信息安全技術（HCIA-Security）（微課版）（第2版） 教案全套 項目1-16 信息安全基礎、網(wǎng)絡與設備-證網(wǎng)絡安全應急響應、復習

教案 《信息安全技術》ADDINCNKISM.UserStyle授課周次與課時：第1周第1-4課時累計4課時課程名稱：信息安全技術授課課題：信息安全基礎教學目標：了解信息安全管理的重要性學會區(qū)分不同安全模型的特點和區(qū)別了解信息安全等級化保護體系掌握常見信息安全標準掌握信息安全標準的意義思政目標：1.強化學生對信息安全和網(wǎng)絡安全的重要性的認識；2.立德樹人，幫助學生樹立正確的網(wǎng)絡安全和信息安全觀；教學要點：1.教學重點：不同安全模型的特點及區(qū)別2.教學難點：信息安全標準意義課型：理實一體課教學與學法（教具）：多媒體播放設備、計算機、投影儀教學過程【課程思政與課程導入】新的學期，新開始，但疫情還在沒有完全消除，同學們要加強對疫情發(fā)展的關注，疫情防控不松懈。思政主題：立德樹人學習《習近平出席全國網(wǎng)絡安全和信息化工作會議并發(fā)表重要講話》【新課講授】1信息與信息安全1.1信息定義？信息是通過施加于數(shù)據(jù)上的某些約定而賦予這些數(shù)據(jù)的特定含義，信息包括書本信件、國家機密、電子郵件、雷達信號、交易數(shù)據(jù)、考試題目等。1.2信息安全定義信息安全是指通過采用計算機軟硬件技術、網(wǎng)絡技術、密鑰技術等安全技術和各種組織管理措施，來保護信息在其神秘周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，信息的機密性、完整性和可用性不被破壞。2信息安全的發(fā)展2.1信息安全的發(fā)展歷2.2信息安全涉及的風險3信息安全管理的重要性安全技術知識是信息安全控制的手段，要讓安全技術發(fā)揮應有的作用，必然要有適當管理程序的支持。據(jù)統(tǒng)計，企業(yè)信息收到損失的70%是由于內(nèi)部員工的疏忽或有意泄密造成的，可參看下圖。4信息安全標準與組織信息安全標準是規(guī)范性文件之一，其定義是為了在一定的范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認機構批準，共同使用的和重復使用的一種規(guī)范性文件。在國際上，與信息安全標準化有關的組織主要有以下4個：InternationalOrganizationforStandardization(ISO)國際標準化組織InternationalElectrotechnicalCommission(IEC)國際電工委員會InternationalTelecommunicationUnion(ITU)國際電信聯(lián)盟TheInternetEngineeringTaskForce(IETF)Internet工程任務組國內(nèi)的安全標準組織主要有：信息技術安全標準化技術委員會(CITS)中國通信標準化協(xié)會(CCSA)下轄的網(wǎng)絡與信息安全技術工作委員會常見信息安全標準與規(guī)范可見下圖。5信息安全管理體系信息安全管理體系（InformationSecurityManagementSystem,簡稱ISMS）的概念最初來源于英國標準學會制定的BS7799標準,并伴隨著其作為國際標準的發(fā)布和普及而被廣泛地接受.【學生練習】信息安全事件頻發(fā)的原因是存在漏洞病毒后門程序等安全攻擊手段（）正確錯誤信息安全管理體系遵循的是______流程。等級保護定義是什么？【點評】【總結提煉】本次課介紹了信息與信息安全概念、信息安全發(fā)展過程、信息安全設涉及的風險類別、信息安全的重要性及發(fā)展現(xiàn)狀以及常見信息安全標準與規(guī)范、信息安全等級化保護體系等?！菊n后作業(yè)】信息安全涉及的風險有哪些？【教學后記】ADDINCNKISM.UserStyle授課周次與課時：第2周第5-8課時累計8課時課程名稱：信息安全技術授課課題：網(wǎng)絡與設備教學目標：掌握TCP/IP的工作原理；掌握常見協(xié)議的工作原理；常見協(xié)議可能存在的安全威脅；掌握較為常見網(wǎng)絡設備的功能；掌握登錄網(wǎng)絡設備并對設備進行基礎配置；掌握對設備進行文件管理。思政目標：提高學生網(wǎng)絡安全和信息化的認識，充分認識做好工作的重要性和緊迫性；愛國主義：通過對華為技術有限公司的發(fā)展史的了解，加強學生愛國主義教育；民族自豪感：通過對華為5G技術的了解，增強學生民族自豪感和自信心；教學要點：1.教學重點：TCP/IP協(xié)議工作原理、常見網(wǎng)絡設備功能2.教學難點：對網(wǎng)絡設備登陸進行配置課型：理實一體課教學與學法（教具）：多媒體教學過程【課程思政/溫故知新】思政主題：民族品牌華為——中華有為，學習華為技術有限公司的發(fā)展史。引出了解網(wǎng)絡基礎設備常用配置與管理，了解民族品牌中主流設備的基本參數(shù)及設置，華為的常見網(wǎng)絡設備市場占有絕對優(yōu)勢，“站在智能時代的入口，通過“無處不在的聯(lián)接+數(shù)字平臺+無所不及的智能”，致力于打造數(shù)字中國的底座、成為數(shù)字世界的內(nèi)核”，是不懈的追求，更是青年學生的目標所在！。【新課講授】1OSI互聯(lián)參考模型1.1OSI模型的提出OSI：OpenSystemInterconnectReferenceModel，開放式系統(tǒng)互聯(lián)參考模型，是國際標準化組織(ISO)提出的一個試圖使各種計算機在世界范圍內(nèi)互連為網(wǎng)絡的標準框架。OSI模型的設計目的是成為一個開放網(wǎng)絡互聯(lián)模型，來克服使用眾多網(wǎng)絡模型所帶來的互聯(lián)困難和低效性，因此OSI參考模型很快成為計算機網(wǎng)絡通信的基礎模型。1.2OSI模型設計OSI參考模型很快成為計算機網(wǎng)絡通信的基礎模型。在設計時遵循了以下原則：各個層之間有清晰的邊界，便于理解；每個層實現(xiàn)特定的功能，且相互不影響；每個層是服務者又是被服務者，即為上一層服務，又被下一層服務；層次的劃分有利于國際標準協(xié)議的制定；1.3OSI模型分層OSI參考模型將網(wǎng)絡通信需要的各種進程劃分為7個相對獨立的7個功能層次，從下到上依次為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層以及應用層。具體如圖1所示圖1OSI七層模型1.4TCP/IP協(xié)議基礎TCP/IP（TransferControlProtocol/InternetProtocol），是指傳輸控制協(xié)議/網(wǎng)際協(xié)議），TCP/IP模型具有開放性和易用性等特點，以致在實踐中得到了廣泛應用，由于Interent在全世界的飛速發(fā)展，使得TCP/IP協(xié)議棧成為事實上的標準協(xié)議，并形成了TCP/IP參考模型。TCP/IP模型與OSI參考模型的不同點在于TCP/IP把表示層和會話層都歸入應用層，所以TCP/IP模型從下至上分為四層：數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層和應用層。在有些文獻中也劃分成五層，即把物理層也單獨列出。TCP/IP和OSI的對應關系如圖2所示。圖2TCP/IP和OSI的對應關系1.5TCP/IP協(xié)議棧各層作用TCP/IP協(xié)議每一層都有對應的相關協(xié)議，且均為達成某一網(wǎng)絡應用而產(chǎn)生，對于某些協(xié)議在分層上還不能嚴格對其定義，比如ICMP、IGMP、ARP、RARP協(xié)議，我們把他們放在與網(wǎng)絡層IP協(xié)議同一層，但在某些場合我們可能會把ICMP、IGMP放在IP協(xié)議的上層，而把ARP、RARP放在IP協(xié)議的下層。TCP/IP協(xié)議棧各層作用如圖3所示。圖3TCP/IP協(xié)議棧各層作用1.6TCP/IP協(xié)議棧封裝與解封如圖4所示，發(fā)送方將用戶數(shù)據(jù)提交給應用程序把數(shù)據(jù)送達目的地圖4TCP/IP協(xié)議棧封裝與解封1.7TCP連接建立與終止TCP的連接建立是一個三次握手過程，目的是為了通信雙方確認開始序號，以便后續(xù)通信的有序進行。TCP建立三次握手連接如圖5所示.圖5TCP建立連接1.8套接字與各層協(xié)議一個套接字由相關五元組構成：源IP地址、目的IP地址、協(xié)議、源端口、目的端口。通過五元組，應用服務器可響應任何并發(fā)服務請求，且能保證每一鏈接在本系統(tǒng)內(nèi)是唯一的。其套接字組成元素如圖6所示。圖6套接字組成元素1.9常見網(wǎng)絡層協(xié)議圖7為網(wǎng)絡層協(xié)議結構圖。圖7網(wǎng)絡層協(xié)議結構圖1.10常見應用層協(xié)議圖8為應用層協(xié)議結構圖。圖8應用層協(xié)議結構圖2網(wǎng)絡基礎設備2.1交換機交換機工作在數(shù)據(jù)鏈路層，轉發(fā)數(shù)據(jù)幀。如圖9所示。圖9交換機工作原理2.2路由器路由器功能：是連接\t"/item/%E8%B7%AF%E7%94%B1%E5%99%A8/_blank"因特網(wǎng)中各\t"/item/%E8%B7%AF%E7%94%B1%E5%99%A8/_blank"局域網(wǎng)、\t"/item/%E8%B7%AF%E7%94%B1%E5%99%A8/_blank"廣域網(wǎng)的設備，能夠在不同的網(wǎng)絡之間轉發(fā)數(shù)據(jù)包，如圖10所示圖10路由器功能2.3防火墻防火墻功能：它是一種位于內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的網(wǎng)絡安全系統(tǒng)，主要用于保護一個網(wǎng)絡區(qū)域免受來自另一個網(wǎng)絡區(qū)域的網(wǎng)絡攻擊和網(wǎng)絡入侵行為，具體可參看圖11。圖11防火墻功能2.4設備初始介紹VRP：VersatileRoutingPlatform，通用路由平臺，它的主要功能如下：網(wǎng)絡操作系統(tǒng)支撐多種設備的軟件平臺提供TCP/IP路由服務命令行：系統(tǒng)將命令行接口劃分為若干個命令視圖，系統(tǒng)的所有命令都注冊在某個（或某些）命令視圖下，只有在相應的視圖下才能執(zhí)行該視圖下的命令。3設備登陸管理3.1通過Console口登錄使用PC終端通過連接設備的Console口來登錄設備，進行第一次上電和配置。當用戶無法進行遠程訪問設備時，可通過Console進行本地登錄；當設備系統(tǒng)無法啟動時，可通Console口進行診斷或進入BootRom進行系統(tǒng)升級。如果使用PC進行配置，需要在PC上運行終端仿真程序（如Windows3.1的TerminaWindows98/Windows2000/WindowsXP的超級終端），建立新的連接。3.2通過Telnet登錄通過PC終端連接到網(wǎng)絡上，使用Telnet方式登錄到設備上，進行本地或遠程的配置，目標設備根據(jù)配置的登錄參數(shù)對用戶進行驗證。Telnet登錄方式方便對設備進行遠程管理和維護。3.3通過SSH登錄SSH登錄能更大限度的保證數(shù)據(jù)信息交換的安全，提供安全的信息保障和強大認證功能，保護設備系統(tǒng)不受IP欺騙等攻擊。SSH登錄步驟如下：配置USG接口SSH設備管理，管理員根據(jù)實際的需要打開。執(zhí)行命令stelnetserverenable，啟用Stelnet服務。在USG上生成本地密鑰對。3.4通過Web登錄在客戶端通過Web瀏覽器訪問設備，進行控制和管理。適用于配置終端PC通過Web方式登錄?！緦W生練習】以下哪個不屬于TCP/IP協(xié)議簇？（）數(shù)據(jù)鏈路層傳輸層會話層應用層以下哪個報文是TCP三次握手的首包？（）SYN+ACKSYNACK采用默認web方式登錄時，默認登錄的地址為（）？/24/24/16/16【點評】【總結提煉】本次課介紹了介紹了計算機網(wǎng)絡OSI參考模型的概念以及OSI參考模型中不同層次的功能；網(wǎng)絡基礎設備，包括常見網(wǎng)絡設備的功能和型號；網(wǎng)絡設備登錄方式，包括Console、Telnet、SSH和Web四種；安全設備基礎配置。【課后作業(yè)】路由器的功能有哪些？防火墻的作用有哪些？設備登錄管理有分別有哪幾種方式？【教學后記】思政課堂三分鐘文明標兵創(chuàng)建ADDINCNKISM.UserStyle授課周次與課時：第3周第9-12課時累計12課時課程名稱：信息安全技術授課課題：信息安全威脅防范及發(fā)展教學目標：掌握描述信息安全威脅分類掌握描述常見信息安全威脅手段了解信息安全未來發(fā)展趨勢學會如何避免存在的潛在安全威脅提升在公共場合的信息安全意識思政目標：1.在信息時代，網(wǎng)絡安全對國家安全而言是牽一發(fā)而動全身，同許多其他方面的安全都有著密切關系；2.法律法規(guī)，通過加強學生法律法規(guī)的學習，培養(yǎng)學生良好的法律意識；3.愛國主義，通過對我國法律法規(guī)發(fā)展的學習，增強學生對我國法律事業(yè)發(fā)展的了解，激發(fā)學生民族自豪感，加強愛國主義教育。教學要點：1.教學重點：信息安全威脅的類別2.教學難點：常見信息安全威脅手段課型：理實一體課教學與學法（教具）：多媒體教學過程：【課程思政/溫故知新】思政主題：法律法規(guī)、愛國主義常見信息安全威脅識別與防御，做為信息安全管理從業(yè)者，在工作和學習中始終要堅守國家法律法規(guī)和職業(yè)操守，網(wǎng)絡世界言行也要遵從國家大法，我國個人信息保護法是過往世界經(jīng)驗和中國智慧的結晶，也是維護個人權益、激勵社會穩(wěn)健發(fā)展、連接國家命運的數(shù)字時代基本法。【新課講授】1信息安全威脅現(xiàn)狀1.1信息安全攻擊事件的演變（1）攻擊方式變化小攻擊的方式仍然是我們所能看到的病毒、漏洞、釣魚等，看起來似乎形式并無太大變化。（2）攻擊的手段由單一變得復雜一次重大攻擊往往需要精密地部署，長期的潛伏，以及多種攻擊手段相結合以達到最終目的。（3）攻擊目的多樣化攻擊的目標從個人電腦攻擊到經(jīng)濟、政治、戰(zhàn)爭、能源，甚至影響著世界格局。1.2安全威脅分類（1）網(wǎng)絡安全威脅DDoS攻擊；網(wǎng)絡入侵等。（2）應用安全威脅操作系統(tǒng)漏洞；病毒、木馬、蠕蟲；釣魚網(wǎng)站；數(shù)據(jù)泄露等。（3）數(shù)據(jù)傳輸與終端安全威脅通信流量挾持；中間人攻擊；未授權身份人員登錄系統(tǒng)；無線網(wǎng)絡安全薄弱等。2網(wǎng)絡安全威脅2.1掃描掃描是一種潛在的攻擊行為，本身并不具有直接的破壞行為，通常是攻擊者發(fā)動真正攻擊前的網(wǎng)絡探測行為。掃描可分為地址掃描和端口掃描，如圖1所示圖1掃描類別2.2欺騙攻擊-獲取控制權限攻擊者可以通過密碼暴力破解方式來獲取控制權限，也可以通過各種欺騙攻擊來獲取訪問和控制權限，如IP欺騙攻擊。圖2為欺騙攻擊示意圖IP欺騙攻擊：攻擊者通過向目標主機發(fā)送源IP地址偽造的報文，欺騙目標主機，從而獲取更高的訪問和控制權限。圖2業(yè)務連續(xù)性基本步驟2.3DDoS攻擊DDoS攻擊主要是耗盡網(wǎng)絡帶寬和耗盡服務器資源，DDoS攻擊如圖3所示。圖3DDoS攻擊2.4網(wǎng)絡類攻擊的防御手段（1）防火墻通過在大中型企業(yè)、數(shù)據(jù)中心等網(wǎng)絡的內(nèi)網(wǎng)出口處部署防火墻，可以防范各種常見的DDoS攻擊，而且還可以對傳統(tǒng)單包攻擊進行有效地防范。（2）AntiDDoS設備Anti-DDoS解決方案，面向運營商、企業(yè)、數(shù)據(jù)中心、門戶網(wǎng)站、在線游戲、在線視頻、DNS域名服務等提供專業(yè)DDoS攻擊防護。3應用安全威脅3.1漏洞帶來的威脅漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統(tǒng)。由于不及時對系統(tǒng)漏洞進行修復，將會帶來以下攻擊：注入攻擊、跨站腳本攻擊、惡意代碼傳播、數(shù)據(jù)泄露3.2釣魚攻擊“釣魚”是一種網(wǎng)絡欺詐行為，指不法分子利用各種手段，仿冒真實網(wǎng)站的URL地址以及頁面內(nèi)容，或利用真實網(wǎng)站服務器程序上的漏洞在站點的某些網(wǎng)頁中插入危險的HTML代碼，以此來騙取用戶銀行或信用卡賬號、密碼等私人資料3.3惡意代碼惡意代碼是指故意編制或設置的、對網(wǎng)絡或系統(tǒng)會產(chǎn)生威脅或潛在威脅的計算機代碼。最常見的惡意代碼有病毒、木馬、蠕蟲、后門等，如圖4所示。圖4惡意代碼3.4應用類攻擊的防御手段定期修復漏洞：漏洞掃描，安裝補丁提高安全意識：對可疑網(wǎng)站、鏈接保持警覺專業(yè)設備防護：防火墻，WAF，殺毒軟件4安全威脅防范4.1信息安全防范關鍵要素信息安全防范關鍵要素如圖5所示。圖5信息安全防范關鍵要素4.2信息安全防范方法信息安全防范方法如圖6所示圖6信息安全防范方法4.3信息安全意識網(wǎng)民在公共場所連接Wi-Fi的情況如圖7所示。圖7網(wǎng)民連接公共Wi-Fi的情況4.4培養(yǎng)安全意識在培養(yǎng)和建立安全意識過程中，養(yǎng)成敏銳的思考模式和習慣，也是防范網(wǎng)絡安全欺騙的有效途徑，具體可參看下圖所示【學生練習】以下哪些屬于應用安全威脅？（）注入攻擊跨站腳本攻擊IP地址欺騙攻擊端口掃描以下哪些屬于終端安全隱患？（）服務器存在漏洞用戶使用弱密碼數(shù)據(jù)傳輸加密程度不夠用戶身份未經(jīng)驗證信息安全防范關鍵要素有哪些（）安全運維與管理監(jiān)控安全產(chǎn)品與技術人員下列哪一種密碼設置相對更加安全？（）。僅數(shù)字密碼 僅字母密碼 數(shù)字+字母組合密碼 數(shù)字+字母+特殊符號組合密碼【總結提煉】本次課介紹了信息安全威脅現(xiàn)狀，網(wǎng)絡安全威脅，應用安全威脅，數(shù)據(jù)傳輸與終端安全威脅，安全威脅防范的基本要素，網(wǎng)絡安全意識在安全防護中的重要性，信息安全未來發(fā)展趨勢。【課后作業(yè)】信息安全防范關鍵要素有哪些？信息安全防范方法有哪些？安全防御未來發(fā)展趨勢是什么樣的？【教學后記】ADDINCNKISM.UserStyle授課周次與課時：第4周第13-16課時累計16課時課程名稱：信息安全技術授課課題：服務器及操作系統(tǒng)安全基礎教學目標：掌握操作系統(tǒng)的主要功能掌握Windows系統(tǒng)架構掌握Linux系統(tǒng)架構掌握常見服務器安全威脅描述掌握基本漏洞和補丁描述思政目標：加強學生對網(wǎng)絡安全和信息化關系的認識；愛國主義，通過學生對國產(chǎn)操作系統(tǒng)的了解，增強學生的愛國主義意識；科技強國，通過學生對國產(chǎn)操作系統(tǒng)的學習，增強學生科技強國的精神；教學要點：1.教學重點：常見服務器安全威脅描述2.教學難點：掌握基本漏洞和補丁描述課型：理實一體課教學與學法（教具）：多媒體教學過程：【課程思政/溫故知新】網(wǎng)絡安全和信息化是一體之兩翼、驅動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施思政主題：愛國主義、科技強國通過對國產(chǎn)操作系統(tǒng)的學習，充分了解操作系統(tǒng)的定義、主要功能和分類、發(fā)展歷史和相關應用，掌握系統(tǒng)相關架構，為操作系統(tǒng)應用安全打下堅實的基礎。就是有了像麒麟操作系統(tǒng)這樣的國產(chǎn)操作系統(tǒng)，這樣的民族品牌，為我們國家在航空航天、探月工程、超算、國防軍事方面取得了重大突破打下了堅實的基礎?！拘抡n講授】1操作系統(tǒng)基礎知識1.1操作系統(tǒng)定義操作系統(tǒng)（OperatingSystem，簡稱OS）是管理和控制計算機硬件與軟件資源的計算機程序，是直接運行在“裸機”上的最基本的系統(tǒng)軟件，任何其他軟件都必須在操作系統(tǒng)的支持下才能運行。1.2操作系統(tǒng)主要功能(1) 處理器管理（進程控制、進程同步、進程通信、進程調度）；(2) 存儲器管理（內(nèi)存分配、內(nèi)存保護、內(nèi)存擴充）；(3) 設備管理（緩沖管理、設備分配、虛擬設備）；(4) 文件管理（存儲空間管理、文件讀寫管理、目錄管理、文件共享與保護）；(5) 作業(yè)管理（任務管理、界面管理、人機交互、圖形界面、語言控制）；1.3操作系統(tǒng)分類根據(jù)應用領域來劃分，可分為桌面操作系統(tǒng)（如Windows10家庭版）、服務器操作系統(tǒng)（WindowsServer2016）、嵌入式操作系統(tǒng)（SymbianOS）。根據(jù)所支持的用戶數(shù)目，可分為單用戶操作系統(tǒng)(如MSDOS、OS/2)、多用戶操作系統(tǒng)(如UNIX、Linux、Windows)。根據(jù)源代碼開放程度，可分為開源操作系統(tǒng)(如Linux、FreeBSD)和閉源操作系統(tǒng)(如MacOSX、Windows)。2Windows操作系統(tǒng)2.1 Windows起源2.2 Windows簡介2.3 Windows系統(tǒng)架構(1) 這4種用戶模式下的進程服務進程，比如任務調度器和打印機服務，這些服務一般都需要用戶登陸才可以運行。很多服務應用程序，比如sqlserver和exchangeserver都以服務的方式運行。用戶程序，可以是Windows32位或64位，Windows3.116位，MS-DOS16位，或者POSIX32位或64位，注意16位程序只能運行在32位系統(tǒng)上。環(huán)境子系統(tǒng)服務器進程，實現(xiàn)了部分支持操作系統(tǒng)的環(huán)境，也可以說是展現(xiàn)給用戶或者開發(fā)者的個性化界面。WindowsNT最初發(fā)布時帶有Windows，POSIX，OS/2三個子系統(tǒng)，Windows2000是最后帶有POSIX和OS/2的子系統(tǒng)，旗艦版和企業(yè)版的Windows也支持一個加強版的POSIX子系統(tǒng)，叫作SUA（基于UNIX的應用）。(2) 內(nèi)核模式的幾個組件①Windows執(zhí)行實體，包括基礎系統(tǒng)服務，比如內(nèi)存管理器，進程和線程管理器，安全管理，I/O管理，網(wǎng)絡，進程間通信。②Windows內(nèi)核，包括底層系統(tǒng)函數(shù)，比如線程調度，中斷，異常分發(fā)，多核同步。也提供了一些routine和實現(xiàn)高層結構的基礎對象。③設備驅動，包括硬件設備驅動（翻譯用戶I/O到硬件I/O），軟件驅動（例如文件和網(wǎng)絡驅動）。④硬件抽象層，獨立于內(nèi)核的一層代碼，將設備驅動與平臺的差異性分離開。⑤窗口和圖形系統(tǒng)，實現(xiàn)了GUI函數(shù)，處理用戶接口和繪圖2.4 Windows版本W(wǎng)indows發(fā)展史2.5 Windows操作系統(tǒng)特點(1) 直觀、高效、易學、易用的面向對象的圖形用戶界面(2) 用戶界面統(tǒng)一、友好、漂亮(3) 豐富的設備無關的圖形操作(4) 多任務、多用戶2.6 Windows的應用領域(1) 個人桌面系統(tǒng)(2) 企業(yè)服務器(3) 銀行ATM(4) 手機3Linux操作系統(tǒng)3.1 Linux發(fā)展史3.2 Linux系統(tǒng)架構Linux系統(tǒng)一般有4個主要部分：內(nèi)核、shell、文件系統(tǒng)和應用程序，管理文件并使用系統(tǒng)，如下圖所示。Linux系統(tǒng)架構(1) Linux內(nèi)核內(nèi)核是操作系統(tǒng)的核心，具有很多最基本功能，它負責管理系統(tǒng)的進程、內(nèi)存、設備驅動程序、文件和網(wǎng)絡系統(tǒng)，決定著系統(tǒng)的性能和穩(wěn)定性。Linux內(nèi)核由如下幾部分組成：內(nèi)存管理、進程管理、設備驅動程序、文件系統(tǒng)和網(wǎng)絡管理等。(2) LinuxShellshell是系統(tǒng)的用戶界面，提供了用戶與內(nèi)核進行交互操作的一種接口。它接收用戶輸入的命令并把它送入內(nèi)核去執(zhí)行，是一個命令解釋器。另外，shell編程語言具有普通編程語言的很多特點，用這種編程語言編寫的shell程序與其他應用程序具有同樣的效果。(3) Linux文件系統(tǒng)文件系統(tǒng)是文件存放在磁盤等存儲設備上的組織方法。Linux系統(tǒng)能支持多種目前流行的文件系統(tǒng)，如EXT2、EXT3、FAT、FAT32、VFAT和ISO9660。(4) Linux應用標準的Linux系統(tǒng)一般都有一套都有稱為應用程序的程序集，它包括文本編輯器、編程語言、XWindow、辦公套件、Internet工具和數(shù)據(jù)庫等。3.3 常見Linux操作系統(tǒng)常見的主要有RedHatLinux、CentOS、SuSE、Ubuntu、DebianGNU/Linux、Mandriva、Gentoo、Slackware、Knoppix、MEPIS和Xandros，以及國產(chǎn)的紅旗Linux、深度Linux和中標麒麟Linux等；3.4 常見Linux操作系統(tǒng)(1) 完全免費(2) 多用戶、多任務(3) 良好的界面(4) 支持多種平臺3.5 Linux的應用領域Linux的應用領域主要包括以下三個方面：(1) 桌面應用領域(2) 高端服務器領域(3) 嵌入式應用領域4服務器概述4.1 服務器定義從廣義上講，服務器是指網(wǎng)絡中能夠對其他機器提供服務的計算機系統(tǒng)。從狹義上來講，服務器是指某些高性能計算機，通過網(wǎng)絡提供給外部計算機一些業(yè)務服務。因此，在穩(wěn)定性、安全性、性能等方面都比普通PC要求更高。4.2 服務器特點服務器具有支持多處理器、高性能、高可用性、高利用性、高可擴展性、高可管理性等特點，如下圖所示：服務器特點4.3 服務器分類服務器的種類很多，具有多種分類方式：(1) 按應用層次劃分（入門級服務器、工作組服務器、部門級服務器、企業(yè)級服務器）；(2) 按體系架構劃分（x86服務器、非x86服務器）；(3) 按外形次分（機架式服務器、刀片服務器、塔式服務器、機柜式服務器）；5服務器軟件服務器管理軟件是一套處理|硬件、操作系統(tǒng)及應用軟件等不同層級|軟件管理及升級、系統(tǒng)資源管理、性能維護和監(jiān)控配置的程序。服務器軟件工作在客戶端-服務器（C/S）或瀏覽器-服務器(B/S)的方式，根據(jù)軟件的不同可以劃分為多種形式的服務器，常用的包括以下幾種：文件服務器、數(shù)據(jù)庫服務器、郵件服務器、網(wǎng)頁服務器、FTP服務器、域名服務器、時間同步服務器、代理服務器。6服務器安全威脅6.1 安全威脅概述6.2惡意程序惡意程序通常是指帶有攻擊意圖所編寫的一段程序。這些威脅可以分成兩個類別：需要宿主程序的威脅和彼此獨立的威脅。前者基本上是不能獨立于某個實際的應用程序、實用程序或系統(tǒng)程序的程序片段；后者是可以被操作系統(tǒng)調度和運行的自包含程序。惡意程序主要包括：陷門、邏輯炸彈、特洛伊木馬、蠕蟲、細菌、病毒等。6.3黑客暴力破解暴力破解一般指窮舉法，窮舉法的基本思想是根據(jù)題目的部分條件確定答案的大致范圍，并在此范圍內(nèi)對所有可能的情況逐一驗證，直到全部情況驗證完畢。若某個情況驗證符合題目的全部條件，則為本問題的一個解；若全部情況驗證后都不符合題目的全部條件，則本題無解。窮舉法也稱為枚舉法。6.4 SQL注入攻擊SQL注入攻擊，就是攻擊者把SQL命令插入到Web表單的輸入域或頁面請求的查詢字符串，欺騙服務器執(zhí)行惡意的SQL命令。6.5 DDoS攻擊DoS是DenialofService的簡稱，即拒絕服務，造成DoS的攻擊行為被稱為DoS攻擊，其目的是使計算機或網(wǎng)絡無法提供正常的服務。6.6 常見安全威脅防御方法服務器的安全威脅較多，針對不同的安全威脅，我們需要不同的防御方法，常見的幾種如表下表所示。安全威脅防御方法惡意程序1.不安裝可疑的軟件2.不打開陌生人的鏈接3.安裝殺毒軟件4.不訪問不正規(guī)的網(wǎng)站黑客暴力破解1.密碼足夠的復雜2.修改默認端口號3.不允許密碼登錄，只能通過認證的秘鑰登錄。SQL注入攻擊1.使用正則表達式過濾傳入的參數(shù)2.使用PreparedStatement代替Statement3.jsp中調用該函數(shù)檢查是否包函非法字符DDoS1.源認證2.指紋學習3.重定向域名7漏洞和補丁7.1 漏洞的定義漏洞是指一個系統(tǒng)存在的弱點或缺陷，系統(tǒng)對特定威脅攻擊或危險事件的敏感性，或進行攻擊的威脅作用的可能性。漏洞可能來自應用軟件或操作系統(tǒng)設計時的缺陷或編碼時產(chǎn)生的錯誤，也可能來自業(yè)務在交互處理過程中的設計缺陷或邏輯流程上的不合理之處。7.2 漏洞的危害漏洞對網(wǎng)絡系統(tǒng)的安全威脅有：普通用戶權限提升、獲取本地管理員權限、獲取遠程管理員權限、本地拒絕服務、遠程拒絕服務、服務器信息泄露、遠程非授權文件訪問、讀取受限文件、欺騙等。打開實驗《遠程代碼執(zhí)行漏洞復現(xiàn)》，教師讓學生觀看視頻，并動手演示實驗過程；7.3 漏洞的分類漏洞的種類繁多，不同的依據(jù)可以有不同的分類，主要有：(1) 根據(jù)漏洞被攻擊者利用的方式劃分（本地攻擊漏洞、遠程攻擊漏洞）；(2) 根據(jù)其對系統(tǒng)造成的潛在威脅以及被利用的可能性進行劃分（高級別漏洞、中級別漏洞、低級別漏洞）；7.4 漏洞存在的原因一般來說，系統(tǒng)漏洞存在的原因有以下幾種：(1) 軟件或協(xié)議設計時的瑕疵。(2) 軟件編寫存在Bug。(3) 系統(tǒng)的不當配置。(4) 安全意識薄弱。7.5 漏洞掃描漏洞掃描就是一種主動的防范措施，可以有效避免黑客攻擊行為。當然，黑客也可以使用漏洞掃描技術發(fā)現(xiàn)漏洞并發(fā)起攻擊。常見的掃描方法有：(1) Ping掃描：就是確認目標主機的TCP/IP的網(wǎng)絡是否聯(lián)通，也就是掃描的IP地址是否有設備在使用。(2) 端口掃描：端口掃描是用來探測主機開放的端口。一般是對指定IP地址進行某個端口值段或者端口的掃描。主要端口掃描又可以分為：全連接掃描、SYN掃描、隱蔽掃描；(3) 操作系統(tǒng)探測：用來探測目標主機的操作系統(tǒng)信息和提供服務的計算機程序信息。(4) 漏洞掃描：漏洞掃描用來探測目標主機系統(tǒng)是否存在漏洞，一般是對目標主機進行特定漏洞的掃描。根據(jù)是否主動發(fā)起掃描，又可以分為：主動掃描、被動掃描；7.6 補丁的定義補丁是專門修復這些BUG做的因為原來發(fā)布的軟件存在缺陷，發(fā)現(xiàn)之后另外編制一個小程序使其完善，這種小程序俗稱補丁。補丁是由軟件的原來作者制作的，可以訪問網(wǎng)站下載補丁。8典型漏洞攻擊案例8.1 WannaCry勒索攻擊8.2 水牢漏洞【學生練習】遠程代碼執(zhí)行漏洞復現(xiàn)實驗。【總結提煉】在本章中，我們了解到了操作系統(tǒng)的定義、windows和linux服務器的內(nèi)核、服務器的分類，常見服務器的功能以及常見服務器的安全威脅，并且對系統(tǒng)和軟件漏洞有了一個明確的認識，對于常見的漏洞補丁的修補和常見安全威脅我們也有了一定的解決方法?！菊n后作業(yè)】1、 服務器按應用層次劃分可以分為那幾類？（）A. 入門級服務器B. 工作組服務器C. 部門級服務器D. 企業(yè)級服務器2、 一臺在網(wǎng)絡上提供文件傳輸和訪問服務的一臺計算機是什么服務器。（）A. FTP服務器B. DNS服務器C. NTP服務器D. 數(shù)據(jù)庫服務器3、 服務器常見的安全威脅有哪些？（）A. 惡意破解B. 黑客暴力破解C. SQL注入攻擊D. DDOS攻擊4、 漏洞的常見危害有哪些？（）A. 權限繞過和權限提升B. 拒絕服務攻擊C. 數(shù)據(jù)泄露D. 執(zhí)行非授權指令5、 以下哪些是網(wǎng)絡漏洞存在的原因？（）A. 軟件或協(xié)議設計時的瑕疵B. 軟件編寫存在BugC. 系統(tǒng)和網(wǎng)絡的不當配置D. 安全意識薄弱6、 操作系統(tǒng)的主要功能中處理器管理包括以下幾個方面？（）A. 進程控制B. 進程同步C. 進程通信D. 進程調度7、 操作系統(tǒng)的主要功能中存儲器管理包括以下幾個方面？（）A. 內(nèi)存分配B. 內(nèi)存保護C. 內(nèi)存擴充D. 內(nèi)存檢測8、 操作系統(tǒng)的主要功能中設備管理包括以下幾個方面？（）A. 緩沖管理B. 設備分配C. 虛擬設備D. 設備安裝9、 操作系統(tǒng)的主要功能中作業(yè)管理包括以下幾個方面？（）A. 任務、界面管理B. 人機交互C. 圖形界面D. 語言控制10、操作系統(tǒng)的根據(jù)應用領域來劃分，可以分為那幾種？（）A. 桌面操作系統(tǒng)B. 單機操作系統(tǒng)C. 服務器操作系統(tǒng)D. 嵌入式操作系統(tǒng)【教學后記】ADDINCNKISM.UserStyle授課周次與課時：第5周第17-20課時累計20課時課程名稱：信息安全技術授課課題：主機安全防御教學目標：掌握防火墻的定義掌握殺毒軟件的定義學會區(qū)分殺毒軟件和防火墻掌握防火墻的分類掌握防火墻的主要功能教學要點：1.教學重點：防火墻主要功能2.教學難點：linux防火墻配置思政目標：加強學生對網(wǎng)絡安全宣傳周的認識，網(wǎng)絡安全為人民；愛國主義，通過學生對中國通信網(wǎng)絡規(guī)模的了解，增強學生的愛國主義意識；科技強國，通過學生對中國通信網(wǎng)絡規(guī)模的了解，增強學生科技強國的精神；課型：理實一體課教學與學法（教具）：多媒體教學過程：【課程思政/溫故知新】舉辦網(wǎng)絡安全宣傳周、提升全民網(wǎng)絡安全意識和技能，是國家網(wǎng)絡安全工作的重要內(nèi)容。國家網(wǎng)絡安全工作要堅持網(wǎng)絡安全為人民、網(wǎng)絡安全靠人民，保障個人信息安全，維護公民在網(wǎng)絡空間的合法權益。思政主題：科技強國、愛國主義我國信息通信網(wǎng)絡的跨越式發(fā)展，為數(shù)字經(jīng)濟發(fā)展提供堅實的平臺支撐，為中國經(jīng)濟轉型增添新動能，隨著高速便利、萬物互聯(lián)的寬帶網(wǎng)絡迅速發(fā)展，由此催生的新應用、新產(chǎn)業(yè)、新業(yè)務，正在改變每個人的生活。在這么大的使用量情況下，信息安全的要求也越來越高，防火墻技術作為個人用戶的第一道保護，其重要性越來越高?！拘抡n講授】1防火墻1.1防火墻定義防火墻（Firewall），也稱防護墻，是由CheckPoint創(chuàng)立者GilShwed于1993年發(fā)明并引入因特網(wǎng)。它是一種位于內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的網(wǎng)絡安全系統(tǒng)。一項信息安全的防護系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。防火墻是硬件、軟件、控制策略的集合，硬件和軟件是基礎，控制策略是關鍵，控制策略在表現(xiàn)形式上可分為兩種：一是除非明確禁止，否則允許；二是除非明確允許，否則禁止。1.2 防火墻分類發(fā)展四階段：基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻。從結構上來分，防火墻有兩種：即代理主機結構和路由器+過濾器結構，后一種為內(nèi)部網(wǎng)絡過濾器(Filter)路由器(Router)Internet。從原理上來分，防火墻則可以分成4種類型：特殊設計的硬件防火墻、數(shù)據(jù)包過濾型、電路層網(wǎng)關和應用級網(wǎng)關。從形態(tài)上分，防火墻可以分為硬件防火墻和軟件防火墻。從保護對象分，防火墻可以分為單機防火墻和網(wǎng)絡防火墻。1.3 Windows防火墻常見windows防火墻配置：允許程序或功能通過Windows防火墻：設置數(shù)據(jù)的通行規(guī)則；更改通知設置：設置通知規(guī)則；啟用或關閉Windows防火墻：防火墻開關界面；高級設置：自定義設置詳細的出入站規(guī)則和連接安全規(guī)則；還原默認設置：初始化Windows防火墻；對網(wǎng)絡進行疑難解答：檢測網(wǎng)絡出現(xiàn)的問題；返回防火墻主界面，單擊高級設置，進行Windows防火墻規(guī)則設置。1.4 Linux防火墻(1) Iptables簡介iptables是一個免費的包過濾防火墻，Iptables只是防火墻和用戶之間的接口，真正起到防火墻作用的是Linux內(nèi)核中運行的netfilter，Linux下的防火墻是由netfilter和iptables兩個組件構成的，現(xiàn)在的最新版本是3.5版。(2) Iptables結構Iptables的結構：iptables>表>鏈>規(guī)則。簡單地講，表由鏈組成，而鏈又由規(guī)則組成。(3) Iptables規(guī)則iptables定義規(guī)則的方式比較復雜:格式：iptables[-ttable]COMMANDchainCRETIRIA-jACTION-ttable：4個filternatmanglerawCOMMAND：定義如何對規(guī)則進行管理。chain：指定你接下來的規(guī)則到底是在哪個鏈上操作的，當定義策略的時候，是可以省略的。CRETIRIA:指定匹配標準。-jACTION:指定如何進行處理。比如：不允許/16進行訪問。iptables-tfilter-AINPUT-s/16-pudp--dport53-jDROP(4) Iptables鏈鏈是數(shù)據(jù)包傳播的路徑，每個鏈包含有一條或多條規(guī)則。當一個數(shù)據(jù)包到達一個鏈后，iptables會使用這個鏈中的第一條規(guī)則去匹配該數(shù)據(jù)包，查看該數(shù)據(jù)包是否符合這個規(guī)則所定義的條件，如果滿足，就根據(jù)該規(guī)則所定義的動作去處理該數(shù)據(jù)包，否則就繼續(xù)匹配下一條規(guī)則，如果該數(shù)據(jù)包不符合鏈中的所有規(guī)則，則使用該鏈的默認策略處理。iptables包含五條規(guī)則鏈，分別是：PREROUTING(路由前)、NPUT(數(shù)據(jù)包流入口)、FORWARD(轉發(fā)關卡)、OUTPUT(數(shù)據(jù)包出口)、POSTROUTING（路由后）這是NetFilter規(guī)定的五個規(guī)則鏈，任何一個數(shù)據(jù)包，只要經(jīng)過本機，必將經(jīng)過這五個鏈中的其中一個鏈。(5) Iptables表表提供特定的功能，iptables包含四個表：Filter表：數(shù)據(jù)包中允許或者不允許的策略。NAT表：地址轉換的功能。Mangle表：修改報文數(shù)據(jù)Raw表：決定數(shù)據(jù)包是否被狀態(tài)跟蹤機制處理。表的處理優(yōu)先級：raw>mangle>nat>filter。對于filter來講一般只能做在3個鏈上：INPUT，F(xiàn)ORWARD，OUTPUT。對于nat來講一般也只能做在3個鏈上：PREROUTING，OUTPUT，POSTROUTING。而mangle則是5個鏈都可以做：PREROUTING，INPUT，F(xiàn)ORWARD，OUTPUT，POSTROUTING。(6) Iptables數(shù)據(jù)包傳輸過程2殺毒軟件2.1 殺毒軟件定義殺毒軟件（anti-virussoftware），也叫反病毒軟件或者防毒軟件，是用來消除電腦病毒、惡意軟件和特洛伊木馬等計算機威脅的一類軟件。殺毒軟件通常集成監(jiān)控識別、病毒掃描和清除、自動升級病毒庫、主動防御等功能，有的殺毒軟件還帶有數(shù)據(jù)恢復等功能，是計算機防御系統(tǒng)（包含殺毒軟件、防火墻、特洛伊木馬和其他惡意軟件的查殺程序和入侵預防系統(tǒng)等）的重要組成部分。殺毒軟件是一種可以對病毒、木馬等一切已知的對計算機有危害的程序代碼進行清除的程序工具。2.2 殺毒軟件基本功能防范病毒：預防病毒入侵計算機。查找病毒：掃描計算機運行的程序或文件是否存在病毒，并能夠對比病毒庫準確報出病毒的名稱。清除病毒：根據(jù)不同類型的病毒對感染對象的修改，并按其感染特性進行恢復。2.3 殺毒軟件組成殺毒軟件一般由掃描器、病毒庫和虛擬機組成，并且由主程序將他們結為一體。掃描器是殺毒軟件的主體，主要用于掃描病毒，一個殺毒軟件的殺毒效果直接取決于掃描器編譯技術和算法的先進程度。所以，多數(shù)殺毒軟件都不止有一個掃描器。病毒庫是用來存儲病毒特征碼的，特征碼主要分為內(nèi)存特征碼和文件特征碼。文件特征碼一般要存在于一些未被執(zhí)行的文件里。內(nèi)存特征碼一般存在于已經(jīng)運行的應用程序。虛擬機可以使病毒在一個由殺毒軟件搭建的虛擬環(huán)境中執(zhí)行。2.4 殺毒軟件的關鍵技術殺毒軟件的技術有很多，但關鍵技術可以分為以下幾種:(1) 脫殼技術脫殼技術是殺毒軟件中常用的技術，可以對壓縮文件、加花文件、加殼文件、分裝類文件進行分析的技術。(2) 自我保護技術自我保護技術基本在各個殺毒軟件均含有，可以防止病毒結束殺毒軟件進程或篡改殺毒軟件文件。進程的自我保護有兩種：單進程自我保護，多進程自我保護。(3) 修復技術殺毒軟件在查殺病毒的時候一般是把被感染的文件直接刪除，這樣就可能出現(xiàn)誤刪一些系統(tǒng)文件，最后導致系統(tǒng)崩潰，無法啟動。而殺毒軟件的修復技術可以對損壞的文件進行修復。(4) 實時升級技術最早由金山毒霸提出，每一次連接互聯(lián)網(wǎng)，反病毒軟件都自動連接升級服務器查詢升級信息，如需要則進行升級。但是目前有更先進的云查殺技術，實時訪問云數(shù)據(jù)中心進行判斷，用戶無需頻繁升級病毒庫即可防御最新病毒。(5) 主動防御技術主動防御技術是通過動態(tài)仿真反病毒專家系統(tǒng)對各種程序動作的自動監(jiān)視，自動分析程序動作之間的邏輯關系，綜合應用病毒識別規(guī)則知識，實現(xiàn)自動判定病毒，達到主動防御的目的。(6) 啟發(fā)技術常規(guī)所使用的殺毒方法是出現(xiàn)新病毒后由殺毒軟件公司的反病毒專家從病毒樣本中提取病毒特征，通過定期升級的形式下發(fā)到各用戶電腦里達到查殺效果，但是這種方法費時費力。(7) 虛擬機技術采用人工智能（AI）算法，具備“自學習、自進化”能力，無需頻繁升級特征庫，就能免疫大部分的加殼和變種病毒，不但查殺能力領先，而且從根本上攻克了前兩代殺毒引擎“不升級病毒庫就殺不了新病毒”的技術難題，在海量病毒樣本數(shù)據(jù)中歸納出一套智能算法，自己來發(fā)現(xiàn)和學習病毒變化規(guī)律。它無需頻繁更新特征庫、無需分析病毒靜態(tài)特征、無需分析病毒行為。(8) 智能技術采用人工智能算法，具備“自學習、自進化”能力，無需頻繁升級特征庫，就能免疫大部分的變種病毒，查殺效果優(yōu)良，而且一定程度上解決了“不升級病毒庫就殺不了新病毒”的技術難題。2.5 國內(nèi)主流殺毒軟件2.6 殺毒軟件使用常識我們有必要知道一些殺毒軟件使用的常識，具體如下：①. 殺毒軟件不可能查殺所有病毒；②. 殺毒軟件能查到的病毒，不一定能殺掉；③. 一臺電腦每個操作系統(tǒng)下不必同時安裝兩套或兩套以上的殺毒軟件（除非有兼容或綠色版，其實很多殺軟兼容性很好，國產(chǎn)殺軟幾乎不用擔心兼容性問題），另外建議查看不兼容的程序列表；另外，殺毒軟件對被感染的文件殺毒有多種方式，常見的方式有以下幾種：①. 清除：清除被蠕蟲感染的文件，清除后文件恢復正常。相當于如果人生病，清除是給這個人治病，刪除是人生病后直接殺死。②. 刪除：刪除病毒文件。這類文件不是被感染的文件，本身就含毒，無法清除，可以刪除。③. 禁止訪問：禁止訪問病毒文件。在發(fā)現(xiàn)病毒后用戶如選擇不處理則殺毒軟件可能將病毒禁止訪問。用戶打開時會彈出錯誤對話框，內(nèi)容是“該文件不是有效的Win32文件”。④. 隔離：病毒刪除后轉移到隔離區(qū)。用戶可以從隔離區(qū)找回刪除的文件。隔離區(qū)的文件不能運行。⑤. 不處理：不處理該病毒。如果用戶暫時不知道是不是病毒可以暫時先不處理?！緦W生練習】Windows防火墻和linux防火墻配置實驗?！军c評】【總結提煉】在本章中，我們學習了防火墻的基礎知識，學會了windows防火墻的使用和配置，學會了linux防火墻的配置，對于一些常見IP、端口的控制，有了一個較為深刻的理解；接下來我們還學習了殺毒軟件的一些知識，對于殺毒軟件的功能、組成、關鍵技術知識進行了系統(tǒng)學習，對于殺毒軟件的選擇也有了充分的了解，為大家以后的生活和工作提供了有效的幫助?！菊n后作業(yè)】Windows防火墻屬于以下哪些分類（）硬件防火墻軟件防火墻單機防火墻網(wǎng)絡防火墻Linux防火墻的名稱是（）FirewallSelinuxIptablesWFCIptables包含五條規(guī)則鏈，分別是：（）PREROUTING(路由前)INPUT(數(shù)據(jù)包流入口)FORWARD(轉發(fā)關卡)OUTPUT(數(shù)據(jù)包出口)POSTROUTING（路由后）iptables包含四個表，分別是：（）Filter表NAT表Mangle表Raw表以下哪些是殺毒軟件的組成部分（）掃描器病毒庫虛擬機防火墻以下哪些是殺毒軟件是國產(chǎn)軟件（ABD）360殺毒金山毒霸熊貓殺毒江民殺毒軟件的基本功能有哪些（）防范病毒查找病毒清除病毒制造病毒殺毒軟件的關鍵技術有哪些（）脫殼技術自我保護技術修復技術實時升級技術主動防御技術【教學后記】ADDINCNKISM.UserStyle授課周次與課時：第6周第21-24課時累計24課時課程名稱：信息安全技術授課課題：防火墻介紹教學目標：了解防火墻基本概念了解防火墻轉發(fā)原理了解防火墻安全策略掌握防火墻安全策略和配置教學要點：1.教學重點：掌握防火墻轉發(fā)原理2.教學難點：學會防火墻安全策略配置思政目標：加強學生網(wǎng)絡安全和人民關系的認識，共筑網(wǎng)絡安全防線；愛國主義，通過學生對中國網(wǎng)信事件的了解，增強學生的愛國主義意識；網(wǎng)絡強國，通過學生對中國數(shù)字基礎設施的學習，增強學生網(wǎng)絡強國的意識；課型：理實一體課教學與學法（教具）：多媒體教學過程：【課程思政/溫故知新】網(wǎng)絡安全為人民，網(wǎng)絡安全靠人民，維護網(wǎng)絡安全是全社會共同的責任，需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與，共筑網(wǎng)絡安全防線。思政主題：網(wǎng)絡強國、愛國主義習近平總書記指出“沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”“要從國際國內(nèi)大勢出發(fā)，總體布局，統(tǒng)籌各方，創(chuàng)新發(fā)展，努力把我國建設成為網(wǎng)絡強國”。主章通過對華為防火墻的學習，主要了解防火墻的基本概念、安全策略、轉發(fā)原理，以及學會如何配置防火墻?！拘抡n講授】一、防火墻概述1、防火墻特征硬件防火墻，它是將各種安全技術融合在一起，采用專用的硬件結構，選用高速的CPU、嵌入式的操作系統(tǒng)，支持各種高速接口（LAN接口），用來保護私有網(wǎng)絡（計算機）的安全，這樣的設備我們稱為硬件防火墻。硬件防火墻可以獨立于操作系統(tǒng)（HP-UNIX、SUNOS、AIX、NT等）、計算機設備（IBM6000、普通PC等）運行。它用來集中解決網(wǎng)絡安全問題，可以適合各種場合，同時能夠提供高效率的“過濾”。同時它可以提供包括訪問控制、身份驗證、數(shù)據(jù)加密、VPN技術、地址轉換等安全特性，用戶可以根據(jù)自己的網(wǎng)絡環(huán)境的需要配置復雜的安全策略，阻止一些非法的訪問，保護自己的網(wǎng)絡安全。2、防火墻分類防火墻發(fā)展至今已經(jīng)歷經(jīng)三代，分類方法也各色各樣，例如按照形態(tài)劃分可以分為硬件防火墻及軟件防火墻；按照保護對象劃分可以分為單機防火墻及網(wǎng)絡防火墻等。但總的來說，最主流的劃分方法是按照訪問控制方式進行分類，可以分為以下三種：包過濾防火墻代理防火墻狀態(tài)檢測防火墻3、防火墻組網(wǎng)方式方式一：防火墻只進行報文轉發(fā)，不能進行路由尋址，與防火墻相連兩個業(yè)務網(wǎng)絡必須在同一個網(wǎng)段中。此時防火墻上下行接口均工作在二層，接口無IP地址。方式二：防火墻位于內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間時，與內(nèi)部網(wǎng)絡、外部網(wǎng)絡相連的上下行業(yè)務接口均工作在三層，需要分別配置成不同網(wǎng)段的IP地址，防火墻負責在內(nèi)部網(wǎng)絡、外部網(wǎng)絡中進行路由尋址，相當于路由器。二、防火墻轉發(fā)原理1、包過濾技術包過濾能夠通過報文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、源端口號、目的端口號、上層協(xié)議等信息組合定義網(wǎng)絡中的數(shù)據(jù)流，其中源IP地址、目的IP地址、源端口號、目的端口號、上層協(xié)議就是在狀態(tài)檢測防火墻中經(jīng)常所提到的五無組，也是組成TCP/UDP連接非常重要的五個元素。2、防火墻安全策略安全策略定義安全策略原理安全策略分類3、防火墻的轉發(fā)原理現(xiàn)在的防火墻產(chǎn)品主要采用了“狀態(tài)檢測”機制來進行包過濾?！盃顟B(tài)檢測”機制以流量為單位來對報文進行檢測和轉發(fā)，即對一條流量的第一個報文進行包過濾規(guī)則檢查，并將判斷結果作為該條流量的“狀態(tài)”記錄下來。對于該流量的后續(xù)報文都直接根據(jù)這個“狀態(tài)”來判斷是轉發(fā)（或進行內(nèi)容安全檢測）還是丟棄。這個“狀態(tài)”就是我們平常所述的會話表項。這種機制迅速提升了防火墻產(chǎn)品的檢測速率和轉發(fā)效率，已經(jīng)成為目前主流的包過濾機制。4、防火墻的查詢和創(chuàng)建會話什么是會話表會話是狀態(tài)檢測防火墻的基礎，每一個通過防火墻的數(shù)據(jù)流都會在防火墻上建立一個會話表項，以五元組為Key值，通過建立動態(tài)的會話表提供域間轉發(fā)數(shù)據(jù)流更高的安全性。查看會話表信息① displayfirewallsessiontable命令顯示會話表簡要信息② displayfirewallsessiontableverbose命令顯示會話表詳細信息三、防火墻安全策略及應用1、安全策略的工作流程安全策略匹配原則安全策略業(yè)務流程下一代防火墻的安全策略優(yōu)勢2、安全策略的配置流程3、配置安全策略（SLI）（WEB）四、ASPF技術1、ASPF概述ASPF（ApplicationSpecificPacketFilter）是一種高級通信過濾技術，它負責檢查應用層協(xié)議信息并且監(jiān)控連接的應用層協(xié)議狀態(tài)。對于特定應用協(xié)議的所有連接，每一個連接狀態(tài)信息都將被ASPF監(jiān)控并動態(tài)的決定數(shù)據(jù)包是否被允許通過防火墻或丟棄。2、多通道協(xié)議技術通信過程中需占用兩個或兩個以上端口的協(xié)議。如：FTP被動模式下需占用21端口以及一個隨機端口。3、ASPF對多通道協(xié)議的支持在多通道協(xié)議中，如FTP，控制通道和數(shù)據(jù)通道是分開的。數(shù)據(jù)通道是在控制報文中動態(tài)協(xié)商出來的，為了避免協(xié)商出來的通道不因其他規(guī)則的限制（如ACL）而中斷，需要臨時開啟一個通道，ServerMap就是為了滿足這種應用而設計的一種數(shù)據(jù)結構。4、ServerMap表項5、端口識別對多通道協(xié)議的支持端口識別，也稱端口映射，是防火墻用來識別使用非標準端口的應用層協(xié)議報文。端口映射支持的應用層協(xié)議包括FTP、HTTP、RTSP、PPTP、MGCP、MMS、SMTP、H323、SIP、SQLNET。6、分片緩存分片緩存配置相關命令：配置分片緩存老化時間命令Firewallsessionaging-timefragmentinterval(1-40000)；開啟/關閉分片報文直接轉發(fā)功能命令Firewallfragment-forwardenable/disable；7、長連接長連接相關命令：配置長連接老化時間Firewalllong-linkaging-timetime；開啟長連接功能Firewallinterzonezone-name1zone-name2；lonk-linkacl-number{inbound|outbound}；【學生練習】綜合實驗：基于IP地址的轉發(fā)策略實驗目的：掌握基于IP地址控制訪問的配置方法實驗拓撲圖，如圖10-37所示：圖10-37實驗拓撲圖實驗步驟（CLI）步驟一：配置各個接口的IP地址并加入相應的安全區(qū)域。<SRG>system-view配置防火墻各接口的IP地址，命令如下：[USG]interfaceGigabitEthernet0/0/0[USG-GigabitEthernet0/0/0]ipaddress24[USG-GigabitEthernet0/0/0]interfaceGigabitEthernet0/0/1[USG-GigabitEthernet0/0/1]ipaddress24[USG-GigabitEthernet0/0/1]quit將防火墻的G0/0/0接口加入trust區(qū)域[SRG]firewallzonetrust[USG-zone-trust]addinterfaceGigabitEthernet0/0/0[USG-zone-trust]quit將防火墻的0/0/1接口加入untrust區(qū)域[USG]firewallzoneuntrust[USG-zone-untrust]addinterfaceGigabitEthernet0/0/1[USG-zone-untrust]quit步驟二：配置名稱為ip_deny的地址集，將幾個不允許通過防火墻的IP地址加入地址集。創(chuàng)建名稱為ip_deny的地址集[USG]ipaddress-setip_denytypeobject將不允許通過防火墻的IP地址加入ip_deny地址集[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]address0[USG-object-address-set-ip_deny]quit步驟三：創(chuàng)建不允許通過防火墻IP地址的轉發(fā)策略。[USG]security-policy[USG-policy-security]rulenamepolicy_deny[USG-policy-security-rule-policy_deny]source-addressaddress-setip_deny[USG-policy-security-rule-policy_deny]actiondeny[USG-policy-security-rule-policy_deny]quit步驟四：創(chuàng)建允許其他屬于/24這個網(wǎng)段的IP地址通過防火墻的轉發(fā)策略。[USG]security-policy[USG-policy-security]rulenamepolicy_permit[USG-policy-security-rule-policy_permit]source-address24[USG-policy-security-rule-policy_permit]actionpermit[USG-policy-security-rule-policy_permit]quit步驟五：測試不同IP地址通過防火墻的情況。Trust區(qū)域三臺PC分別用ping命令測試與untrust區(qū)域的www服務器的連通情況，應該只有PC3的可以ping通服務器。實驗步驟（Web）步驟一：配置各個接口的IP地址，并加入相應的安全區(qū)域，如圖10-38所示。選擇“網(wǎng)絡>接口>GE1/0/0”，配置接口IP地址，并加入到Trust區(qū)域。圖10-38接口加入安全區(qū)域重復上述步驟配置接口GE1/0/1的IP地址并加入Untrust區(qū)域。步驟二：配置地址集，如圖10-39所示。配置名稱為ip_deny的地址集，將幾個不允許上網(wǎng)的IP地址加入地址集。選擇“對象>地址>地址”，單擊“新建”，配置地址的各項參數(shù)。圖10-39配置地址集重復上述步驟配置名稱為ip_permit的地址集，將/24的網(wǎng)段加入地址集。步驟3：創(chuàng)建拒絕特殊的幾個IP地址訪問Internet的轉發(fā)策略。選擇“策略>安全策略>安全策略”，單擊“新建”，并輸入各項參數(shù)，如圖10-40所示。圖10-40配置拒絕轉發(fā)策略步驟四：創(chuàng)建允許/24這個網(wǎng)段訪問Internet的轉發(fā)策略，如圖10-41所示。圖10-41配置允許轉發(fā)策略步驟五：驗證結果，如圖10-42所示。配置好各PC的IP地址和網(wǎng)關。經(jīng)過驗證，發(fā)現(xiàn)、和這3臺PC無法訪問Internet；而/24中的其他IP地址均可以正常訪問Internet。圖10-42驗證實驗結果【學生練習】Windows防火墻和linux防火墻配置實驗?！军c評】【總結提煉】本章主要講解防火墻包過濾技術原理、防火墻轉發(fā)原理、防火墻安全策略應用場景及配置方法，通過原理的講解，配置的實操，使學生有一個更加鮮明的認識?！菊n后作業(yè)】包過濾與狀態(tài)檢查機制、會話表之間有哪些關聯(lián)關系？ServerMap表項的具體作用是什么？分片緩存中首包分片和其他分片在報文格式上有何區(qū)別？首包分片先到如何處理？晚到如何處理？端口識別（端口映射）主要應用于什么場景之下？以下哪些情況會產(chǎn)生ServerMap表？()配置NATNo-PAT配置NAT服務器映射配置ASPF配置防火墻的長連接默認情況下，防火墻有4個安全區(qū)域，且不能修改安全級別。（）正確錯誤【教學后記】ADDINCNKISM.UserStyle授課周次與課時：第7周第25-28課時累計28課時課程名稱：信息安全技術授課課題：網(wǎng)絡地址轉換技術（NAT）教學目標：了解NAT的技術原理了解NAT幾種應用方式掌握防火墻的NAT配置教學要點：1.教學重點：掌握NAT幾種應用方式2.教學難點：學會防火墻的NAT配置思政目標：加強學生對網(wǎng)絡空間的認識，共建符合人民利益的網(wǎng)絡空間；愛國主義，通過學生對雪人計劃的提出和實施，增強學生的愛國主義意識；科技強國，通過學生對雪人計劃的中國貢獻，增強學生科技強國的精神；課型：理實一體課教學與學法（教具）：多媒體教學過程：【課程思政/溫故知新】網(wǎng)絡空間是億萬民眾共同的精神家園。網(wǎng)絡空間天朗氣清、生態(tài)良好，符合人民利益;網(wǎng)絡空間烏煙瘴氣、生態(tài)惡化，不符合人民利益。誰都不愿生活在充滿虛假、詐騙、攻擊、謾罵、恐怖、色情、暴力的網(wǎng)絡空間。思政主題：科技強國、愛國主義2014年，美國政府宣布，2015年9月30日后，其商務部下屬的國家通信與信息管理局（NTIA）與國際互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構（ICANN）將不再續(xù)簽外包合作協(xié)議。在此背景下，由我國下一代互聯(lián)網(wǎng)工程中心領銜發(fā)起，聯(lián)合WIDE機構（現(xiàn)國際互聯(lián)網(wǎng)M根運營者）等共同創(chuàng)立了“雪人計劃（YetiDNSProject）”項目，并于2015年6月23日正式對外發(fā)布。該項目是基于全新技術架構的全球下一代互聯(lián)網(wǎng)(IPv6)根服務器測試和運營實驗項目，旨在打破現(xiàn)有的根服務器困局，為下一代互聯(lián)網(wǎng)提供更多的根服務器解決方案。2017年11月28日，“雪人計劃”已在全球完成25臺IPv6（互聯(lián)網(wǎng)協(xié)議第六版）根服務器架設，中國部署了其中的4臺，由1臺主根服務器和3臺輔根服務器組成，打破了中國過去沒有根服務器的困境。但就目前來說，IPv4地址的缺乏問題對我國網(wǎng)絡經(jīng)濟的發(fā)展帶來了巨大的影響，NAT技術的應用給我們帶來了解決辦法?！拘抡n講授】一、網(wǎng)絡地址轉換技術概述1、NAT產(chǎn)生背景早在上世紀90年代初，有關RFC文檔就提出IP地址耗盡的可能性。基于TCP/IP協(xié)議的Web應用使互聯(lián)網(wǎng)迅速擴張，IPv4地址申請量越來越大?；ヂ?lián)網(wǎng)可持續(xù)發(fā)展的問題日益嚴重。中國的運營商每年向ICANN申請的IP地址數(shù)量為全球最多。曾經(jīng)有專家預言，根據(jù)互聯(lián)網(wǎng)的發(fā)展速度，到2011年左右，全球可用的IPv4地址資源將全部耗盡。那么必須使用一些技術手段來延長IPv4的壽命。而技術的發(fā)展確實有效延緩了IPv4地址的衰竭，專家預言的地址耗盡的情況并未出現(xiàn)。其中廣泛使用的技術包括無類域間路由（CIDR，ClasslessInter-DomainRouting）、可變長子網(wǎng)掩碼（VLSM，VariableLengthSubnetMask）和網(wǎng)絡地址轉換（NAT，NetworkAddressTranslation）。2、為什么需要NAT私網(wǎng)地址出現(xiàn)的目的是為了實現(xiàn)地址的復用，提高IP地址資源的利用率，為了滿足一些實驗室、公司或其他組織的獨立于Internet之外的私有網(wǎng)絡的需求，RFCA（RequestsForComment）1918為私有使用留出了三個IP地址段。具體如下：A類IP地址中的～55（/8）B類IP地址中的～55（/12）C類IP地址中的～55（/16）因此，使用私網(wǎng)地址和外網(wǎng)進行通信，必須使用NAT技術進行地址轉換，以保證通信正常。3、NAT技術的基本原理NAT是將IP數(shù)據(jù)報文報頭中的IP地址轉換為另一個IP地址的過程，主要用于實現(xiàn)內(nèi)部網(wǎng)絡（私有IP地址）訪問外部網(wǎng)絡（公有IP地址）的功能。從實現(xiàn)上來說，一般的NAT轉換設備（實現(xiàn)NAT功能的網(wǎng)絡設備）都維護著一張地址轉換表，所有經(jīng)過NAT轉換設備并且需要進行地址轉換的報文，都會通過這個表做相應的修改。地址轉換的機制分為如下兩個部分：內(nèi)部網(wǎng)絡主機的IP地址和端口轉換為NAT轉換設備外部網(wǎng)絡地址和端口。外部網(wǎng)絡地址和端口轉換為NAT轉換設備內(nèi)部網(wǎng)絡主機的IP地址和端口。NAT技術也就是在<私有地址+端口>與<公有地址+端口>之間進行相互轉換。NAT轉換設備處于內(nèi)部網(wǎng)絡和外部網(wǎng)絡的連接處。內(nèi)部的PC與外部服務器的交互報文全部通過該NAT轉換設備。常見的NAT轉換設備有路由器、防火墻等。4、NAT分類① 源NAT（SourceNAT）：用來使多個私網(wǎng)用戶能夠同時訪問Internet。② 服務器映射：用來使外網(wǎng)用戶能夠訪問私網(wǎng)服務器。③ 目的NAT（DestinationNAT）：用來使手機上網(wǎng)的業(yè)務流量送往正確的WAP網(wǎng)關。5、NAT的優(yōu)點和缺點（1）NAT的優(yōu)點可以使一個局域網(wǎng)中的多臺主機使用少數(shù)的合法地址訪問外部的資源，也可以設定內(nèi)部的WWW、FTP、Telnet等服務提供給外部網(wǎng)絡使用，解決了IP地址日益短缺的問題。對于內(nèi)外網(wǎng)絡用戶，感覺不到IP地址轉換的過程，整個過程對于用戶來說是透明的。對內(nèi)網(wǎng)用戶提供隱私保護，外網(wǎng)用戶不能直接獲得內(nèi)網(wǎng)用戶的IP地址、服務等信息，具有一定的安全性。通過配置多個相同的內(nèi)部服務器的方式可以減小單個服務器在大流量時承擔的壓力，實現(xiàn)服務器負載均衡。（2）NAT的不足由于需要對數(shù)據(jù)報文進行IP地址的轉換，涉及IP地址的數(shù)據(jù)報文的報頭不能被加密。在應用協(xié)議中，如果報文中有地址或端口需要轉換，則報文不能被加密。例如，不能使用加密的FTP連接，否則FTP的port命令不能被正確轉換。網(wǎng)絡監(jiān)管變得更加困難。例如，如果一個黑客從內(nèi)網(wǎng)攻擊公網(wǎng)上的一臺服務器，那么要想追蹤這個攻擊者很難。因為在報文經(jīng)過NAT轉換設備的時候，地址經(jīng)過了轉換，不能確定哪臺才是黑客的主機。二、源NAT技術1、NAT地址池（1）創(chuàng)建NAT地址池命令 nataddress-guoupaddress-group-name section[section-id|section-name]start-addressend-address nat-mode{pat|no-pat}在WEB界面配置地址池（見圖11-3）地址池特性2、NAT轉換方式不帶端口轉換不帶端口轉換的地址池方式通過配置NAT地址池來實現(xiàn)，NAT地址池中可以包含多個公網(wǎng)地址。轉換時只轉換地址，不轉換端口，實現(xiàn)私網(wǎng)地址到公網(wǎng)地址一對一的轉換。如果地址池中的地址已經(jīng)全部分配出去，則剩余內(nèi)網(wǎng)主機訪問外網(wǎng)時不會進行NAT轉換，直到地址池中有空閑地址時才會進行NAT轉換。（2）帶端口轉換此方式下，由于地址轉換的同時還進行端口的轉換，可以實現(xiàn)多個私網(wǎng)用戶共同使用一個公網(wǎng)IP地址上網(wǎng)，防火墻根據(jù)端口區(qū)分不同用戶，所以可以支持同時上網(wǎng)的用戶數(shù)量更多。（3）出接口地址方式（EasyIP）出接口地址方式也稱為EasyIP，即直接使用接口的公網(wǎng)地址作為轉換后的地址，不需要配置NAT地址池。轉換時會同時轉換地址和端口，即可實現(xiàn)多個私網(wǎng)地址共用外網(wǎng)接口的公網(wǎng)地址的需求。3、配置源NAT策略命令視圖Web視圖4、NATALG現(xiàn)在的防火墻產(chǎn)品主要采用了“狀態(tài)檢測”機制來進行包過濾?！盃顟B(tài)檢測”機制以流量為單位來對報文進行檢測和轉發(fā)，即對一條流量的第一個報文進行包過濾規(guī)則檢查，并將判斷結果作為該條流量的“狀態(tài)”記錄下來。對于該流量的后續(xù)報文都直接根據(jù)這個“狀態(tài)”來判斷是轉發(fā)（或進行內(nèi)容安全檢測）還是丟棄。這個“狀態(tài)”就是我們平常所述的會話表項。這種機制迅速提升了防火墻產(chǎn)品的檢測速率和轉發(fā)效率，已經(jīng)成為目前主流的包過濾機制。4、防火墻的查詢和創(chuàng)建會話為什么需要NATALGNATALG（ApplicationLevelGateway，應用級網(wǎng)關）是特定的應用協(xié)議的轉換代理，可以完成應用層數(shù)據(jù)中所攜帶的地址及端口號的轉換。NATALG實現(xiàn)原理NAT與ServerMap表USG設備引入了Server-map表，Server-map基于三元組，用于存放一種映射關系，這種映射關系可以是控制數(shù)據(jù)協(xié)商出來的數(shù)據(jù)連接關系，也可以是配置NAT中的地址映射關系，使得外部網(wǎng)絡能透過設備主動訪問內(nèi)部網(wǎng)絡。三、服務器映射及目的NAT技術1、NATServer內(nèi)部服務器內(nèi)部服務器（NATServer）功能是指使用一個公網(wǎng)地址來代表內(nèi)部服務器的對外地址。NATServer特性使用NAT可以靈活地添加內(nèi)部服務器。例如：可以使用等公網(wǎng)地址作為Web服務器的外部地址，甚至還可以使用:8080這樣的IP地址加端口號的方式作為Web的外部地址。外部用戶訪問內(nèi)部服務器時，有如下兩部分操作：防火墻將外部用戶的請求報文的目的地址轉換成內(nèi)部服務器的私有地址；防火墻將內(nèi)部服務器的回應報文的源地址（私網(wǎng)地址）轉換成公網(wǎng)地址。NATServer配置（SLI）（WEB）NATServer是最常用的基于目的地址的NAT。當內(nèi)網(wǎng)部署了一臺服務器，其真實IP是私網(wǎng)地址，但是希望公網(wǎng)用戶可以通過一個公網(wǎng)地址來訪問該服務器，這時可以配置NATServer，使設備將公網(wǎng)用戶訪問該公網(wǎng)地址的報文自動轉發(fā)給內(nèi)網(wǎng)服務器。（WEB方式）2、目的NAT在移動終端訪問無線網(wǎng)絡時，如果其缺省WAP網(wǎng)關地址與所在地運營商的WAP網(wǎng)關地址不一致時，可以在終端與WAP網(wǎng)關中間部署一臺設備，并配置目的NAT功能，使設備自動將終端發(fā)往錯誤WAP網(wǎng)關地址的報文自動轉發(fā)給正確的WAP網(wǎng)關。目的NAT配置命令四、11.4 雙向NAT技術1、雙向NAT技術概述常規(guī)地址轉換技術只轉換報文的源地址或目的地址，而雙向地址轉換（BidirectionalNAT）技術可以將報文的源地址和目的地址同時轉換，該技術應用于內(nèi)部網(wǎng)絡主機地址與公網(wǎng)上主機地址重疊的情況。雙向NAT技術可以分為兩種應用場景：域間雙向NAT（NATServer+源NAT）域內(nèi)雙向NAT2、多通道協(xié)議技術2、域間雙向NAT技術為了簡化配置服務器至公網(wǎng)的路由，可在NATServer基礎上，增加源NAT配置。當配置NATServer時，服務器需要配置到公網(wǎng)地址的路由才可正常發(fā)送回應報文。如果要簡化配置，避免配置到公網(wǎng)地址的路由，則可以對外網(wǎng)用戶的源IP地址也進行轉換，轉換后的源IP地址與服務器的私網(wǎng)地址在同一網(wǎng)段。這樣內(nèi)部服務器會缺省將回應報文發(fā)給網(wǎng)關，即設備本身，由設備來轉發(fā)回應報文。4、域內(nèi)雙向NAT技術3、端口識別對多通道協(xié)議的支持端口識別，也稱端口映射，是防火墻用來識別使用非標準端口的應用層協(xié)議報文。端口映射支持的應用層協(xié)議包括FTP、HTTP、RTSP、PPTP、MGCP、MMS、SMTP、H323、SIP、SQLNET。6、分片緩存分片緩存配置相關命令：配置分片緩存老化時間命令Firewallsessionaging-timefragmentinterval(1-40000)；開啟/關閉分片報文直接轉發(fā)功能命令Firewallfragment-forwardenable/disable；7、長連接長連接相關命令：配置長連接老化時間Firewalllong-linkaging-timetime；開啟長連接功能Firewallinterzonezone-name1zone-name2；lonk-linkacl-number{inbound|outbound}；【學生練習】綜合實驗：基于IP地址的轉發(fā)策略實驗目的：掌握基于IP地址控制訪問的配置方法實驗拓撲圖，如圖10-37所示：圖10-37實驗拓撲圖實驗步驟（CLI）步驟一：配置各個接口的IP地址并加入相應的安全區(qū)域。<SRG>system-view配置防火墻各接口的IP地址，命令如下：[USG]interfaceGigabitEthernet0/0/0[USG-GigabitEthernet0/0/0]ipaddress24[USG-GigabitEthernet0/0/0]interfaceGigabitEthe