文件，在 Wireshark 這個應(yīng)用程序中進行瀏覽。當發(fā)生通信故障時，可以根據(jù)抓包的信息進行分析。

55、防火墻性能有哪些要素？

同時在線會話數(shù)：防火墻通過管理會話表，以會話為單位來控制通信流量。會話表能夠記錄的表項數(shù)目說明了防火墻能夠處理的同時在線會話數(shù)量。小型防火墻設(shè)備一般管理幾萬個會話，而電信服務(wù)供應(yīng)商使用的防火墻能夠同時管理數(shù)百萬個會話。

NAT 表數(shù)目：有些防火墻或路由器會分別維護會話表和 NAT 表。NAT 表的數(shù)量表示同時在線 NAT 的會話數(shù)，這個數(shù)值表示設(shè)備能夠建立 NAT 會話數(shù)的最大值。沒有 NAT 表數(shù)上限的防火墻，一般使用會話數(shù)的上限。

每秒新建的會話數(shù)目：路由器的性能一般使用每秒能夠傳輸?shù)?bit 數(shù) bit/s 和每秒轉(zhuǎn)發(fā)報文數(shù) pps 這兩個參數(shù)來描述。而防火墻還增加了一條每秒新建會話數(shù)這個參數(shù)，表示在 1 秒內(nèi)能夠完成多少次完整的會話建立過程。1 個完整的會話建立過程包括：監(jiān)控 TCP 連接的 3 次握手，握手正常則生成會話信息，將信息記錄到會話表等操作。也引入另一個指標，表示在 1 秒內(nèi)能夠完成會話從建立到結(jié)束的次數(shù)，這個指標叫做每秒連接數(shù)。

Linux學習指南
有收獲，點個在看?