物理與網(wǎng)絡(luò)通信安全課件

物理環(huán)境與網(wǎng)絡(luò)通信安全版本：4.1講師姓名機(jī)構(gòu)名稱物理環(huán)境與網(wǎng)絡(luò)通信安全版本：4.1講師姓名機(jī)構(gòu)名稱課程內(nèi)容2物理與網(wǎng)絡(luò)通信安全知識域知識子域OSI模型典型網(wǎng)絡(luò)攻擊防范網(wǎng)絡(luò)安全防護(hù)技術(shù)TCP/IP協(xié)議安全物理安全無線通信安全課程內(nèi)容2物理與網(wǎng)絡(luò)通信安全知識域知識子域OSI模型典型網(wǎng)絡(luò)知識子域：物理與環(huán)境安全環(huán)境安全了解物理安全的重要性；了解場地和環(huán)境安全應(yīng)關(guān)注的因素：包括場地選擇、抗震及承重、防火、防水、供電、空氣調(diào)節(jié)、電磁防護(hù)、雷擊及靜電等防護(hù)技術(shù)；3知識子域：物理與環(huán)境安全環(huán)境安全3知識子域：物理與環(huán)境安全物理安全的重要性信息系統(tǒng)安全戰(zhàn)略的一個重要組成部分物理安全面臨問題環(huán)境風(fēng)險不確定性人類活動的不可預(yù)知性典型的物理安全問題自然災(zāi)害（地震、雷擊、暴雨、泥石流等）環(huán)境因素（治安、交通、人流及經(jīng)營性設(shè)施風(fēng)險）設(shè)備安全、介質(zhì)安全、傳輸安全4知識子域：物理與環(huán)境安全物理安全的重要性4場地選擇區(qū)域：避開自然災(zāi)害高發(fā)區(qū)域環(huán)境：遠(yuǎn)離可能的危險因素治安、人流量等加油站、化工廠等示例：天津港爆炸事件天河1A超級計算機(jī)暫時關(guān)閉（國家超級計算中心）騰訊公司關(guān)閉了數(shù)據(jù)中心，造成視頻服務(wù)中斷惠普公司，獵聘網(wǎng)，58.com，艾哈邁德科技公司等的數(shù)據(jù)中心都受到影響其他：消防、交通便利5場地選擇區(qū)域：避開自然災(zāi)害高發(fā)區(qū)域5抗震及承重抗震：國標(biāo)

《結(jié)構(gòu)抗震設(shè)計規(guī)范》）特殊設(shè)防類重點設(shè)防類標(biāo)準(zhǔn)設(shè)防類承重考慮設(shè)計（建筑的設(shè)計是否考慮了應(yīng)對可能的偶然事件）考慮時間因素（建筑有效期一般為50年）考慮使用因素（正常使用、正常維護(hù)）6抗震及承重抗震：國標(biāo)《結(jié)構(gòu)抗震設(shè)計規(guī)范》）6火災(zāi)預(yù)防：防火設(shè)計及阻燃材料檢測：火災(zāi)探測器感煙感溫感光可燃?xì)怏w探測抑制水（較少使用，通常做周邊防護(hù)）氣體：二氧化碳、七氟丙烷、三氟甲烷7火災(zāi)預(yù)防：防火設(shè)計及阻燃材料7知識子域：物理與環(huán)境安全防水遠(yuǎn)離水浸威脅（參考場地選擇）檢測：水浸探測器處置：在應(yīng)急事件處置中要安排相應(yīng)的處置流程供電雙路供電發(fā)電機(jī)UPS空氣調(diào)節(jié)8知識子域：物理與環(huán)境安全防水8知識子域：物理與環(huán)境安全電磁防護(hù)解決電磁輻射產(chǎn)生的信息泄露問題電磁屏蔽：屏蔽線、屏蔽機(jī)柜、屏蔽機(jī)房信號干擾：避免信息還原Tempest技術(shù)：對電磁泄漏信號中所攜帶的敏感信息進(jìn)行分析、測試、接收、還原以及防護(hù)的一系列技術(shù)領(lǐng)域的總稱雷擊及靜電直擊雷：避雷針、法拉第籠感應(yīng)雷：電涌保護(hù)器靜電：放電、防靜電服9知識子域：物理與環(huán)境安全電磁防護(hù)9知識子域：物理與環(huán)境安全設(shè)施安全了解安全區(qū)域的概念及相關(guān)防護(hù)要求；了解邊界防護(hù)的概念及相關(guān)防護(hù)要求；理解審計及監(jiān)控的概念及相關(guān)防護(hù)要求。傳輸安全理解同軸電纜、雙絞線、光纖等有線傳輸技術(shù)及安全特點；理解無線安全傳輸技術(shù)及安全特點；10知識子域：物理與環(huán)境安全設(shè)施安全10設(shè)施安全-安全區(qū)域與邊界防護(hù)安全區(qū)域建立安全區(qū)域，明確物理安全邊界對受控區(qū)域進(jìn)行保護(hù)，建立屏蔽及訪問控制機(jī)制邊界防護(hù)所有物理出入通道的防護(hù)門：鎖、門禁窗：鐵柵欄通風(fēng)口11設(shè)施安全-安全區(qū)域與邊界防護(hù)安全區(qū)域11設(shè)施安全-審計及監(jiān)控審計及監(jiān)控對安全區(qū)域的出入行為進(jìn)行記錄對非法闖入進(jìn)行檢測實現(xiàn)方式出入記錄（登記、門禁）閉路電視非法闖入探測（紅外微波雙鑒探頭、玻璃破碎探測器等）安保人員12設(shè)施安全-審計及監(jiān)控審計及監(jiān)控12傳輸安全有線傳輸：同軸電纜、雙絞線、光纖安全風(fēng)險：非法接入、破壞防護(hù)措施：保護(hù)措施（深埋、套管）、標(biāo)識無線傳輸安全風(fēng)險：開放信道防護(hù)措施：加密13傳輸安全有線傳輸：同軸電纜、雙絞線、光纖13知識子域：OSI通信模型OSI模型理解OSI七層模型構(gòu)成及每一層的作用；理解協(xié)議分層的作用。OSI模型通信過程理解OSI模型通信過程及數(shù)據(jù)封裝、分用等概念OSI模型安全體系構(gòu)成了解OSI模型安全體系的構(gòu)成；了解OSI模型的五類安全服務(wù)、八種安全機(jī)制的概念。14知識子域：OSI通信模型OSI模型14ISO/OSI七層模型結(jié)構(gòu)模型定義了網(wǎng)絡(luò)中不同計算機(jī)系統(tǒng)進(jìn)行通信的基本過程和方法底層協(xié)議偏重于處理實際的信息傳輸，負(fù)責(zé)創(chuàng)建網(wǎng)絡(luò)通信連接的鏈路，包括物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層和傳輸層高層協(xié)議處理用戶服務(wù)和各種應(yīng)用請求，包括會話層、表示層和應(yīng)用層15應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層ISO/OSI七層模型結(jié)構(gòu)模型定義了網(wǎng)絡(luò)中不同計算機(jī)系統(tǒng)進(jìn)行OSI模型特點分層結(jié)構(gòu)的優(yōu)點各層間相互獨立降低復(fù)雜性促進(jìn)標(biāo)準(zhǔn)化工作協(xié)議開發(fā)模塊化數(shù)據(jù)封裝與分用（解封裝）16OSI模型特點分層結(jié)構(gòu)的優(yōu)點16OSI安全體系結(jié)構(gòu)目標(biāo)保證異構(gòu)計算機(jī)進(jìn)程與進(jìn)程之間遠(yuǎn)距離交換信息的安全五類安全服務(wù)鑒別服務(wù)、訪問控制服務(wù)、數(shù)據(jù)完整性服務(wù)、數(shù)據(jù)保密性服務(wù)和抗抵賴服務(wù)八種安全機(jī)制加密、數(shù)據(jù)簽名、訪問控制、數(shù)據(jù)完整性、鑒別交換、業(yè)務(wù)流填充、路由控制和公正17OSI安全體系結(jié)構(gòu)目標(biāo)17知識子域：TCP/IP模型協(xié)議結(jié)構(gòu)及安全問題了解TCP/IP協(xié)議的體系及每一層的作用；了解網(wǎng)絡(luò)接口層的作用及面臨的網(wǎng)絡(luò)安全問題；了解IP協(xié)議的工作機(jī)制及面臨的安全問題；了解傳輸層協(xié)議TCP和UDP的工作機(jī)制及面臨的安全問題；了解應(yīng)用層協(xié)議面臨安全問題。安全解決方案了解基于TCP/IP協(xié)議簇的安全架構(gòu)；了解IPv6對網(wǎng)絡(luò)安全的價值。18知識子域：TCP/IP模型協(xié)議結(jié)構(gòu)及安全問題18TCP/IP協(xié)議結(jié)構(gòu)19TCP/IP協(xié)議結(jié)構(gòu)19網(wǎng)絡(luò)接口層主要協(xié)議ARPRARP安全問題損壞：自然災(zāi)害、動物破壞、老化、誤操作干擾：大功率電器/電源線路/電磁輻射電磁泄漏：傳輸線路電磁泄漏欺騙：ARP欺騙嗅探：常見二層協(xié)議是明文通信的拒絕服務(wù)：macflooding，arpflooding等20網(wǎng)絡(luò)接口層主要協(xié)議20典型攻擊：ARP欺騙ARP協(xié)議實現(xiàn)特點ARP協(xié)議特點：無狀態(tài)，無需請求可以應(yīng)答ARP實現(xiàn)：ARP緩存21bb:bb:bb:bb:bbcc:cc:cc:cc:ccaa:aa:aa:aa:aaMACcc:cc:cc:cc:ccis收到，我會緩存！Internet地址物理地址cc:cc:cc:cc:ccHelloCC:CC:CC:CC:CCAA:AA:AA:AA:AAHello典型攻擊：ARP欺騙ARP協(xié)議實現(xiàn)特點21bb:bb:bb:網(wǎng)絡(luò)互聯(lián)層核心協(xié)議-IP協(xié)議IP是TCP/IP協(xié)議族中最為核心的協(xié)議目前廣泛使用的IPv4提供無連接不可靠的服務(wù)22版本包頭長度服務(wù)類型數(shù)據(jù)包長度標(biāo)識標(biāo)記偏移生存期協(xié)議類型包頭校驗和源IP地址目的IP地址可選項用戶數(shù)據(jù)網(wǎng)絡(luò)互聯(lián)層核心協(xié)議-IP協(xié)議IP是TCP/IP協(xié)議族中最為核網(wǎng)絡(luò)互聯(lián)層安全問題拒絕服務(wù)：分片攻擊（teardrop）/死亡之ping欺騙：IP源地址欺騙竊聽：嗅探偽造：IP數(shù)據(jù)包偽造23網(wǎng)絡(luò)互聯(lián)層安全問題拒絕服務(wù)：分片攻擊（teardrop）/死典型攻擊：IP欺騙原理：兩臺主機(jī)之間經(jīng)過認(rèn)證產(chǎn)生信任關(guān)系后，在連接過程中就不會要求嚴(yán)格的認(rèn)證IP欺騙是一系列步驟構(gòu)成的攻擊24確認(rèn)攻擊目標(biāo)使要冒充主機(jī)無法響應(yīng)目標(biāo)主機(jī)猜正確的序數(shù)冒充受信主機(jī)進(jìn)行會話典型攻擊：IP欺騙原理：兩臺主機(jī)之間經(jīng)過認(rèn)證產(chǎn)生信任關(guān)系后，IP欺騙實現(xiàn)25BACSYNflood攻擊

連接請求偽造B進(jìn)行系列會話A的序數(shù)規(guī)則IP欺騙實現(xiàn)25BACSYNflood攻擊連接請求偽造B傳輸層協(xié)議-TCP（傳輸控制協(xié)議）提供面向連接的、可靠的字節(jié)流服務(wù)提供可靠性服務(wù)數(shù)據(jù)包分塊、發(fā)送接收確認(rèn)、超時重發(fā)、數(shù)據(jù)校驗、數(shù)據(jù)包排序、控制流量……26傳輸層協(xié)議-TCP（傳輸控制協(xié)議）提供面向連接的、可靠的字節(jié)傳輸層協(xié)議-UDP（用戶數(shù)據(jù)報協(xié)議）提供面向事務(wù)的簡單不可靠信息傳送服務(wù)特點無連接、不可靠協(xié)議簡單、占用資源少，效率高……27傳輸層協(xié)議-UDP（用戶數(shù)據(jù)報協(xié)議）提供面向事務(wù)的簡單不可靠傳輸層安全問題拒絕服務(wù)：synflood/udpflood/Smurf欺騙：TCP會話劫持竊聽：嗅探偽造：數(shù)據(jù)包偽造28傳輸層安全問題拒絕服務(wù)：synflood/udpfloo典型攻擊：SYNFlood原理：偽造虛假地址連接請求，消耗主機(jī)連接數(shù)29(syn)Hello,I’m(syn+ack)I’mready?I’mwaiting……(syn)Hello,I’m?I’mwaiting……(syn)Hello,I’m……I’mwaiting……I’mwaiting……I’mwaiting……典型攻擊：SYNFlood原理：偽造虛假地址連接請求，消耗應(yīng)用層協(xié)議定義了運行在不同端系統(tǒng)上的應(yīng)用程序進(jìn)程如何相互傳遞報文典型的應(yīng)用層協(xié)議域名解析：DNS電子郵件：SMTP/POP3文件傳輸：FTP網(wǎng)頁瀏覽：HTTP……30應(yīng)用層協(xié)議應(yīng)用層協(xié)議定義了運行在不同端系統(tǒng)上的應(yīng)用程序進(jìn)程如何相互傳遞應(yīng)用層協(xié)議安全問題拒絕服務(wù)：超長URL鏈接欺騙：跨站腳本、釣魚式攻擊、cookie欺騙竊聽：數(shù)據(jù)泄漏偽造：應(yīng)用數(shù)據(jù)篡改暴力破解：應(yīng)用認(rèn)證口令暴力破解等……31應(yīng)用層協(xié)議安全問題拒絕服務(wù)：超長URL鏈接31典型攻擊：DNS欺騙32?我不知道，我問問其他DNS服務(wù)器OtherDNS收到，我會緩存！?我緩存中有記錄，我告訴你！

攻擊者DNS服務(wù)器DNS服務(wù)器客戶機(jī)?Qid=22Qid=22典型攻擊：DNS欺騙32?我不基于TCP/IP協(xié)議簇的安全架構(gòu)33基于TCP/IP協(xié)議簇的安全架構(gòu)33知識子域：無線通信安全無線局域網(wǎng)安全了解無線局域網(wǎng)安全協(xié)議WEP、WPA2、WAPI等工作機(jī)制及優(yōu)缺點；理解無線局域網(wǎng)安全防護(hù)策略。藍(lán)牙通信安全了解藍(lán)牙技術(shù)面臨的保密性、完整性、非授權(quán)連接、拒絕服務(wù)等安全威脅；理解使用藍(lán)牙的安全措施。RFID通信安全了解RFID的概念及針對標(biāo)簽、針對讀寫器和針對信道的攻擊方式；理解RFID安全防護(hù)措施。34知識子域：無線通信安全無線局域網(wǎng)安全34無線局域網(wǎng)安全協(xié)議-WEP提供功能傳輸加密接入認(rèn)證（開放式認(rèn)證、共享密鑰認(rèn)證）開放式認(rèn)證系統(tǒng)通過易于偽造的SSID識別，無保護(hù)、任意接入MAC、IP地址控制易于偽造共享密鑰認(rèn)證弱密鑰問題不能防篡改沒有提供抵抗重放攻擊機(jī)制35無線局域網(wǎng)安全協(xié)議-WEP提供功能35無線局域網(wǎng)安全協(xié)議-WPA、WPA2802.11iWPA（802.11i草案）WPA2(802.11i正式)802.11i運行四階段發(fā)現(xiàn)AP階段802.11i認(rèn)證階段密鑰管理階段安全傳輸階段36無線局域網(wǎng)安全協(xié)議-WPA、WPA2802.11i36WAPI無線安全協(xié)議WAPI的構(gòu)成WAI，用于用戶身份鑒別WPI，用于保護(hù)傳輸安全WAPI的安全優(yōu)勢雙向三鑒別（服務(wù)器、AP、STA）高強度鑒別加密算法37WAPI無線安全協(xié)議WAPI的構(gòu)成37無線局域網(wǎng)應(yīng)用安全策略管理措施組織機(jī)構(gòu)安全策略中包含無線局域網(wǎng)安全管理策略結(jié)合業(yè)務(wù)對無線局域網(wǎng)應(yīng)用進(jìn)行評估，制定使用和管理策略技術(shù)措施加密、認(rèn)證及訪問控制訪客隔離安全檢測措施38無線局域網(wǎng)應(yīng)用安全策略管理措施38近距離無線通信安全-藍(lán)牙安全威脅保密性威脅：密鑰生成基于配對的PIN完整性威脅：未授權(quán)設(shè)備實施的中間人攻擊可用性威脅：拒絕服務(wù)非授權(quán)連接藍(lán)牙安全應(yīng)用藍(lán)牙設(shè)備選擇：技術(shù)上應(yīng)具備抵抗以上威脅的能力藍(lán)牙設(shè)備使用：企業(yè)應(yīng)用應(yīng)建立管理要求39近距離無線通信安全-藍(lán)牙安全威脅39近距離無線通信安全-RFID安全威脅針對標(biāo)簽攻擊：數(shù)據(jù)竊取、標(biāo)簽破解及復(fù)制針對讀寫器的攻擊：拒絕服務(wù)、惡意代碼針對無線信道的攻擊：干擾、嗅探安全防護(hù)重要的RFID標(biāo)簽（例如用于身份鑒別），支持Kill和休眠的標(biāo)簽使用高安全加密算法的標(biāo)簽涉及資金的應(yīng)用使用在線核查方式40近距離無線通信安全-RFID安全威脅40知識子域：典型網(wǎng)絡(luò)攻擊與防范欺騙攻擊了解IP欺騙、ARP欺騙、DNS欺騙等電子欺騙攻擊的實現(xiàn)方式及防護(hù)措施。拒絕服務(wù)攻擊了解SYNFlood、UDPFlood、Teardrop等拒絕服務(wù)攻擊實現(xiàn)方式；了解分布式拒絕服務(wù)攻擊實現(xiàn)方式及拒絕服務(wù)攻擊應(yīng)對策略。41知識子域：典型網(wǎng)絡(luò)攻擊與防范欺騙攻擊41網(wǎng)絡(luò)攻擊與防范-欺騙攻擊欺騙攻擊（Spoofing）通過偽造源于可信任地址的數(shù)據(jù)包以使一臺機(jī)器認(rèn)證另一臺機(jī)器的復(fù)雜技術(shù)常見類型IP欺騙ARP欺騙DNS欺騙……42BACHello,I’mB!網(wǎng)絡(luò)攻擊與防范-欺騙攻擊欺騙攻擊（Spoofing）42BA網(wǎng)絡(luò)攻擊與防范-拒絕服務(wù)攻擊拒絕服務(wù)攻擊讓被攻擊的系統(tǒng)無法正常進(jìn)行服務(wù)的攻擊方式拒絕服務(wù)攻擊方式利用系統(tǒng)、協(xié)議或服務(wù)的漏洞利用TCP協(xié)議實現(xiàn)缺陷利用操作系統(tǒng)或應(yīng)用軟件的漏洞目標(biāo)系統(tǒng)服務(wù)資源能力利用大量數(shù)據(jù)擠占網(wǎng)絡(luò)帶寬利用大量請求消耗系統(tǒng)性能混合型43拒絕服務(wù)是一類攻擊方式的統(tǒng)稱！網(wǎng)絡(luò)攻擊與防范-拒絕服務(wù)攻擊拒絕服務(wù)攻擊43拒絕服務(wù)是一類攻網(wǎng)絡(luò)攻擊與防范-拒絕服務(wù)攻擊UDPFlood利用UDP協(xié)議實現(xiàn)簡單、高效，形成流量沖擊Teardrop構(gòu)造錯誤的分片信息，系統(tǒng)重組分片數(shù)據(jù)時內(nèi)存計算錯誤，導(dǎo)致協(xié)議棧崩潰44PSH1:1025……PSH

1000:2048……PSH2049:3073……試圖重組時協(xié)議棧崩潰PSH1:1024……PSH1025:2048……PSH2049:3073……網(wǎng)絡(luò)攻擊與防范-拒絕服務(wù)攻擊UDPFlood44PSH1網(wǎng)絡(luò)攻擊與防護(hù)-分布式拒絕服務(wù)攻擊（DDoS）45攻擊者管理機(jī)管理機(jī)管理機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)攻擊機(jī)目標(biāo)機(jī)網(wǎng)絡(luò)攻擊與防護(hù)-分布式拒絕服務(wù)攻擊（DDoS）45攻擊者管理拒絕服務(wù)攻擊的防御管理防御業(yè)務(wù)連續(xù)性計劃（組織共同承擔(dān)，應(yīng)對DoS攻擊）協(xié)調(diào)機(jī)制（運營商、公安部門、專家團(tuán)隊）技術(shù)防御安全設(shè)備（防火墻、抗DoS設(shè)備）增強網(wǎng)絡(luò)帶寬自身強壯性（風(fēng)險評估、補丁、安全加固、資源控制）監(jiān)測防御應(yīng)急響應(yīng)（構(gòu)建監(jiān)測體系）46拒絕服務(wù)攻擊的防御管理防御46知識子域：網(wǎng)絡(luò)安全防護(hù)技術(shù)入侵檢測系統(tǒng)了解入侵檢測產(chǎn)品的技術(shù)實現(xiàn)、部署方式、作用及局限性。防火墻了解防火墻產(chǎn)品的實現(xiàn)技術(shù)、部署方式、作用及局限性。安全隔離與信息交換系統(tǒng)了解安全隔離與信息交換系統(tǒng)的實現(xiàn)技術(shù)、部署方式、作用。虛擬專網(wǎng)了解VPN的實現(xiàn)技術(shù)、部署方式及作用47知識子域：網(wǎng)絡(luò)安全防護(hù)技術(shù)入侵檢測系統(tǒng)47入侵檢測系統(tǒng)的作用與功能入侵檢測系統(tǒng)的作用防火墻的重要補充構(gòu)建網(wǎng)絡(luò)安全防御體系重要環(huán)節(jié)克服傳統(tǒng)防御機(jī)制的限制入侵檢測系統(tǒng)功能監(jiān)測并分析用戶和系統(tǒng)的活動核查系統(tǒng)配置和漏洞對操作系統(tǒng)進(jìn)行日志管理，并識別違反安全策略的用戶活動針對已發(fā)現(xiàn)的攻擊行為作出適當(dāng)?shù)姆磻?yīng)，如告警、中止進(jìn)程等48入侵檢測系統(tǒng)的作用與功能入侵檢測系統(tǒng)的作用48入侵檢測系統(tǒng)的分類按入侵檢測形態(tài)硬件入侵檢測軟件入侵檢測按目標(biāo)系統(tǒng)的類型網(wǎng)絡(luò)入侵檢測主機(jī)入侵檢測按系統(tǒng)結(jié)構(gòu)集中式分布式49網(wǎng)絡(luò)入侵檢測部署主機(jī)入侵檢測部署入侵檢測系統(tǒng)的分類按入侵檢測形態(tài)49網(wǎng)絡(luò)入侵檢測部署主機(jī)入侵?jǐn)?shù)據(jù)檢測技術(shù)誤用檢測技術(shù)建立入侵行為模型(攻擊特征)假設(shè)可以識別和表示所有可能的特征基于系統(tǒng)和基于用戶的誤用異常檢測技術(shù)設(shè)定“正常”的行為模式假設(shè)所有的入侵行為是異常的基于系統(tǒng)和基于用戶的異常50數(shù)據(jù)檢測技術(shù)誤用檢測技術(shù)50入侵檢測的局限性對用戶知識要求較高，配置、操作和管理使用較為復(fù)雜網(wǎng)絡(luò)發(fā)展迅速，對入侵檢測系統(tǒng)的處理性能要求越來越高，現(xiàn)有技術(shù)難以滿足實際需要高虛警率，用戶處理的負(fù)擔(dān)重由于警告信息記錄的不完整，許多警告信息可能無法與入侵行為相關(guān)聯(lián)，難以得到有用的結(jié)果在應(yīng)對對自身的攻擊時，對其他數(shù)據(jù)的檢測也可能會被抑制或受到影響51入侵檢測的局限性對用戶知識要求較高，配置、操作和管理使用較為控制：在網(wǎng)絡(luò)連接點上建立一個安全控制點，對進(jìn)出數(shù)據(jù)進(jìn)行限制隔離：將需要保護(hù)的網(wǎng)絡(luò)與不可信任網(wǎng)絡(luò)進(jìn)行隔離，隱藏信息并進(jìn)行安全防護(hù)記錄：對進(jìn)出數(shù)據(jù)進(jìn)行檢查，記錄相關(guān)信息防火墻的作用與功能52安全網(wǎng)域一控制：在網(wǎng)絡(luò)連接點上建立一個安全控制點，對進(jìn)出數(shù)據(jù)進(jìn)行限制防防火墻主要技術(shù)-靜態(tài)包過濾實現(xiàn)機(jī)制:依據(jù)數(shù)據(jù)包的基本標(biāo)記來控制數(shù)據(jù)包網(wǎng)絡(luò)層地址（IP地址）傳輸層地址(端口)協(xié)議類型等優(yōu)點技術(shù)邏輯簡單、易于實現(xiàn)，處理速度快不足無法實現(xiàn)對應(yīng)用層信息過濾處理，并且對于網(wǎng)絡(luò)服務(wù)多、結(jié)構(gòu)復(fù)雜的網(wǎng)絡(luò)，包過濾規(guī)則配置復(fù)雜53防火墻主要技術(shù)-靜態(tài)包過濾實現(xiàn)機(jī)制:依據(jù)數(shù)據(jù)包的基本標(biāo)記來控防火墻的主要技術(shù)-狀態(tài)檢測實現(xiàn)機(jī)制：創(chuàng)建狀態(tài)表用于維護(hù)連接優(yōu)勢安全性高，可根據(jù)通信和應(yīng)用程序狀態(tài)確定是否允許包的通行對性能要求高適應(yīng)性好，對用戶、應(yīng)用程序透明54數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層表示層會話層傳輸層檢測引擎