任務１了解網(wǎng)絡安全基礎知識在過去的短短數(shù)年內(nèi)，計算機網(wǎng)絡規(guī)模不僅顯著增長，其重要性也與日俱增。如果網(wǎng)絡安全受到危害，可能會導致非常嚴重的后果，例如隱私喪失、信息失竊，有的甚至需要追究法律責任。隨著網(wǎng)絡威脅的種類日漸增多，安全環(huán)境所面臨的挑戰(zhàn)也日趨嚴峻，如圖６－１所示。一、網(wǎng)絡安全中常見的術語近年來，安全威脅不斷增多，網(wǎng)絡攻擊的工具和方法不斷翻新。如圖６－２所示，在１９８５年，攻擊者必須具備高深的計算機、編程和網(wǎng)絡知識才能利用基本的工具進行簡單的攻擊。隨著時間的推移，攻擊者的方法和工具不斷改進，沒有精深的知識也可進行攻擊。這大大降低了對攻擊者的門檻要求。下一頁返回任務１了解網(wǎng)絡安全基礎知識隨著威脅、攻擊和利用方式的不斷發(fā)展，各種用于形容攻擊參與者的術語層出不窮。一些最為常見的術語列舉如下。白帽客（ＷｈｉｔｅＨａｔ）———指那些尋找系統(tǒng)或網(wǎng)絡漏洞，然后向系統(tǒng)所有者報告以便其修復漏洞的個人。從理論上來說，他們并不是濫用計算機系統(tǒng)。白帽客通常關心的是如何保護ＩＴ系統(tǒng)，而黑帽客（白帽客的對立群體）則喜歡破壞ＩＴ系統(tǒng)安全。黑客（Ｈａｃｋｅｒ）———一般術語，歷史上用于形容計算機編程專家。最近，該術語常用于形容那些企圖通過未授權方式惡意訪問網(wǎng)絡資源的人，帶有貶義。上一頁下一頁返回任務１了解網(wǎng)絡安全基礎知識黑帽客（ＢｌａｃｋＨａｔ）———用于形容那些為牟取個人利益或經(jīng)濟利益，利用計算機系統(tǒng)知識侵入非授權使用的系統(tǒng)或網(wǎng)絡的群體。駭客即屬于一種黑帽客。駭客（Ｃｒａｃｋｅｒ）———用于更為準確地形容非法訪問網(wǎng)絡資源的惡意群體的術語。電話飛客（Ｐｈｒｅａｋｅｒ）———指利用電話網(wǎng)絡執(zhí)行非法功能的個人。盜用電話網(wǎng)絡的目的一般是侵入電話系統(tǒng)（通常通過付費電話）免費撥打長途電話。垃圾郵件發(fā)送者（Ｓｐａｍｍｅｒ）———指發(fā)送大量未經(jīng)請求的電子郵件消息的個人。垃圾郵件發(fā)送者通常利用病毒控制家用計算機，并利用它們發(fā)送大量消息。上一頁下一頁返回任務１了解網(wǎng)絡安全基礎知識網(wǎng)絡釣魚者（Ｐｈｉｓｈｅｒ）———指使用電子郵件或其他手段哄騙其他人提供敏感信息（例如信用卡號碼或密碼）的個人。網(wǎng)絡釣魚者通常仿冒那些可以合法獲取敏感信息的可信團體。二、網(wǎng)絡攻擊步驟攻擊者的目標是破壞網(wǎng)絡目標或網(wǎng)絡中運行的應用程序。許多攻擊者通過以下七個步驟來收集信息和發(fā)動攻擊。步驟１：執(zhí)行線索分析（偵察）。公司網(wǎng)頁可能會泄露信息，例如服務器的ＩＰ地址。攻擊者可以根據(jù)這些信息掌握公司安全狀況或公司線索。上一頁下一頁返回任務１了解網(wǎng)絡安全基礎知識步驟２：收集信息。攻擊者可以通過監(jiān)視網(wǎng)絡流量來進一步收集信息，他們使用如Ｗｉｒｅｓｈａｒｋ之類的數(shù)據(jù)包嗅探器獲取信息，例如ＦＴＰ服務器和郵件服務器的版本號。帶有漏洞的數(shù)據(jù)庫之間交叉引用會使公司的應用程序存在潛在的漏洞。步驟３：利用用戶獲取訪問權。有時員工選擇的密碼很容易被破解。此外，狡猾的攻擊者也會欺騙員工提供與訪問權相關的敏感信息。步驟４：提高權限。攻擊者獲得基本的訪問權后，他們會使用一些技巧來提高其網(wǎng)絡權限。步驟５：收集其他密碼和機密信息。訪問權限提高后，攻擊者會利用其技術獲取對經(jīng)過重重防護的敏感信息的訪問權。上一頁下一頁返回任務１了解網(wǎng)絡安全基礎知識步驟６：安裝后門。攻擊者可通過后門進入系統(tǒng)而不會被檢測到。最常見的后門是開放的偵聽ＴＣＰ或ＵＤＰ端口。步驟７：利用已入侵的系統(tǒng)。攻擊者會利用已入侵的系統(tǒng)，進而攻擊網(wǎng)絡中的其他主機。三、常見計算機犯罪的行為安全防護措施多年來一直在不斷改進，一些最常見的攻擊類型已幾乎絕跡，但同時又出現(xiàn)許多新的攻擊類型。要設計網(wǎng)絡安全解決方案，首先就需要對計算機犯罪有全面的了解。上一頁下一頁返回任務１了解網(wǎng)絡安全基礎知識以下是會影響網(wǎng)絡安全的最常見計算機犯罪行為：·內(nèi)部人員濫用網(wǎng)絡訪問權限；·病毒；·盜竊移動設備；·仿冒某組織進行網(wǎng)絡釣魚；·濫用即時消息；·拒絕服務；·未經(jīng)授權訪問信息；·組織內(nèi)部的僵尸程序；·盜竊客戶或員工數(shù)據(jù)；·濫用無線網(wǎng)絡；上一頁下一頁返回任務１了解網(wǎng)絡安全基礎知識·系統(tǒng)滲透；·金融欺詐；·密碼嗅探；·鍵擊記錄；·網(wǎng)站篡改；·濫用公共網(wǎng)絡應用程序；·盜竊專有信息；·利用組織ＤＮＳ服務器的漏洞；·電信欺詐；·蓄意破壞。上一頁下一頁返回任務１了解網(wǎng)絡安全基礎知識其中，內(nèi)部人員濫用網(wǎng)絡訪問權、拒絕服務、系統(tǒng)滲透、密碼嗅探在計算機網(wǎng)絡的日常管理中要重點加以防范。四、制定網(wǎng)絡安全策略為了保護自身的數(shù)據(jù)和維持可靠運作，所有組織都應首先制定自己的安全策略。策略是一組指導決策過程的規(guī)則，組織中的領導者能夠在策略的指引下自如地分配權限。ＲＦＣ２１９６指出“安全策略是規(guī)則的正式表述，獲準訪問組織的技術和信息資產(chǎn)的用戶都必須遵守這一策略”。安全策略可能像網(wǎng)絡資源的合理使用規(guī)定一樣簡單，也可能長達數(shù)百頁，對連接和相關策略的每個方面都做了詳細規(guī)定。上一頁下一頁返回任務１了解網(wǎng)絡安全基礎知識安全策略需滿足以下條件：明確用戶、職員和管理人員為保護技術和信息資產(chǎn)所必須履行的義務；指出通過哪些機制可以達到這些要求；提供基線，以按照策略獲取、配置和審計計算機系統(tǒng)及網(wǎng)絡。在沒有指導思想的情況下設立安全策略相當困難。為此，國際標準化組織（ＩＳＯ）和國際電工委員會（ＩＥＣ）發(fā)布了稱為ＩＳＯ／ＩＥＣ２７００２的安全標準文件。該文件專門針對信息技術制定，其中列出了信息安全管理的實踐規(guī)范。上一頁下一頁返回任務１了解網(wǎng)絡安全基礎知識ＩＳＯ／ＩＥＣ２７００２旨在為制定組織安全標準和有效的安全管理實踐方面提供通用基礎和實踐指導原則。該文件包含１２個部分：·風險評估；·安全策略；·信息安全組織；·資產(chǎn)管理；·人力資源安全；·物理和環(huán)境安全；·通信和運營管理；上一頁下一頁返回任務１了解網(wǎng)絡安全基礎知識·訪問控制；·信息系統(tǒng)采購、開發(fā)和維護；·信息安全事件管理；·業(yè)務連續(xù)性管理；·法規(guī)遵從性。上一頁返回任務２認識常見的網(wǎng)絡安全威脅一、漏洞討論網(wǎng)絡安全性時，人們往往會談到三個術語：漏洞、威脅和攻擊。漏洞是指每個網(wǎng)絡和設備固有的薄弱程度。這些設備包括路由器、交換機、臺式計算機、服務器，甚至安全設備。威脅是指喜歡利用安全弱點并具有相關技能的個人。這些人會不斷尋找新的漏洞和弱點。威脅使用各種各樣的工具、腳本和程序發(fā)起對網(wǎng)絡和網(wǎng)絡設備的攻擊。一般而言，受到攻擊的網(wǎng)絡設備都是端點設備，例如服務器和臺式計算機。下一頁返回任務２認識常見的網(wǎng)絡安全威脅漏洞（或稱缺陷）主要包括三種類型：技術缺陷、配置缺陷、安全策略缺陷。１.常見的技術缺陷（１）ＴＣＰ／ＩＰ協(xié)議缺陷超文本傳輸協(xié)議（ＨＴＴＰ）、文件傳輸協(xié)議（ＦＴＰ）和Ｉｎｔｅｒｎｅｔ控制消息協(xié)議（ＩＣＭＰ）本身便相當不安全。簡單網(wǎng)絡管理協(xié)議（ＳＮＭＰ）、簡單郵件傳輸協(xié)議（ＳＭＴＰ）和ＳＹＮ泛洪都受到這種固有的不安全結構的影響，而ＴＣＰ正是建立在這種結構之上的。上一頁下一頁返回任務２認識常見的網(wǎng)絡安全威脅（２）操作系統(tǒng)缺陷每種操作系統(tǒng)都存在不可忽視的安全問題，包括ＵＮＩＸ、Ｌｉｎｕｘ、ＭａｃＯＳ、ＭａｃＯＳＸ、ＷｉｎｄｏｗｓＮＴ、９ｘ、２Ｋ、ＸＰ以及Ｖｉｓｔａ，這些都記錄在計算機緊急事件響應小組（ＣＥＲＴ）的文檔中，網(wǎng)址為：ｈｔｔｐ：／／ｗｗｗ.ｃｅｒｔ.ｏｒｇ。（３）網(wǎng)絡設備缺陷各種網(wǎng)絡設備（例如路由器、防火墻和交換機）都存在自己的安全缺陷，用戶必須正視這一點，并加以針對性的防護。這些設備的缺陷包括密碼保護、缺乏身份驗證、路由協(xié)議、防火墻穿孔等。上一頁下一頁返回任務２認識常見的網(wǎng)絡安全威脅２.配置缺陷（１）用戶賬戶不安全用戶帳戶信息在網(wǎng)絡上使用不安全的方式傳輸，導致用戶名和密碼被他人竊取。（２）系統(tǒng)賬戶的密碼容易被猜到此問題很常見，通常是因為用戶密碼選擇不當、容易被猜出所導致。（３）Ｉｎｔｅｒｎｅｔ服務配置錯誤在Ｗｅｂ瀏覽器上打開ＪａｖａＳｃｒｉｐｔ往往會導致訪問不受信任的站點時遭受惡意ＪａｖａＳｃｒｉｐｔ攻擊。ＩＩＳ、ＦＴＰ和終端服務也會帶來問題。上一頁下一頁返回任務２認識常見的網(wǎng)絡安全威脅（４）網(wǎng)絡設備配置錯誤設備本身配置錯誤會帶來嚴重的安全問題。例如，誤配置的訪問列表、路由協(xié)議或ＳＮＭＰ社區(qū)字符串可能帶來大量安全隱患。３.安全策略缺陷（１）缺乏書面的安全策略未以書面形式記錄的策略無法得到長久有效的執(zhí)行。（２）缺乏身份驗證持續(xù)性如果密碼選擇不當、易于破解或甚至是默認密碼，那么都可能致使網(wǎng)絡遭到未授權的訪問。上一頁下一頁返回任務２認識常見的網(wǎng)絡安全威脅（３）沒有實行邏輯訪問控制監(jiān)控和審計力度不夠，導致攻擊和未授權使用不斷發(fā)生，浪費公司資源。使得這些不安全情況持續(xù)發(fā)生的ＩＴ技術人員、ＩＴ管理人員，甚至公司領導層都可能因此而卷入法律訴訟或被解雇。（４）軟件和硬件的安裝與更改沒有遵循策略執(zhí)行未經(jīng)授權更改網(wǎng)絡拓撲或安裝未經(jīng)準許的應用程序會造成安全漏洞。（５）沒有設計災難恢復計劃缺乏災難恢復計劃可能造成企業(yè)在遭到攻擊時發(fā)生恐慌和混亂。上一頁下一頁返回任務２認識常見的網(wǎng)絡安全威脅二、對物理基礎架構的威脅提及網(wǎng)絡安全或者計算機安全時，人們腦海中可能浮現(xiàn)的是攻擊者利用軟件漏洞執(zhí)行攻擊的畫面。一種不太引人注意，但同樣嚴重的威脅是對設備物理安全的威脅。如果這些資源遭到物理性破壞，攻擊者便可借此拒絕對網(wǎng)絡資源的使用。物理威脅分為以下四類：硬件威脅———對服務器、路由器、交換機、布線間和工作站的物理破壞；環(huán)境威脅———指極端溫度（過熱或過冷）或極端濕度（過濕或過干）；上一頁下一頁返回任務２認識常見的網(wǎng)絡安全威脅電氣威脅———電壓尖峰、電源電壓不足（電氣管制）、不合格電源（噪音），以及斷電；維護威脅———指關鍵電氣組件處理不佳（靜電放電），缺少關鍵備用組件、布線混亂和標識不明。其中部分問題可以通過制定相關策略得到解決。而另一些則與組織中良好的領導能力和管理分不開。如果物理安全措施不夠充分，則網(wǎng)絡有可能遭到嚴重破壞。以下是一些防范物理威脅的方法。消除硬件威脅（見圖６－３）。鎖好配線間，僅允許得到授權的人員進入。防止通過掉落的天花板、架空地板、窗戶、管道或其他非安全入口點進入配線間。使用電子訪問控制，并記錄所有進入請求。使用安保攝像頭監(jiān)控機構內(nèi)的活動。上一頁下一頁返回任務２認識常見的網(wǎng)絡安全威脅消除環(huán)境威脅（見圖６－４）。通過溫度控制、濕度控制、加強空氣流通、遠程環(huán)境警報，以及記錄和監(jiān)控來營造適當?shù)墓ぷ鳝h(huán)境。三、網(wǎng)絡攻擊的類型攻擊主要分為四種類型，偵察、訪問、拒絕服務以及蠕蟲、病毒、特洛伊木馬，如圖６－５所示。１.偵察攻擊偵察是指未經(jīng)授權的搜索和映射系統(tǒng)、服務或漏洞。此類攻擊也稱為信息收集，大多數(shù)情況下它充當其他類型攻擊的先導。偵察類似于冒充鄰居的小偷伺機尋找容易下手的住宅，例如無人居住的住宅、容易打開的門或窗戶等。上一頁下一頁返回任務２認識常見的網(wǎng)絡安全威脅２.訪問系統(tǒng)訪問是指入侵者獲取本來不具備訪問權限（賬戶或密碼）的設備的訪問權。入侵者進入或訪問系統(tǒng)后往往會運行某種黑客程序、腳本或工具，以利用目標系統(tǒng)或應用程序的已知漏洞展開攻擊。訪問攻擊利用身份驗證服務、ＦＴＰ服務和Ｗｅｂ服務的已知漏洞，獲取對Ｗｅｂ賬戶、機密數(shù)據(jù)庫和其他敏感信息的訪問。密碼攻擊———通過各種手段獲取目標密碼的過程。攻擊者能夠通過多種方法來實施密碼攻擊：暴力攻擊、特洛伊木馬程序、數(shù)據(jù)包嗅探器。上一頁下一頁返回任務２認識常見的網(wǎng)絡安全威脅３.拒絕服務拒絕服務（ＤｏＳ）是指攻擊者通過禁用或破壞網(wǎng)絡、系統(tǒng)或服務來拒絕為特定用戶提供服務的一種攻擊方式。ＤｏＳ攻擊包括使系統(tǒng)崩潰或?qū)⑾到y(tǒng)性能降低至無法使用的狀態(tài)。但是，ＤｏＳ也可以只是簡單地刪除或破壞信息。大多數(shù)情況下，執(zhí)行此類攻擊只需簡單地運行黑客程序或腳本。因此，ＤｏＳ攻擊成為最令人懼怕的攻擊方式。ＤｏＳ攻擊是知名度最高的攻擊，并且也是最難防范的攻擊。即使在攻擊者社區(qū)中，ＤｏＳ攻擊也被認為是雖然簡單但十分惡劣的方式，因為發(fā)起這種攻擊非常容易。由于其實施簡單、破壞力強大，安全管理員需要特別關注ＤｏＳ攻擊。上一頁下一頁返回任務２認識常見的網(wǎng)絡安全威脅ＤｏＳ攻擊的方式多種多樣。不過其目的都是通過消耗系統(tǒng)資源使授權用戶無法正常使用服務。以下是一些常見ＤｏＳ威脅的示例。４.惡意代碼攻擊惡意代碼攻擊一般是指蠕蟲、病毒和特洛伊木馬攻擊。蠕蟲、病毒和特洛伊木馬：有時主機上會被裝上惡意軟件，這些軟件會破壞系統(tǒng)、自我復制或拒絕對網(wǎng)絡、系統(tǒng)或服務的訪問。此類軟件通常稱為蠕蟲、病毒或特洛伊木馬。上一頁下一頁返回任務２認識常見的網(wǎng)絡安全威脅防范蠕蟲攻擊需要系統(tǒng)管理和網(wǎng)絡管理人員的共同努力。系統(tǒng)管理、網(wǎng)絡工程和安全運營人員之間的協(xié)作對于有效響應蠕蟲事件至關重要。推薦采用以下步驟來防范蠕蟲攻擊。·限制———限制網(wǎng)絡中的蠕蟲傳播。隔離未受感染的網(wǎng)絡部分?！そ臃N———盡可能對所有系統(tǒng)打上補丁，掃描出存在漏洞的系統(tǒng)。·隔離———追查網(wǎng)絡內(nèi)部每臺受感染的機器。將被感染的機器斷網(wǎng)、從網(wǎng)絡中移除或阻止它們訪問網(wǎng)絡?！ぶ委煛謇硭斜桓腥镜南到y(tǒng)并打上補丁。有些蠕蟲可能需要完全重新安裝核心系統(tǒng)才能清理干凈。上一頁下一頁返回任務２認識常見的網(wǎng)絡安全威脅特洛伊木馬與蠕蟲或病毒的不同之處僅在于整個應用程序經(jīng)過偽裝，看似無害，但實際上是攻擊工具。例如特洛伊木馬可以偽裝成游戲程序。當用戶玩游戲時，特洛伊木馬會將自身副本通過郵件發(fā)送到該用戶通訊簿中的每個地址。其他用戶將收到該游戲并加入到玩游戲的行列，特洛伊木馬因此得以傳播到每個通訊簿中的所有地址。Ｓｕｂ７（或稱Ｓｕｂｓｅｖｅｎ）是常見的特洛伊木馬，它會在用戶系統(tǒng)中安裝后門程序。它在無組織攻擊和有組織攻擊中都非常普遍。在無組織攻擊中，缺乏經(jīng)驗的攻擊者可能只是使用該程序使鼠標光標消失。而在有組織威脅中，駭客可以用它來安裝鍵擊記錄程序（用于記錄所有用戶鍵擊操作的程序）以捕獲敏感信息。上一頁返回任務３了解網(wǎng)絡安全的常規(guī)防范技術一、主機和服務器安全性（１）設備加固當在計算機上安裝新的操作系統(tǒng)時，安全設置保留為默認值。在大多數(shù)情況下，這種安全級別并不夠。以下是適用于大部分操作系統(tǒng)的一些簡單步驟：立即更換默認用戶名和密碼；限制對系統(tǒng)資源的訪問，只有授權用戶才可以訪問；盡可能關閉和卸載任何不必要的服務和應用程序。保護網(wǎng)絡主機（例如工作站ＰＣ和服務器）非常重要。當把這些主機添加到網(wǎng)絡時，需要對其進行保護，并在有新的安全補丁時盡可能使用安全補丁更新這些主機。下一頁返回任務３了解網(wǎng)絡安全的常規(guī)防范技術（２）安裝防病毒軟件安裝主機防病毒軟件可抵御已知病毒。防病毒軟件可以檢測到大多數(shù)病毒和許多特洛伊木馬應用程序，并能防止它們在網(wǎng)絡中傳播。防病毒軟件通過兩種方式完成這項工作。掃描文件，將文件的內(nèi)容與病毒字典中的已知病毒進行比較。匹配的文件將以最終用戶定義的方式進行標記。監(jiān)控在主機上運行的可疑程序，這些可疑程序可能標志著該主機已感染病毒。此類監(jiān)控可能包括數(shù)據(jù)捕獲、端口監(jiān)控等。大多數(shù)商業(yè)防病毒軟件綜合使用上述方法。上一頁下一頁返回任務３了解網(wǎng)絡安全的常規(guī)防范技術（３）個人防火墻通過撥號連接、ＤＳＬ或電纜調(diào)制解調(diào)器連接到Ｉｎｔｅｒｎｅｔ的個人計算機與企業(yè)網(wǎng)絡一樣容易遭到攻擊。安裝在用戶ＰＣ中的防火墻可以防范攻擊。個人防火墻并非設計用于局域網(wǎng)環(huán)境（例如基于設備或基于服務器的防火墻），如果與其他網(wǎng)絡客戶端、服務、協(xié)議或適配器一同安裝，則它們可能會阻止網(wǎng)絡訪問。（４）操作系統(tǒng)補丁防范蠕蟲及其變體的最有效方法是從操作系統(tǒng)廠商處下載安全更新，并為所有存在漏洞的系統(tǒng)應用安裝補丁。然而對于本地網(wǎng)絡中不受控制的用戶系統(tǒng)而言，要做到這一點比較困難，而且如果這些系統(tǒng)通過虛擬專用網(wǎng)絡（ＶＰＮ）或遠程訪問服務器（ＲＡＳ）遠程連接到網(wǎng)絡，情況將更加復雜。上一頁下一頁返回任務３了解網(wǎng)絡安全的常規(guī)防范技術（５）入侵檢測和防御入侵檢測系統(tǒng)（ＩＤＳ）可以檢測對網(wǎng)絡的攻擊，并將日志發(fā)送到管理控制臺。入侵防御系統(tǒng)（ＩＰＳ）可以防御對網(wǎng)絡的攻擊，并提供除檢測以外的以下主動防御機制：防御———阻止檢測到的攻擊；應對———使系統(tǒng)對今后來自惡意源的攻擊免疫?？梢栽诰W(wǎng)絡級別或主機級別實施兩種技術中的任意一種，或者同時使用兩種技術以提供最強保護。基于主機的入侵檢測通常作為內(nèi)聯(lián)技術或被動技術實現(xiàn)，具體取決于廠商。上一頁下一頁返回任務３了解網(wǎng)絡安全的常規(guī)防范技術二、常見安全設備和應用程序規(guī)劃網(wǎng)絡時，安全始終是首要考慮因素。過去，人們可以想到的網(wǎng)絡安全設施只有防火墻?，F(xiàn)在僅靠防火墻已無法滿足網(wǎng)絡安全要求，必須使用包括防火墻、入侵防御和ＶＰＮ在內(nèi)的集成防護措施。集成防護措施及相應的安全設備需具備以下功能：威脅控制———管制網(wǎng)絡訪問、隔離受感染的系統(tǒng)、防御入侵，并通過阻止惡意流量（如蠕蟲和病毒）來保護資產(chǎn)。能夠提供威脅控制解決方案的設備包括：·ＣｉｓｃｏＡＳＡ５５００系列自適應安全設備；·集成多業(yè)務路由器（ＩＳＲ）；上一頁下一頁返回任務３了解網(wǎng)絡安全的常規(guī)防范技術·網(wǎng)絡準入控制；·用于臺式機的思科安全代理；·思科入侵防御系統(tǒng)。安全通信———使用ＶＰＮ保護網(wǎng)絡端點安全。支持組織部署ＶＰＮ的設備包括：采用ＣｉｓｃｏＩＯＳＶＰＮ解決方案的ＣｉｓｃｏＩＳＲ路由器、ＣｉｓｃｏＡＳＡ５５００和ＣｉｓｃｏＣａｔａｌｙｓｔ６５００交換機。網(wǎng)絡準入控制（ＮＡＣ）———根據(jù)角色防止未授權網(wǎng)絡訪問。思科可提供ＮＡＣ設備。思科集成多業(yè)務路由器（ＩＳＲ）上的ＣｉｓｃｏＩＯＳ軟件，如圖６－８所示。上一頁下一頁返回任務３了解網(wǎng)絡安全的常規(guī)防范技術三、網(wǎng)絡安全輪大多數(shù)安全事件發(fā)生的原因在于系統(tǒng)管理員沒有部署適當?shù)膶Σ?，而攻擊者或心懷不滿的員工則利用了這一疏忽。因此，不僅要確定存在的技術漏洞并找出相應的對策，還必須檢驗對策是否部署到位且工作正常。在遵循安全策略方面，一種連續(xù)的過程———“安全輪”已被證明是行之有效的方法?！鞍踩啞碧岢掷m(xù)地執(zhí)行測試和應用更新的安全措施。要啟動安全輪過程（見圖６－９），首先需要部署相關的安全策略。安全策略包括以下內(nèi)容：上一頁下一頁返回任務３了解網(wǎng)絡安全的常規(guī)防范技術·確定組織的安全目標；·記錄要保護的資源；·在現(xiàn)有的圖紙和設備清單中明確標識網(wǎng)絡基礎架構；·確定需要保護的重要資源，例如研發(fā)、財務和人力資源，這稱為風險分析。四、安全策略１.什么是安全策略安全策略是一組指導原則，其目的是為保護網(wǎng)絡免受來自企業(yè)內(nèi)部和外部的攻擊。制定策略之前，先思考以下問題：網(wǎng)絡如何幫助組織實現(xiàn)其遠景目標、任務，以及戰(zhàn)略規(guī)劃？業(yè)務需求會對網(wǎng)絡安全產(chǎn)生什么影響？如何將這些需求轉(zhuǎn)化為購買專用設備和加載到這些設備的配置上？上一頁下一頁返回任務３了解網(wǎng)絡安全的常規(guī)防范技術安全策略對組織而言有以下作用：提供審計現(xiàn)有網(wǎng)絡安全以及將需求與現(xiàn)狀進行對比的方法；規(guī)劃安全改進，包括設備、軟件和程序；定義公司管理層、管理員和用戶的角色和責任；定義允許哪些行為和不允許哪些行為；定義處理網(wǎng)絡安全事件的流程；作為站點間的標準，支持全局性的安全實施和執(zhí)行；有必要時可為訴訟提供證據(jù)。安全策略文檔是動態(tài)文件，這表示該文檔永遠不會結束，并且會隨著技術和員工需求的變化而不斷更新。它充當著管理目標和特定安全需求之間的橋梁。上一頁下一頁返回任務３了解網(wǎng)絡安全的常規(guī)防范技術２.安全策略的作用全面的安全策略應具備以下基本功能：保護人員和信息；設置用戶、系統(tǒng)管理員、管理人員和安全人員的預期行為準則；授權安全人員進行監(jiān)控、探測和調(diào)查；定義違規(guī)行為及其處置方式。安全策略適用于每個人，包括員工、承包商、供應商和訪問網(wǎng)絡的客戶。但是，安全策略應區(qū)別對待每一類群體。應該僅為每個群體展示與其工作和網(wǎng)絡訪問級別相對應的策略部分。上一頁下一頁返回任務３了解網(wǎng)絡安全的常規(guī)防范技術３.安全策略的組成ＳＡＮＳ協(xié)會（ｈｔｔｐ：／／ｗｗｗ.ｓａｎｓ.ｏｒｇ）提供了與眾多業(yè)界領導者（包括Ｃｉｓｃｏ）共同制定的指導原則，這些原則可用于為各種規(guī)模的組織開發(fā)全面的安全策略。并不是每個組織都需要用到所有這些策略。以下是組織采用的一些常規(guī)安全策略?！嘞藓头秶暶鳌x誰是企業(yè)安全策略的發(fā)起者，誰負責實施這些策略，以及策略的覆蓋范圍?！ず侠硎褂靡?guī)定（ＡＵＰ）———定義設備和計算服務的合理用途，以及用于保護企業(yè)公共資源和專有信息的正確員工行為。上一頁下一頁返回任務３了解網(wǎng)絡安全的常規(guī)防范技術·標識和身份驗證策略———定義公司使用哪些技術來確保僅授權人員可以訪問公司數(shù)據(jù)?！ぃ桑睿簦澹颍睿澹粼L問策略———定義員工和訪客應如何使用公司的Ｉｎｔｅｒｎｅｔ連接，哪些行為允許，哪些不允許。·園區(qū)訪問策略———定義員工和訪客合理使用園區(qū)技術資源的行為?！みh程訪問策略———定義遠程用戶如何使用公司的遠程訪問基礎架構?！な录幚沓绦颉付ㄕl將響應安全事件，以及事件的處理方式。除這些關鍵性的安全策略外，某些組織可能還需要其他一些策略，包括以下方面。上一頁下一頁返回任務３了解網(wǎng)絡安全的常規(guī)防范技術·自動轉(zhuǎn)發(fā)電子郵件策略———規(guī)定在未經(jīng)相應經(jīng)理或主管批準的情況下，禁止將電子郵件自動轉(zhuǎn)發(fā)到外部目的地?！だ]件策略———定義如何報告和處理垃圾郵件?！みh程訪問策略可能包括以下方面?！芴栐L問策略———定義授權人員應如何進行適當?shù)膿芴栐L問及使用。·遠程訪問策略———定義從位于公司外部的主機或網(wǎng)絡連接到公司網(wǎng)絡的標準?！ぃ郑校伟踩呗浴?guī)定在通過ＶＰＮ連接到組織網(wǎng)絡方面有哪些要求。策略中應聲明不遵守或違反安全策略的用戶可能會受到紀律處分，甚至被解雇。上一頁返回任務４熟悉路由器安全問題一、路由器在網(wǎng)絡安全中的作用構建局域網(wǎng)時，您可以使用基本的第二層局域網(wǎng)交換機來連接設備。然后使用路由器來根據(jù)第三層ＩＰ地址路由不同網(wǎng)絡之間的流量。路由器安全性在安全部署中至關重要。網(wǎng)絡攻擊者不可能放過路由器。如果攻擊者能夠侵入并訪問路由器，整個網(wǎng)絡都將面臨威脅。了解路由器在網(wǎng)絡中所扮演的角色可以幫助您了解路由器的漏洞所在。路由器扮演著以下角色（見圖６－１０）：·通告網(wǎng)絡并過濾網(wǎng)絡使用者；·提供對網(wǎng)段和子網(wǎng)的訪問。下一頁返回任務４熟悉路由器安全問題二、路由器是攻擊目標因為路由器是通往其他網(wǎng)絡的網(wǎng)關，所以它們是明顯的攻擊目標，容易遭受各種各樣的攻擊。以下是各種安全問題的一些示例（見圖６－１１）。訪問控制遭到破壞會暴露網(wǎng)絡配置的詳細信息，從而可以借此攻擊其他網(wǎng)絡組件。路由表遭到破壞會降低網(wǎng)絡性能、拒絕網(wǎng)絡通信服務并暴露敏感數(shù)據(jù)。錯誤配置的路由器流量過濾器會暴露內(nèi)部網(wǎng)絡組件，致使其被掃描到以及被攻擊，并使攻擊者更容易避開檢測。上一頁下一頁返回任務４熟悉路由器安全問題攻擊者可以使用不同的方法破壞路由器，因此網(wǎng)絡管理員無法僅靠單一方法對抗攻擊者。破壞路由器的方法與本章前面部分所介紹的攻擊類型相似，包括信任利用攻擊、ＩＰ欺騙、會話劫持和ＭＩＴＭ攻擊。注：本節(jié)重點介紹如何保護路由器安全。其中介紹的大部分方法也可用于保護交換機安全。三、保護網(wǎng)絡安全要確保網(wǎng)絡安全，第一步是為網(wǎng)絡邊界上的路由器提供安全保護。上一頁下一頁返回任務４熟悉路由器安全問題保護路由器安全需從以下方面著手：·物理安全；·隨時更新路由器ＩＯＳ；·備份路由器配置和ＩＯＳ；·加固路由器以避免未使用端口和服務遭到濫用。為確保物理安全，請將路由器放置在上鎖的房間內(nèi)，只允許授權人員進入該房間。此外設備不能受到任何靜電或電磁干擾，房間內(nèi)的溫度和濕度也需進行相應的控制。為減少由于電源故障而導致的ＤｏＳ，請安裝不間斷電源（ＵＰＳ）并儲備備用組件。上一頁下一頁返回任務４熟悉路由器安全問題四、管理路由器安全１.配置口令確?；韭酚善靼踩姆椒ㄊ桥渲每诹?。強口令是控制安全訪問路由器的最基本要素。因此，應該始終配置強口令。有關口令的最佳做法包括下列幾項：勿將口令記在明顯的地方，例如辦公桌或顯示器上?！け苊馐褂米值渲锌刹榈降膯卧~、姓名、電話號碼和日期。使用字典中的單詞容易使口令遭到字典攻擊?！そY合使用字母、數(shù)字和符號。包含小寫字母、大寫字母、數(shù)字和特殊字符至少各一個。上一頁下一頁返回任務４熟悉路由器安全問題·故意將口令中的詞拼錯。例如，Ｓｍｉｔｈ可以拼成Ｓｍｙｔｈ，或者還可以包括數(shù)字，例如５ｍＹｔｈ。此外Ｓｅｃｕｒｉｔｙ可以拼成５ｅｃｕｒ１ｔｙ?！ぴO置盡可能長的口令。最佳做法是設置至少８個字符的口令?？梢允褂茫茫椋螅悖铮桑希勇酚善髦械墓δ軄韽娭埔?guī)定最小口令長度，將在后面部分介紹此功能?！けM可能經(jīng)常更改口令。應該有一個策略，定義何時必須更改口令及更改口令的頻率。經(jīng)常更改口令有兩項優(yōu)點：既可以降低黑客破解口令的可能性，也可以避免口令被破解后信息暴露的風險。上一頁下一頁返回任務４熟悉路由器安全問題２.保護對路由器的管理訪問網(wǎng)絡管理員可以從本地或遠程連接到路由器或交換機。管理員傾向于通過本地連接控制臺端口來管理設備，因為此方法的安全性更高。隨著公司規(guī)模的擴大和網(wǎng)絡中路由器和交換機數(shù)量的增加，本地連接到所有設備的工作量將變得極大，管理員難以承受。對于需要管理許多設備的管理員來說，遠程管理訪問比本地訪問更加方便。但是，如果執(zhí)行方式不夠安全，攻擊者可能會從中收集到寶貴的機密信息。上一頁下一頁返回任務４熟悉路由器安全問題３.使用Ｔｅｌｎｅｔ和ＳＳＨ進行遠程管理訪問遠程訪問網(wǎng)絡設備對于網(wǎng)絡管理效率而言至關重要。遠程訪問通常指與路由器處于相同網(wǎng)際網(wǎng)絡的計算機通過Ｔｅｌｎｅｔ、安全外殼（ＳＳＨ）、ＨＴＴＰ、安全ＨＴＴＰ（ＨＴＴＰＳ）或ＳＮＭＰ連接到路由器。Ｔｅｌｎｅｔ服務雖然也屬于客戶機／服務器模型的服務，它的意義在于實現(xiàn)了基于Ｔｅｌｎｅｔ協(xié)議的遠程登錄（遠程交互式計算），遠程登錄是指用戶使用Ｔｅｌｎｅｔ命令，使自己的計算機暫時成為遠程主機的一個仿真終端的過程。仿真終端等效于一個非智能的機器，它只負責把用戶輸入的每個字符傳遞給主機，再將主機輸出的每個信息回顯在屏幕上。上一頁下一頁返回任務４熟悉路由器安全問題ＳＳＨ（安全外殼協(xié)議）是ＳｅｃｕｒｅＳｈｅｌｌ的縮寫，ＦＴＰ、ＰＯＰ和Ｔｅｌｎｅｔ在本質(zhì)上都是不安全的，因為它們在網(wǎng)絡上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些口令和數(shù)據(jù)。ＳＳＨ是建立在應用層和傳輸層基礎上的安全協(xié)議。ＳＳＨ是目前較可靠，專為遠程登錄會話和其他網(wǎng)絡服務提供安全性的協(xié)議。利用ＳＳＨ協(xié)議可以有效防止遠程管理過程中的信息泄露問題。上一頁下一頁返回任務４熟悉路由器安全問題４.采用ＳＳＨ保護遠程管理訪問以前，人們使用Ｔｅｌｎｅｔ通過ＴＣＰ端口２３配置路由器遠程管理訪問，但是，Ｔｅｌｎｅｔ被開發(fā)出的時候還不存在網(wǎng)絡安全威脅，因此，所有Ｔｅｌｎｅｔ流量都以明文形式發(fā)送。ＳＳＨ已取代Ｔｅｌｎｅｔ成為執(zhí)行遠程路由器管理的最佳做法。ＳＳＨ連接能夠加強隱私性和會話完整性，如圖６－１２所示。ＳＳＨ使用ＴＣＰ端口２２。除加密連接外，它提供的功能與出站Ｔｅｌｎｅｔ連接類似。ＳＳＨ使用身份驗證和加密在非安全網(wǎng)絡中進行安全通信。上一頁下一頁返回任務４熟悉路由器安全問題５.配置ＳＳＨ安全功能要在路由器上啟用ＳＳＨ，必須配置以下參數(shù)：·主機名；·域名；·非對稱密鑰；·本地身份驗證。·可選配置參數(shù)包括：·超時時間；·重試次數(shù)。上一頁下一頁返回任務４熟悉路由器安全問題使用ＴｅｒａＴｅｒｍ通過ＳＳＨ安全地連接到Ｒ２路由器，一旦發(fā)起連接，Ｒ２將顯示用戶名提示符，然后顯示密碼提示符。如果提供了正確的憑證，ＴｅｒａＴｅｒｍ將顯示路由器Ｒ２的用戶執(zhí)行模式提示符，如圖６－１３所示。上一頁返回任務５了解防火墻技術一、什么是防火墻所謂防火墻（ＦｉｒｅＷａｌｌ）指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障。防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡屏障，其目的就是防止外部網(wǎng)絡用戶未經(jīng)授權的訪問。它是一種計算機硬件和軟件的組合，使Ｉｎｔｅｒｎｅｔ與Ｉｎｔｒａｎｅｔ之間建立起一個安全網(wǎng)關（ＳｅｃｕｒｉｔｙＧａｔｅｗａｙ），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網(wǎng)關四個部分組成。下一頁返回任務５了解防火墻技術二、防火墻技術目前防火墻使用的技術主要有數(shù)據(jù)包過濾、應用網(wǎng)關和代理服務。層出不窮的新技術（如入侵檢測、ＶＰＮ）也逐漸應用到防火墻中。１.包過濾技術（ＰａｃｋｅｔＦｉｌｔｅｒ）路由器在其端口能夠區(qū)分包和限制包的能力叫包過濾（ＰａｃｋｅｔＦｉｌｔｅｒｉｎｇ）。其技術原理在于加入ＩＰ過濾功能的路由器逐一審查包頭信息，并根據(jù)匹配和規(guī)則決定包的前行或被舍棄，以達到拒絕發(fā)送可疑的包的目的。過濾路由器具備保護整個網(wǎng)絡、高效快速并且透明等優(yōu)點，同時也有定義復雜、消耗ＣＰＵ資源、不能徹底防止地址欺騙、涵蓋應用協(xié)議不全、無法執(zhí)行特殊的安全策略并且不提供日志等局限性。上一頁下一頁返回任務５了解防火墻技術２.應用網(wǎng)關應用網(wǎng)關技術在網(wǎng)絡的應用層完成協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡應用協(xié)議，使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的登記、統(tǒng)計和分析，形成日志報告。數(shù)據(jù)包過濾與應用網(wǎng)關有一個共同的特點，就是它們僅依靠特定的邏輯來判斷是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計算機系統(tǒng)就會建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解內(nèi)部網(wǎng)的結構和運行狀態(tài)，這種方式顯然有利于實施非法訪問和攻擊。上一頁下一頁返回任務５了解防火墻技術３.代理服務在Ｉｎｔｅｒｎｅｔ上指ＰｒｏｘｙＳｅｒｖｅｒ，即代理服務器，它是一個軟件，運行于某臺計算機上，使用代理服務器的計算機與Ｉｎｔｅｒｎｅｔ交換信息時都先將信息發(fā)給代理服務器，由其轉(zhuǎn)發(fā)，并且將收到的應答回送給該計算機。使用代理服務器的目的有：出于安全考慮或局域網(wǎng)的Ｉｎｔｅｒｎｅｔ出口有限等。代理服務也稱鏈路級網(wǎng)關或ＴＣＰ通道，它是針對數(shù)據(jù)包過濾和應用網(wǎng)關技術存在的缺點而引入的。其特點是將所跨越防火墻的網(wǎng)絡通信鏈路分為兩段，外部計算機的網(wǎng)絡鏈路只能到達代理服務器，不能直接連接到內(nèi)部網(wǎng)的任何機器上。這樣，防火墻就可以很好地把內(nèi)外網(wǎng)絡分隔。代理服務也對過往的數(shù)據(jù)包進行登記、分析，形成日志報告。上一頁下一頁返回任務５了解防火墻技術三、防火墻的體系結構從應用體系結構上看，防火墻又可分為分組過濾型、雙宿主主機型、屏蔽主機型和屏蔽子網(wǎng)型四種。１.分組過濾型分組過濾型防火墻是最早使用的防火墻，通常采用一臺過濾路由器實現(xiàn)。對所接收的每個數(shù)據(jù)包，根據(jù)過濾規(guī)則決定允許或拒絕。過濾規(guī)則基于ＩＰ報頭信息、封裝協(xié)議（ＴＣＰ、ＵＤＰ、ＩＣＭＰ等）、ＴＣＰ／ＩＰ目標端口、ＩＣＭＰ消息類型等。如果根據(jù)規(guī)則允許數(shù)據(jù)包通過，則按照路由協(xié)議進行轉(zhuǎn)發(fā)，否則就將其丟棄。上一頁下一頁返回任務５了解防火墻技術為理解路由器如何使用數(shù)據(jù)包過濾這一功能，可以想象一下在上鎖的門前站崗的保安。該保安收到的命令是：只允許名單中列出的人員進入大門。因此，這位保安是根據(jù)“姓名是否出現(xiàn)在授權名單中”這一標準來過濾人員的。２.雙宿主主機型多宿主主機這個詞是用來描述配有多個網(wǎng)卡的主機，每個網(wǎng)卡都和網(wǎng)絡相連接。代理服務器可以算是多宿主主機防火墻的一種。在歷史上，多宿主主機可以在網(wǎng)段之間傳送流量，今天一般都使用專門的路由器來完成ＩＰ路由轉(zhuǎn)發(fā)。雙宿主主機是多宿主主機的一個特例，它有兩個網(wǎng)卡（見圖６－１４），并禁止路由功能。上一頁下一頁返回任務５了解防火墻技術３.屏蔽主機型屏蔽主機型防火墻系統(tǒng)由包過濾路由器和堡壘主機組成。所謂堡壘主機（ＢａｓｔｉｏｎＨｏｓｔ）指的是任何對網(wǎng)絡安全至關重要的運行防火墻系統(tǒng)的主機。在這種體系結構下，堡壘主機是網(wǎng)絡安全的中心，必須由網(wǎng)絡管理員嚴密監(jiān)控。雙宿主主機也可以看作是堡壘主機的一個特例。屏蔽主機型防火墻比雙宿主主機防火墻更安全。在屏蔽主機型防火墻體系結構中堡壘主機配置在內(nèi)部網(wǎng)絡上，具有包過濾功能的路由器則放在內(nèi)網(wǎng)與外網(wǎng)之間。換句話說就是防火墻不直接連接外網(wǎng)，這樣的形式提供一種非常有效的并且容易維護的防火墻體系。上一頁下一頁返回任務５了解防火墻技術因為路由器具有數(shù)據(jù)過濾功能，路由器通過適當配置后，可以實現(xiàn)一部分防火墻的功能，因此，有人把屏蔽路由器也當作防火墻系統(tǒng)的一部分，如圖６－１５所示。４.屏蔽子網(wǎng)型屏蔽子網(wǎng)型由兩個包過濾路由器和一個堡壘主機構成。堡壘主機和公用服務器放在一個叫作非軍事區(qū)（ＤＭＺ）、處于外部網(wǎng)絡和內(nèi)部網(wǎng)之間的小網(wǎng)絡中，如圖６－１６所示。四、防火墻功能不同廠家的防火墻的功能各有特點，下面討論一般防火墻都具備的功能———訪問控制列表（ＡｃｃｅｓｓＣｏｎｔｒｏｌＬｉｓｔ，ＡＣＬ）。上一頁下一頁返回任務５了解防火墻技術１.什么是ＡＣＬ包過濾幾乎是所有防火墻的功能，它主要按照過濾規(guī)則，通過對防火墻的數(shù)據(jù)包檢查，決定數(shù)據(jù)包是否通過防火墻。檢查的范圍涉及網(wǎng)絡層、傳輸層和會話層。過濾匹配的原則可以包括源地址、目的地址、傳輸協(xié)議、目的端口等。ＡＣＬ定義了各種規(guī)則來表明同意或拒絕某種數(shù)據(jù)包的通過。ＡＣＬ是一系列ｐｅｒｍｉｔ（允許）或ｄｅｎｙ（拒絕）語句組成的順序列表，應用于ＩＰ地址或上層協(xié)議。ＡＣＬ可以從數(shù)據(jù)包報頭中提取以下信息，根據(jù)規(guī)則進行測試，然后決定是“允許”還是“拒絕”：上一頁下一頁返回任務５了解防火墻技術·源ＩＰ地址；·目的ＩＰ地址；·ＩＣＭＰ消息類型?！ぃ粒茫桃部梢蕴崛∩蠈有畔⒉⒏鶕?jù)規(guī)則對其進行測試。上層信息包括：·ＴＣＰ／ＵＤＰ源端口；·ＴＣＰ／ＵＤＰ目的端口。２.數(shù)據(jù)包過濾示例數(shù)據(jù)包過濾是對數(shù)據(jù)包實施有選擇的通過，即通過設置的過濾規(guī)則（通常稱為ＡＣＬ），只有滿足過濾規(guī)則的數(shù)據(jù)包才被轉(zhuǎn)發(fā)至相應的網(wǎng)絡接口，其余數(shù)據(jù)包則被從數(shù)據(jù)流中刪除。上一頁下一頁返回任務５了解防火墻技術例如：規(guī)定“僅允許來自網(wǎng)絡Ａ的用戶訪問Ｗｅｂ；拒絕來自網(wǎng)絡Ｂ的用戶訪問Ｗｅｂ，但允許他們進行所有其他訪問”。請參照圖６－１７，了解數(shù)據(jù)包過濾器完成該任務所使用的決定過程。３.３Ｐ原則記?。常性瓌t，便記住了在路由器上應用ＡＣＬ的一般規(guī)則?？梢詾槊糠N協(xié)議（ＰｅｒＰｒｏｔｏｃｏｌ）、每個方向（ＰｅｒＤｉｒｅｃｔｉｏｎ）、每個接口（ＰｅｒＩｎｔｅｒｆａｃｅ）配置一個ＡＣＬ，如圖６－１８所示。上一頁下一頁返回任務５了解防火墻技術每種協(xié)議一個ＡＣＬ———要控制接口上的流量，必須為接口上啟用的每種協(xié)議定義相應的ＡＣＬ。每個方向一個ＡＣＬ———一個ＡＣＬ只能控制接口上一個方向的流量，要控制入站流量和出站流量，必須分別定義兩個ＡＣＬ。每個接口一個ＡＣＬ———一個ＡＣＬ只能控制一個接口（如快速以太網(wǎng)０／０）上的流量。４.ＡＣＬ的工作原理ＡＣＬ定義了一組規(guī)則，用于對進入入站接口的數(shù)據(jù)包、通過路由器中繼的數(shù)據(jù)包以及從路由器出站接口輸出的數(shù)據(jù)包施加額外的控制。ＡＣＬ對路由器自身產(chǎn)生的數(shù)據(jù)包不起作用。上一頁下一頁返回任務５了解