《計算機網絡安全的理論與實踐（第3版）》.【美】王杰、

1、計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.第8章網絡邊防計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.第8章 內容概要8.1 防火墻基本結構8.2 包過濾防火墻8.3 線路網關8.4 應用網關8.5 可信系統(tǒng)和堡壘主機8.6 防火墻布局8.7 網絡地址轉換8.8 防火墻設置計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.LANs, WANs, WLANs 都屬于網絡邊界可能

2、屬于企業(yè)或家庭網絡需要得到保護，以免被入侵為什么要用防火墻?加密不行嗎?不能阻止惡意網絡數據包進入網絡邊界驗證呢?可以確定收到的一個網絡數據包是否來自于可信的用戶然而，不是所有主機都有資源運行驗證算法管理主機的不同用戶技術水平參差不齊概述計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.一般框架計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.防火墻是什么?一個硬件設備, 一種軟件,或者兩者結合是Internet和網絡邊緣的一個界限(內部網絡)一種過濾流入

3、和外發(fā)網包的機制.可能是硬件和(或)軟件硬件快但是升級不方便軟件慢但便于升級一般框架防火墻安置計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.第8章 內容概要8.1 防火墻基本結構8.2 包過濾防火墻8.3 線路網關8.4 應用網關8.5 可信系統(tǒng)和堡壘主機8.6 防火墻布局8.7 網絡地址轉換8.8 防火墻設置計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.包過濾執(zhí)行網包進入和外出的過濾僅監(jiān)視IP和TCP/UDP的頭部, 不考慮負載既可以執(zhí)行無狀態(tài)的

4、也可以執(zhí)行有狀態(tài)的過濾無狀態(tài)的過濾: 容易實現但非常簡單有狀態(tài)的過濾: 較難實現但功能強大計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.無狀態(tài)的過濾執(zhí)行“啞的”過濾應用靜態(tài)規(guī)則集來監(jiān)視每個網包不保留之前網包的結果所用規(guī)則集稱為訪問控制列表 (ACL)自頂向下的匹配規(guī)則，應用匹配到的第一個規(guī)則如果沒有匹配的規(guī)則,則按照缺省規(guī)則過濾計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.ACL 實例阻止來自于特定IP地址或者端口的外發(fā)和流入的網包監(jiān)控一個由內部地

5、址作為源IP的流入網包，以過濾可能經過精心設計的（惡意）網包鑒別那些通過指定特定路由器試圖繞開防火墻的網包監(jiān)視那些凈載荷很小可能是分片攻擊的網包阻止控制網包外發(fā)計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.有狀態(tài)的過濾比無狀態(tài)的過濾智能保持對內部和外部主機連接的跟蹤僅接受/拒絕基于連接狀態(tài)的網包通常和無狀態(tài)的過濾組合使用必須關注內存和CPU的時間需求; 連接跟蹤是非常耗費資源的!連接狀態(tài)表實例計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.第8章 內

6、容概要8.1 防火墻基本結構8.2 包過濾防火墻8.3 線路網關8.4 應用網關8.5 可信系統(tǒng)和堡壘主機8.6 防火墻布局8.7 網絡地址轉換8.8 防火墻設置計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.線路網關（電路網關）運行在運輸層審查TCP/UDP段的IP地址信息和端口號信息來確定該連接是否合法在應用中，通常講包過濾和電路網關結合起來基本結構:在一個內部主機和外部主機形成一個TCP中繼連接不允許內外部網絡直接連接對有效連接維護一個表并且檢查不符合列表規(guī)則的流入網包計算機網絡安全的理論與實踐（第3版）. 【美】王

7、杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.實例計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.SOCKS協議一個為了實現電路網關的網絡協議由三部分組成:SOCKS 服務器在1080端口上運行一個包過濾防火墻SOCKS 客戶端運行在外部網絡的客戶端SOCKS 客戶端庫運行在內部客戶端目的在于為鑒別和建立連接而驗證信息為遠程網絡提供了一個驗證過的中繼計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.第8章 內容概要8.1 防火墻

8、基本結構8.2 包過濾防火墻8.3 線路網關8.4 應用網關8.5 可信系統(tǒng)和堡壘主機8.6 防火墻布局8.7 網絡地址轉換8.8 防火墻設置計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.應用網關也叫做應用級網關或代理服務器扮演內部主機的代理角色, 處理來自外部客戶端的服務請求對所有網包執(zhí)行深度檢查檢查應用程序格式基于負載應用規(guī)則具有檢測惡意和可疑網包的能力對資源需求極為敏感計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.緩存網關計算機網絡安全的理論

9、與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.應用網關在網關后安置一個路由器用于保護網關和內部主機之間的連接計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.有狀態(tài)的網包監(jiān)視有狀態(tài)的網包過濾在應用級的擴展支持掃描網包負載若網包不匹配協議期望的連接或數據類型，則丟棄該網包計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.第8章 內容概要8.1 防火墻基本結構8.2 包過濾防火墻8.3 線路網關8.4 應用

10、網關8.5 可信系統(tǒng)和堡壘主機8.6 防火墻布局8.7 網絡地址轉換8.8 防火墻設置計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.可信系統(tǒng)和堡壘主機應用網關被部署在內部網絡和外部網絡之間暴露在外部網絡的攻擊下需要強大的安全保護可信操作系統(tǒng)堡壘主機計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.可信操作系統(tǒng)一個滿足一套特定安全需求的操作系統(tǒng)系統(tǒng)設計不包含缺陷系統(tǒng)軟件不包含漏洞系統(tǒng)正確配置系統(tǒng)管理恰當可能包含多個具有不同安全許可的用戶必須服從關于許可權

11、的嚴格的規(guī)則計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.訪問權限不往上讀具有低級別許可的用戶不能執(zhí)行具有高級別密級的程序具有低級別密級的程序不能讀具有高級別密級的文件不往下寫具有高級別許可的用戶不能用低級別密級的程序相一個文件寫數據具有高級別密級的程序不能向低級別密級的文件里寫數據計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.堡壘主機具有強防御機制的系統(tǒng)服務于主機從而實現：網關電路網關其它類型的防火墻運行在一個可信的操作系統(tǒng)上必須不能包含不必要的

12、功能保持系統(tǒng)的簡單以減少出錯的概率計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.需求網關軟件應該僅用小的模塊實現可能在網絡層提供用戶的驗證應該被連接到盡可能少的內部主機上系統(tǒng)內多有事務的大規(guī)模的日志都應該保留如果多個網關運行在單一主機上，他們必須相互獨立的運行主機應該避免寫數據到他們的硬盤上運行在堡壘主機上的網關不應該被賦予管理權限計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.第8章 內容概要8.1 防火墻基本結構8.2 包過濾防火墻8.3 線路網

13、關8.4 應用網關8.5 可信系統(tǒng)和堡壘主機8.6 防火墻布局8.7 網絡地址轉換8.8 防火墻設置計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.單界面堡壘系統(tǒng)由一個網包過濾路由器和一個堡壘主機組成路由器用于連接內部和外部網絡堡壘主機在內部網絡網包過濾防火墻（PF firewall）檢查每個外發(fā)網包，如果其源地址不是堡壘主機的IP地址，則將其阻擋如果網包過濾路由器受到損害，攻擊者可能修改ACL并繞過堡壘主機計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017

14、年.雙界面堡壘系統(tǒng)在內部網絡中有兩個區(qū)域:內區(qū): 從外部不可訪問外區(qū): 來自Internet的主機可以訪問內區(qū)的主機受到堡壘主機和網包過濾路由器的雙重保護外區(qū)的服務器網包過濾路由器保護即使網包過濾路由器受損也能阻止外部對內部網絡的訪問計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.子網監(jiān)控防火墻系統(tǒng)一個單界面堡壘系統(tǒng)網絡為內部網絡配備一個二級網包過濾路由器兩個網包過濾路由器之間的區(qū)域被稱一個監(jiān)控子網將內部網絡結構隱藏起來計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社

15、, 2017年.非軍事區(qū) (DMZ)在一個內部網絡中兩個防火墻之間的一個子網外部防火墻將DMZ和外部威脅隔離開來內部防火墻將內部網絡和DMZ隔離開來DMZs 可以以一種層次結構來實現計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.網絡安全技術防火墻將網絡分為三個區(qū)域:非信任區(qū)域半信任區(qū)域可信區(qū)域計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.第8章 內容概要8.1 防火墻基本結構8.2 包過濾防火墻8.3 線路網關8.4 應用網關8.5 可信系統(tǒng)和堡壘

16、主機8.6 防火墻布局8.7 網絡地址轉換8.8 防火墻設置計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.網絡地址轉換(NAT)將IP地址分為公有和私有（不可路由）兩個組互聯網地址編碼分配機構指定了三個IP塊作為私有地址10.0.0.0/8172.16.0.0/12192.168.0.0/16許多私有地址可通過一個或幾個公有IP地址接入Internet在IPv4里，克服了地址匱乏問題（232）計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.動態(tài)NAT

17、 動態(tài)地指定少數幾個共有IP地址給私有地址端口地址轉換 (PAT), 是NAT的一個變種允許一個或更多的私有網絡共享一個單一的IP通常由家庭或小企業(yè)網絡使用通過重新映射網包的源和目的地址和端口號來工作計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.虛擬局域網 (VLAN)一種在同一個物理網絡中構建多個獨立的邏輯局域網的技術VLANs 可由軟件來創(chuàng)建VLAN 交換機: 一個VLAN交換機可以配置成多個邏輯的交換端口組，從而實現獨立的VLAN計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.小型辦公和家庭網絡防火墻(SOHO)計算機網絡安全的理論與實踐（第3版）. 【美】王杰、【美】Z. Kissel 、孔凡玉, 高等教育出版社, 2017年.第8章 內容概要8.1 防火墻基本結構8.2 包過濾防火墻8.3 線路網關8.4 應用網關8.5 可信系統(tǒng)和堡壘主機8.6 防火墻布局8.7 網絡地址轉換8.8 防火墻設置計算機網絡安全的