空間使用：完全>差異>增量

備份速度：增量>差異>完全

恢復(fù)速度：完全>差異>增量

拓展：增量備份與差異備份區(qū)別

第一天完全備份，第二天增量備份，第三天增量備份?；謴?fù)時(shí)需要先恢復(fù)第一天的完全備份再恢復(fù)第二天的增量備份再恢復(fù)第三天的增量備份。

第一天完全備份，第二天差異備份，第三天差異備份?；謴?fù)時(shí)先恢復(fù)第一天的完全備份后只需再恢復(fù)第三天的差異備份。

三、冷備份與熱備份(了解)

1.冷備份

　　冷備份是指“離線”的備份，當(dāng)進(jìn)行冷備份操作時(shí)，將不允許來(lái)自用戶與應(yīng)用對(duì)數(shù)據(jù)的更新。

2.熱備份

　　熱備份是指“在線”的備份，即下載備份的數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中，只不過(guò)傳到另一個(gè)非工作的分區(qū)。

10.1.3 加密技術(shù)

一、加密算法與解密算法

? ? ? ?

? ? ? ?1.基本流程

　　A發(fā)送消息“Password is welcome”這樣的報(bào)文給B，但不希望有第三個(gè)人知道這個(gè)報(bào)文的內(nèi)容，因此他使用一定的加密算法，將該報(bào)文轉(zhuǎn)換為別人無(wú)法識(shí)別的密文，這個(gè)密文即使在傳輸?shù)倪^(guò)程中被截獲，一般人也無(wú)法解密。當(dāng)B收到該密文后，使用共同協(xié)商的解密算法與密鑰，則將該密文轉(zhuǎn)化為原來(lái)的報(bào)文內(nèi)容。

2.密鑰

　　加密與解密的操作過(guò)程都是在一組密鑰的控下進(jìn)行的，這個(gè)密鑰可以作為加密算法中可變參數(shù)，它的改變可以改變明文與密文之間的數(shù)學(xué)函數(shù)關(guān)系。

表10-2 ?密鑰位數(shù)與嘗試密鑰的個(gè)數(shù)

二、對(duì)稱密碼體制

　　對(duì)稱密鑰技術(shù)即是指加密技術(shù)的加密密鑰與解密密鑰是相同的，或者是有些不同，但同其中一個(gè)可以很容易地推導(dǎo)出另一個(gè)。

　　對(duì)稱加密算法中N個(gè)用戶之間進(jìn)行加密通信時(shí)，則需要N (N-1)個(gè)密鑰。

? ? ? ?

? ? ? ?DES算法是一種迭代的分組密碼，它的輸入與輸出都是64，包括一個(gè)56位的密鑰和附加的8位奇偶校驗(yàn)位。 目前比DES算法更安全的對(duì)稱算法有：IDEA．RC2、RC4與Skipjack等。

對(duì)稱加密的工作原理

三、非對(duì)稱密碼體制

　　加密和解密使用不同的秘鑰，加密密鑰為公鑰是可以公開(kāi)的，而解密密鑰為私鑰是保密的。因此，非對(duì)稱密鑰技術(shù)也被稱為公鑰加密加技術(shù)。

? ? ? ?

? ? ? ?　　非對(duì)稱加密技術(shù)中N個(gè)用戶之間進(jìn)行通信加密，僅需要N對(duì)密鑰(即2N個(gè))就可以了。常用的加密算法有RSA算法、DSA算法、PKCS算法與PGP算法。（08上）注意問(wèn)”對(duì)“還是”個(gè)“

非對(duì)稱加密工作原理

10.1.4 防病毒技術(shù)

10.1.4 ?防病毒技術(shù)（了解）

一、計(jì)算機(jī)病毒

　　計(jì)算機(jī)病毒是指計(jì)算機(jī)程序中的一段可執(zhí)行程序代理，它可以破壞計(jì)算機(jī)的功能甚至破壞數(shù)據(jù)從而影響計(jì)算機(jī)的能力。計(jì)算機(jī)病毒通過(guò)對(duì)其他程序的修改，可以感染這些程序，使其成為病毒程序的復(fù)制，使之很快蔓延開(kāi)來(lái)，很難根除。

1.計(jì)算機(jī)病毒的特征

（1）非授權(quán)可執(zhí)行性

（2）隱蔽性

（3）傳染性

（4）潛伏性

（5）破壞性

（6）可觸發(fā)性

2.計(jì)算機(jī)病毒分類

（1）按寄生分類

（2）按破壞性分類

二、網(wǎng)絡(luò)病毒

網(wǎng)絡(luò)病毒的特征：

（1）傳播方式多樣，傳播速度更快。

（2）影響面更廣

（3）破壞性更強(qiáng)

（4）難以控制和根除

（5）編寫(xiě)方式多樣，病毒變種多樣

（6）病毒智能化、隱蔽化

（7）出現(xiàn)混合病毒

三、惡意代碼

1.蠕蟲(chóng)

　　蠕蟲(chóng)是是一個(gè)自我包含的程序，它能夠傳播自身的功能或拷貝自身的片段到其他計(jì)算機(jī)系統(tǒng)（通常是通過(guò)網(wǎng)絡(luò)連接）。

2.木馬（10上）

　　“木馬”通常寄生在用戶計(jì)算機(jī)系統(tǒng)中，盜用用戶信息，并通過(guò)網(wǎng)絡(luò)發(fā)送給黑客。與病毒不同之處在于沒(méi)有自我復(fù)制功能。

　　傳播途徑：電子郵件、軟件下載、會(huì)話軟件。

10.1.5 防火墻技術(shù)

10.1.5 防火墻技術(shù)（了解P290-296）

一、防火墻的主要功能：

1.所有的從外部到內(nèi)部的通信都必須經(jīng)過(guò)它。

2.只有有內(nèi)部訪問(wèn)策略授權(quán)的通信才能被允許通過(guò)。

3.具有防攻擊能力，保證自身的安全性。

二、防火墻的分類：

　　防火墻在網(wǎng)絡(luò)之間通過(guò)執(zhí)行控制策略來(lái)保護(hù)網(wǎng)絡(luò)系統(tǒng)，防火墻包括硬件和軟件兩部分。防火墻根據(jù)其實(shí)現(xiàn)技術(shù)可以分為：包過(guò)濾路由器、應(yīng)用網(wǎng)關(guān)、應(yīng)用代理和狀態(tài)檢測(cè)4類。

1.包過(guò)濾路由器

? ? ? ?

? ? ? ?　　實(shí)現(xiàn)包過(guò)濾的關(guān)鍵是制定包過(guò)濾規(guī)則。包過(guò)濾路由器分析所接收的包，按照每一條規(guī)則加以判斷。包過(guò)濾規(guī)則一般是基于部分或全部的包頭內(nèi)容。例如，源、目IP地址；協(xié)議類型；IP選項(xiàng)內(nèi)容；源目端口號(hào)；TCK ACK標(biāo)識(shí)。

2.應(yīng)用級(jí)網(wǎng)關(guān)

? ? ? ?

? ? ? ?　　可以實(shí)現(xiàn)在應(yīng)用層上對(duì)用戶身份認(rèn)證和訪問(wèn)操作分類檢查和過(guò)濾。只要能夠確定應(yīng)用程序訪問(wèn)控制規(guī)則，就可以采用雙宿主主機(jī)作為應(yīng)用級(jí)網(wǎng)管，在應(yīng)用層過(guò)濾進(jìn)出內(nèi)部網(wǎng)絡(luò)特定服務(wù)的用戶請(qǐng)求與響應(yīng)。

3.應(yīng)用代理

? ? ? ?

? ? ? ?　　應(yīng)用代理完全接管了用戶與服務(wù)器的訪問(wèn)，隔離了用戶主機(jī)與被訪問(wèn)服務(wù)器之間的數(shù)據(jù)包的交換通道。（跳板機(jī)？）

4.狀態(tài)檢測(cè)

　　狀態(tài)檢測(cè)檢測(cè)防火墻保留狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會(huì)話，利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)。狀態(tài)檢測(cè)對(duì)每一個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)，因此提供了完成的對(duì)傳輸層的控制能力。

　　對(duì)返回受保護(hù)網(wǎng)絡(luò)的數(shù)據(jù)包進(jìn)行分析怕段，只有那些響應(yīng)來(lái)自受保護(hù)網(wǎng)絡(luò)的請(qǐng)求的數(shù)據(jù)包才被放行。對(duì)于UP或者RPC等無(wú)連接的協(xié)議，檢測(cè)模塊可創(chuàng)建虛會(huì)話用來(lái)進(jìn)行跟蹤。（進(jìn)入的包是服務(wù)器出去的包的回應(yīng)，則放行）

三、防火墻的系統(tǒng)結(jié)構(gòu)

1.包過(guò)濾型結(jié)構(gòu)

　　包過(guò)濾型結(jié)構(gòu)是通過(guò)專用的包過(guò)濾路由器或是安裝了包過(guò)濾功能的普通路器來(lái)實(shí)現(xiàn)的。包過(guò)濾型結(jié)構(gòu)對(duì)進(jìn)出內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析，按照一定的安全策略對(duì)這些信息進(jìn)行分析與限制。

2.雙宿網(wǎng)關(guān)結(jié)構(gòu)

　　雙宿網(wǎng)關(guān)結(jié)構(gòu)即是一臺(tái)裝有兩塊網(wǎng)卡的主機(jī)作為防火墻，將外部網(wǎng)絡(luò)與同部網(wǎng)絡(luò)實(shí)現(xiàn)物理上的隔開(kāi)。應(yīng)用級(jí)網(wǎng)管完全暴露個(gè)整個(gè)外部網(wǎng)絡(luò)，人們將處于防火墻關(guān)鍵部位、運(yùn)行應(yīng)用級(jí)網(wǎng)管軟件的計(jì)算機(jī)系統(tǒng)成為堡壘主機(jī)。

3.屏蔽主機(jī)結(jié)構(gòu)

　　屏蔽主機(jī)結(jié)構(gòu)將所有的外部主機(jī)強(qiáng)制與一個(gè)堡壘主機(jī)相連，從而不允許它們直接與內(nèi)部網(wǎng)絡(luò)的主機(jī)相連，因此屏撇主機(jī)結(jié)構(gòu)是由包過(guò)濾路由器和堡壘主機(jī)組成的。

4.屏蔽子網(wǎng)結(jié)構(gòu)

　　屏蔽子網(wǎng)結(jié)構(gòu)使用了兩個(gè)屏蔽路由器和兩個(gè)堡壘主機(jī)。在該系統(tǒng)中，從外部包過(guò)濾由器開(kāi)始的部分是由網(wǎng)絡(luò)系統(tǒng)所屬的單位組建的，屬于內(nèi)部網(wǎng)絡(luò)，也稱為“DMZ網(wǎng)絡(luò)”。外部包過(guò)濾路由器與外部堡壘主機(jī)構(gòu)成了防火墻的過(guò)濾子網(wǎng)；內(nèi)部包過(guò)濾路由器和內(nèi)部堡壘主機(jī)則用于對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行進(jìn)一步的保護(hù)。

? ? ? ?

? ? ? ?

10.1.6 入侵檢測(cè)技術(shù)

10.1.6 入侵檢測(cè)技術(shù)（P296-302）

　　入侵檢測(cè)系統(tǒng)（IDS）是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為檢測(cè)的系統(tǒng)。

一、入侵檢測(cè)系統(tǒng)的功能

1.監(jiān)控、分析用戶和系統(tǒng)的行為。

2.檢查系統(tǒng)的配置和漏洞。

3.評(píng)估重要的系統(tǒng)與數(shù)據(jù)文件的完整性。

4.對(duì)異常行為統(tǒng)計(jì)分析，識(shí)別供給類型，并向網(wǎng)絡(luò)管理人員報(bào)警。

5.對(duì)操作系統(tǒng)進(jìn)行審計(jì)、跟蹤管理，識(shí)別違反授權(quán)的用戶活動(dòng)。

二、入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)

（1）事件發(fā)生器

（2）事件分析器

（3）響應(yīng)單元

（4）事件數(shù)據(jù)庫(kù)

三、入侵檢測(cè)技術(shù)的分類

分為異常檢測(cè)和誤用檢測(cè)兩種。

四、入侵檢測(cè)系統(tǒng)的分類

? ? ? ?

? ? ? ?（1）基于主機(jī)的入侵檢測(cè)

? ? ? ?

? ? ? ?（2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)

四、入侵檢測(cè)系統(tǒng)分類（10上）

　　按照檢測(cè)的數(shù)據(jù)來(lái)源，入侵檢測(cè)系統(tǒng)可以分為：基于主機(jī)的入侵檢測(cè)系統(tǒng)（系統(tǒng)日志和應(yīng)用程序日志為數(shù)據(jù)來(lái)源）和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（網(wǎng)卡設(shè)置為混雜模式，原始的數(shù)據(jù)幀是其數(shù)據(jù)來(lái)源）。

五、分布式入侵檢測(cè)系統(tǒng)（09下）

　　分布式入侵檢測(cè)系統(tǒng)的三種類型為層次型（存在單點(diǎn)失效）、協(xié)作型（存在單點(diǎn)失效）和對(duì)等型（無(wú)單點(diǎn)失效）。

六、入侵防護(hù)系統(tǒng)（IPS)

1.入侵防護(hù)系統(tǒng)的基本概念

　　入侵防護(hù)系統(tǒng)（Intrusion Prevention System，IPS）整合了防火墻技術(shù)和入侵檢測(cè)技術(shù)，采用In-Line工作模式。

2.入侵防護(hù)系統(tǒng)的基本結(jié)構(gòu)

　　入侵防護(hù)系統(tǒng)是要包括：嗅探器、檢測(cè)分析組件、策略執(zhí)行組件、狀態(tài)開(kāi)關(guān)、日志系統(tǒng)和控制臺(tái)6個(gè)部分。

3.入侵防護(hù)系統(tǒng)的基本分類 P302(08下、09下、10下、11上、12下、13上，應(yīng)用題可能考1小題)

（1）基于主機(jī)的入侵防護(hù)系統(tǒng)（HIPS）:安裝在受保護(hù)的主機(jī)系統(tǒng)中，檢測(cè)并阻攔正對(duì)本機(jī)的威脅和供給。

（2）基于網(wǎng)絡(luò)的入侵防護(hù)系統(tǒng)（NIPS）：布置于網(wǎng)絡(luò)出口處，一般串聯(lián)與防火墻與路由器之間，網(wǎng)絡(luò)進(jìn)出的數(shù)據(jù)流都必須通過(guò)它，從而保護(hù)整個(gè)網(wǎng)絡(luò)的安全。如果檢測(cè)到一個(gè)惡意的數(shù)據(jù)包時(shí)，系統(tǒng)不但發(fā)出警報(bào)，還將采取響應(yīng)措施（如丟棄含有攻擊性的數(shù)據(jù)包或阻斷連接）阻斷攻擊。NIPS對(duì)攻擊的誤報(bào)會(huì)導(dǎo)致合法的通信被阻斷。（誤報(bào)會(huì)，漏報(bào)不會(huì)）

（3）應(yīng)用入侵防護(hù)系統(tǒng)（AIPS）：一般部署于應(yīng)用服務(wù)器前端，從而將基于主機(jī)的入侵防護(hù)系統(tǒng)功能延伸到服務(wù)器之前的高性能網(wǎng)絡(luò)設(shè)備上，進(jìn)而保證了應(yīng)用服務(wù)器的安全性。防止的入侵包括cookie篡改、SQL注入等漏洞。

10.1.7 網(wǎng)絡(luò)安全評(píng)估

10.1.7 網(wǎng)絡(luò)安全評(píng)估（了解P302-P303）

　　網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)是一種集網(wǎng)絡(luò)安全監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估、修復(fù)、統(tǒng)計(jì)分析和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)集中控制管理功能于一體的網(wǎng)絡(luò)安全設(shè)備。

一、網(wǎng)絡(luò)安全評(píng)估分析技術(shù)

1.基于應(yīng)用的技術(shù)（被動(dòng)）

2.基于網(wǎng)絡(luò)的技術(shù)（主動(dòng)）

　　網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估技術(shù)通常用來(lái)進(jìn)行穿透實(shí)驗(yàn)和安全審計(jì)。

二、網(wǎng)絡(luò)安全評(píng)估分析系統(tǒng)結(jié)構(gòu)

　　通常采用控制臺(tái)和代理相結(jié)合的結(jié)構(gòu)。

10.2 實(shí)訓(xùn)任務(wù)

10.2.1 實(shí)訓(xùn)任務(wù)一：數(shù)據(jù)備份設(shè)備與軟件安裝和配置

一、常用備份設(shè)備（了解）

1.磁盤(pán)陣列 ?2.光盤(pán)塔 ? ?3.光盤(pán)庫(kù) 4.磁帶機(jī) ? ? ?5.磁帶庫(kù) ? ?6.光盤(pán)鏡像服務(wù)器

　　磁盤(pán)陣列部署方式，也稱RIAD級(jí)別。主要有RAID0、RAID1、RAID3、RAID5等級(jí)別。 RAID10是RAID0和RAID1的組合

　　磁盤(pán)陣列需要有磁盤(pán)陣列控制器，有些服務(wù)器主板中自帶有這個(gè)RAID控制器，有些主板沒(méi)有這種控制器，就必須外加一個(gè)RAID卡，RAID卡通常是SCSI接口，有些也提供IDE接口和SATA接口。（09下）

二、Windows 2003 server備份工具和使用方法

1.備份權(quán)限

2.備份步驟

3.Windows 2003備份程序支持的五種備份方法（是否標(biāo)記）

①副本備份：復(fù)制所有選中的文件，但不標(biāo)記為已備份。

②每日備份：復(fù)制執(zhí)行每日備份的當(dāng)天修改的所有選中文件。不做標(biāo)記。

③差異備份：從上次的正常備份或增量備份后，創(chuàng)建或修改的差異備份副本文件，備份后不標(biāo)記為已備份文件。

④增量備份：只備份上一次正常備份或增量備份后創(chuàng)建或改變的文件。備份后標(biāo)記。

⑤正常備份：復(fù)制所有選中文件，并且備份后標(biāo)記每個(gè)文件。

（增量備份和正常備份后“標(biāo)記”。其余是“不標(biāo)記”）

10.2.2 實(shí)訓(xùn)任務(wù)二：防病毒軟件安裝與配置

10.2.2 ?實(shí)訓(xùn)任務(wù)二：放病毒軟件安裝與配置（08下）

一、網(wǎng)絡(luò)版防病毒系統(tǒng)結(jié)構(gòu)

1.系統(tǒng)中心

　　系統(tǒng)中心實(shí)時(shí)記錄計(jì)算機(jī)的病毒監(jiān)控、檢測(cè)和清除的信息，實(shí)現(xiàn)對(duì)整個(gè)防護(hù)系統(tǒng)的自動(dòng)控制。

2.服務(wù)器端

　　服務(wù)器端為網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)應(yīng)用而設(shè)計(jì)。

3.客戶端

　　客戶端對(duì)當(dāng)前工作站上病毒監(jiān)控、檢測(cè)和清除，并在需要時(shí)向系統(tǒng)中心發(fā)送病毒監(jiān)測(cè)報(bào)告。

4.管理控制臺(tái)

　　管理控制臺(tái)是為了網(wǎng)絡(luò)管理員的應(yīng)用而設(shè)計(jì)的，通過(guò)它可以集中管理網(wǎng)絡(luò)上所有已安裝的防病毒系統(tǒng)防護(hù)軟件的計(jì)算機(jī)。

　　管理控制臺(tái)既可以安裝到服務(wù)器上也可以安裝在客戶機(jī)上，視網(wǎng)絡(luò)管理員的需要，可以自由安裝。

二、網(wǎng)絡(luò)版防病毒系統(tǒng)安裝

　　對(duì)于大多數(shù)的網(wǎng)絡(luò)版的防病毒系統(tǒng)，服務(wù)器端和客戶端通?？梢圆捎帽镜匕惭b、遠(yuǎn)程安裝、Web安裝、腳本安裝等方式進(jìn)行安裝。

　　控制臺(tái)的安裝通常有兩種方式：通過(guò)光盤(pán)安裝控制臺(tái)、遠(yuǎn)程安裝控制臺(tái)，系統(tǒng)管理員可以將管理控制臺(tái)遠(yuǎn)程安裝到其他計(jì)算機(jī)上。

三、網(wǎng)絡(luò)版防病毒系統(tǒng)的主要參數(shù)配置

１．系統(tǒng)升級(jí)

　　從網(wǎng)站升級(jí)、從上級(jí)中心升級(jí)、從網(wǎng)站上下載手動(dòng)數(shù)據(jù)包。

2.掃描設(shè)置

3.黑白名單設(shè)置

4.端口設(shè)置

　　為了使網(wǎng)絡(luò)版防病毒軟件的通信數(shù)據(jù)能順利的通過(guò)防火墻，通常系統(tǒng)都會(huì)提供用于數(shù)據(jù)通信端口設(shè)置的界面。（非固定端口）

10.2.3 實(shí)訓(xùn)任務(wù)三：防火墻的安裝與配置

10.2.3 ?實(shí)訓(xùn)任務(wù)三：防火墻的安裝與配置

一、硬件防火墻的網(wǎng)絡(luò)接口

1.內(nèi)網(wǎng)

　　內(nèi)網(wǎng)一般包括企業(yè)的內(nèi)部網(wǎng)絡(luò)或是內(nèi)部網(wǎng)絡(luò)的一部分。

2.外網(wǎng)

　　外網(wǎng)指的是非企業(yè)內(nèi)部的網(wǎng)絡(luò)或是Internet，內(nèi)網(wǎng)與外網(wǎng)之間進(jìn)行通信，要通過(guò)防火墻來(lái)實(shí)現(xiàn)訪問(wèn)限制。

3.DMZ （非軍事化區(qū)）

　　DMZ是一個(gè)隔離的網(wǎng)絡(luò)，可以在這個(gè)網(wǎng)絡(luò)中放置Web服務(wù)器或是E-mail服務(wù)器等，外網(wǎng)的用戶可以訪問(wèn)DMZ。

二、防火墻的安裝與初始配置

1.給防火墻加電令它啟動(dòng)。

2.將防火墻的Console口連接到計(jì)算機(jī)的串口上，并通過(guò)Windows操作系統(tǒng)的超級(jí)終端，進(jìn)入防火墻的特權(quán)模式。

3.配置Ethernet的參數(shù)。

4.配置內(nèi)外網(wǎng)卡的IP地址、指定外部地址范圍和要進(jìn)行轉(zhuǎn)換的內(nèi)部地址。

5.設(shè)置指向內(nèi)網(wǎng)與外網(wǎng)的缺省路由。

6.配置靜態(tài)IP地址映射。

7.設(shè)置需要控制的地址、所作用的端口和連接協(xié)議等控制選項(xiàng)并設(shè)置允許telnet遠(yuǎn)程登錄防火墻的IP地址。

8.保存配置。

三、基本配置方法（以cisco PIX525為例）必考

1.訪問(wèn)模式

①非特權(quán)模式。 PIX防火墻開(kāi)機(jī)自檢后，就是處于這種模式。系統(tǒng)顯示為 ?pixfirewall>

②特權(quán)模式。 輸入enable進(jìn)入特權(quán)模式，可以改變當(dāng)前配置。顯示為 ? pixfirewall#

③配置模式。 輸入configure terminal進(jìn)入此模式，絕大部分的系統(tǒng)配置都在這里進(jìn)行。顯示為 pixfirewall(config)#

④監(jiān)視模式。 PIX防火墻在開(kāi)機(jī)或重啟過(guò)程中，按住Escape鍵或發(fā)送一個(gè)“Break”字符，進(jìn)入監(jiān)視模式。這里可以更新操作系統(tǒng)映象和口令恢復(fù)。顯示為 monitor>

（09下、10下、12上、13上）

2.基本配置命令

①nameif：配置防火墻接口的名字，并指定安全級(jí)別(08上、下)

格式：nameif接口 自定義名字security級(jí)別

Pix525(config)#nameif ethernet0 outside security 0

? ? ? //設(shè)置以太網(wǎng)口1為外網(wǎng)接口，安全級(jí)別為0，安全系數(shù)最低?！　?/p>

Pix525(config)#nameif ethernet1 inside security 100

? ? ? //設(shè)置以太網(wǎng)口2為內(nèi)網(wǎng)接口，安全級(jí)別為100。安全系數(shù)最高?！　?/p>

Pix525(config)#nameif ?ethernet2 ?dmz ?security 50

　　//設(shè)置DMZ接口為?；饏^(qū)，安全級(jí)別50。安全系數(shù)居中。

　　在缺省配置中，以太網(wǎng)口0被命名為外部接口（outside），安全級(jí)別是0；以太網(wǎng)口1被命名為內(nèi)部接口（inside），安全級(jí)別是100。安全級(jí)別取值范圍為1到99，數(shù)字越大安全級(jí)別越高。

②interface：配置以太口參數(shù)

Pix525(config)#interface ethernet0 auto

　　//設(shè)置以太接口0為AUTO模式，auto選項(xiàng)表明系統(tǒng)網(wǎng)卡速度工作模式等為自動(dòng)適應(yīng)，這樣該接口會(huì)自動(dòng)在10M/100M，單工/半雙工/全雙工之間切換。

Pix525(config)#interface ethernet1 100 full　

　　//強(qiáng)制設(shè)置以太接口1為100Mbit/s全雙工通信。

③ip address：配置內(nèi)外網(wǎng)卡的IP地址

格式：ip adress名字 地址 掩碼

Pix525(config)#ip address outside 61.144.51.42 255.255.255.248

Pix525(config)#ip address inside 192.168.0.1 255.255.255.0

④nat：指定要進(jìn)行轉(zhuǎn)換的內(nèi)部地址

nat命令配置語(yǔ)法：

? ? ? ?nat (if_name) nat_id local_ip [netmark]

nat (名字) 網(wǎng)絡(luò)ID 內(nèi)網(wǎng)地址 [掩碼]

其中（if_name）表示內(nèi)網(wǎng)接口名字，例如inside，

　　Nat_id用來(lái)標(biāo)識(shí)全局地址池，使它與其相應(yīng)的global命令相匹配(nat定義nat的內(nèi)部地址，global定義全局地址)，

　　local_ip表示內(nèi)網(wǎng)被分配的ip地址。例如0.0.0.0表示內(nèi)網(wǎng)所有主機(jī)可以對(duì)外訪問(wèn)。

[netmark]表示內(nèi)網(wǎng)ip地址的子網(wǎng)掩碼。

例：Pix525(config)#nat (inside) 1 192.168.1.0 255.255.255.0

　　設(shè)置只有192.168.1.0 這個(gè)網(wǎng)段內(nèi)的主機(jī)可以訪問(wèn)外網(wǎng)。

⑤Global

　　指定一個(gè)外網(wǎng)的ip地址或一段地址范圍。Global命令的配置語(yǔ)法：

global (if_name) nat_id ip_address-ip_address [netmark global_mask]

global (名字) 網(wǎng)絡(luò)ID 起始地址-結(jié)束地址 [掩碼]

　　其中（if_name）表示外網(wǎng)接口名字，例如outside，

　　Nat_id用來(lái)標(biāo)識(shí)全局地址池，使它與其相應(yīng)的nat命令相匹配，

　　ip_address-ip_address表示翻譯后的單個(gè)ip地址或一段ip地址范圍。范圍寫(xiě)法有短橫：起始地址-結(jié)束地址

　　[netmark global_mask]表示全局ip地址的網(wǎng)絡(luò)掩碼。

　　Pix525(config)#global (outside) 1 61.144.51.42-61.144.51.48

⑥r(nóng)oute：設(shè)置指向內(nèi)網(wǎng)和外網(wǎng)的靜態(tài)路由

route命令配置語(yǔ)法：

route (if_name) 0 0 gateway_ip [metric]

route (名字) 0 0默認(rèn)網(wǎng)關(guān)即下一跳 [跳數(shù)]

　　(0 0代表0.0.0.0 0.0.0.0目的地址)

其中（if_name）表示接口名字，例如inside，outside。Gateway_ip表示網(wǎng)關(guān)路由器的ip地址。

　　[metric]表示到gateway_ip的跳數(shù)。通常缺省是1。

Pix525(config)#route outside 0 0 61.144.51.168 1 （教材上這里也沒(méi)括號(hào)）

　　設(shè)置一條指向邊界路由器（ip地址61.144.51.168）的缺省路由。

⑦static：(09上)掌握概念與作用

　　配置靜態(tài)NAT（一對(duì)一的靜態(tài)轉(zhuǎn)換，內(nèi)部和外部固定映射。多對(duì)一要用nat）,如果從外網(wǎng)發(fā)起一個(gè)會(huì)話，會(huì)話的目的地址是一個(gè)內(nèi)網(wǎng)的ip地址，static就把內(nèi)部地址翻譯成一個(gè)指定的全局地址，允許這個(gè)會(huì)話建立。語(yǔ)法：

static (internal_if_name，external_if_name) outside_ip_address inside_ ip_address

static (內(nèi)部接口名字,外部接口名字) 外部IP 內(nèi)網(wǎng)IP

注意 括號(hào)里先內(nèi)后外，外面先外后內(nèi)

　　其中internal_if_name表示內(nèi)部網(wǎng)絡(luò)接口，安全級(jí)別較高。如inside.。

　　external_if_name為外部網(wǎng)絡(luò)接口，安全級(jí)別較低，如outside等。

　　outside_ip_address為正在訪問(wèn)的較低安全級(jí)別的接口上的ip地址。

　　inside_ ip_address為內(nèi)部網(wǎng)絡(luò)的本地ip地址。

　　Pix525(config)#static (inside, outside) 202.113.79.4 192.168.0.4

⑧Conduit(管道命令)（11上）掌握概念與作用

　　使用static命令可以在一個(gè)本地ip地址和一個(gè)全局ip地址之間創(chuàng)建了一個(gè)靜態(tài)映射，但從外部到內(nèi)部接口的連接仍然會(huì)被pix防火墻的自適應(yīng)安全算法(ASA．阻擋，conduit命令用來(lái)允許數(shù)據(jù)流從具有較低安全級(jí)別的接口流向具有較高安全級(jí)別的接口，例如允許從外部到DMZ或內(nèi)部接口的入方向的會(huì)話。

　　對(duì)于向內(nèi)部接口的連接，static和conduit命令將一起使用，來(lái)指定會(huì)話的建立。說(shuō)得通俗一點(diǎn)管道命令（conduit）就相當(dāng)于以往CISCO設(shè)備的訪問(wèn)控制列表（ACL）。

conduit命令配置語(yǔ)法：（了解）

　　conduit permit|deny global_ip port[-port] protocol foreign_ip [netmask]

其中permit|deny為允許|拒絕訪問(wèn)，

　　global_ip指的是先前由global或static命令定義的全局ip地址，如果global_ip為0，就用any代替0；如果global_ip是一臺(tái)主機(jī)，就用host命令參數(shù)。

　　port指的是服務(wù)所作用的端口，例如www使用80，smtp使用25等等，我們可以通過(guò)服務(wù)名稱或端口數(shù)字來(lái)指定端口。

　　protocol指的是連接協(xié)議，比如：TCP、UDP、ICMP等。foreign_ip表示可訪問(wèn)global_ip的外部ip。對(duì)于任意主機(jī)可以用any表示。如果foreign_ip是一臺(tái)主機(jī)，就用host命令參數(shù)。

　　Pix525(config)#conduit permit tcp host 192.168.0.4 eq www any

⑨fixup（10上）掌握概念與作用

　　fixup命令作用是啟用、禁止、改變一個(gè)服務(wù)或協(xié)議通過(guò)pix防火墻，由fixup命令指定的端口是pix防火墻要偵聽(tīng)的服務(wù)。

Pix525(config)#fixup protocol ftp 21　

? ? ? ? ? //啟用ftp協(xié)議，并指定ftp的端口號(hào)為21

Pix525(config)#fixup protocol http 80

Pix525(config)#fixup protocol http 1080

? ? ? ? ? ?//為http協(xié)議指定80和1080兩個(gè)端口。

Pix525(config)#no fixup protocol smtp 80

? ? ? ? ? ? //禁用smtp協(xié)議。

10.2.4 實(shí)訓(xùn)任務(wù)四：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署

10.2.4 實(shí)訓(xùn)任務(wù)四：網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的部署（P313）

一、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的組成結(jié)構(gòu)

控制臺(tái)、探測(cè)器

二、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)常用部署方法（09上、11下、12上）

①網(wǎng)絡(luò)接口卡與交換設(shè)備的監(jiān)控端口連接，通過(guò)交換設(shè)備的Span/Mirror功能將流向個(gè)端口的數(shù)據(jù)包復(fù)制一份給監(jiān)控端口。（交換機(jī)鏡像功能）

②在網(wǎng)絡(luò)中增加一臺(tái)集線器改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過(guò)集線器（共享式監(jiān)聽(tīng)方式）獲取數(shù)據(jù)包。(連接到串聯(lián)的集線器)

③入侵檢測(cè)傳感器通過(guò)一個(gè)TAP（分路器）設(shè)備對(duì)交換式網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行分析和處理。（連接到串聯(lián)的分路器）

　　TAP是一種容錯(cuò)方案，它提供全雙工或半雙工　　10/100/1000M網(wǎng)段上觀察數(shù)據(jù)流量的手段，其優(yōu)點(diǎn)為：

　　TAP是容錯(cuò)的，如果發(fā)生電源故障，原先監(jiān)控的網(wǎng)段上的通信不受影響。

　　TAP不會(huì)影響數(shù)據(jù)流

TAP阻止建立于入侵檢測(cè)系統(tǒng)的直接連接，從而保護(hù)它不受攻擊

題目擴(kuò)展：如果將網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的探測(cè)器直接串入到鏈路中對(duì)原有網(wǎng)絡(luò)性能影響最大

2. ?入侵檢測(cè)系統(tǒng)與防火墻聯(lián)合部署（略）

本章總結(jié)：

1.數(shù)據(jù)備份與還原（各備份方式的空間占用、時(shí)間、恢復(fù)速度，是否標(biāo)記）

2.加密技術(shù)（對(duì)稱與非對(duì)稱）

3.防火墻技術(shù)（PIX的基本配置。命令不重要，主要是含義）

4.入侵檢測(cè)技術(shù)（IPS與IDS，重點(diǎn)是分類與部署）

5.計(jì)算機(jī)病毒防范（了解）

6.網(wǎng)絡(luò)安全評(píng)估（了解）