信息安全常见名词解释

1. B/S架构：即浏览器和服务器结构。客户机上只要安装一个浏览器（Browser），如Netscape Navigator或Internet Explorer，服务器安装Oracle、Sybase、Informix或 SQL Server等数据库。浏览器通过Web Server同数据库进行数据交互。 这样就大大简化了客户端电脑载荷，减轻了系统维护与升级的成本和工作量，降低了用户的总体成本。

2. C/S结构：客户机和服务器结构，充分利用两端硬件环境的优势，将任务合理分配到Client端和Server端来实现，降低了系统的通讯开销。

3. 网站漏洞：随着B/S模式被广泛的应用，用这种模式编写Web应用程序的程序员也越来越多。但由于开发人员的水平和经验参差不齐，相当一部分的开发人员在编写代码的时候，没有对用户的输入数据或者是页面中所携带的信息(如Cookie)进行必要的合法性判断，导致了攻击者可以利用这个编程漏洞来入侵数据库或者攻击Web应用程序的使用者，由此获得一些重要的数据和利益。

4. 网页木马：网页木马就是表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中，当有人访问时，网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。

5. 网页敏感内容检测：对网页内容，包括关键词等进行自动化检测，给用户以提示。

6. 网页变更检测：检测网页内容、链接等是否被篡改。

7. 网页坏链：即点了这个链接，没有跳到这个链接指向的网站，可能是所指网站不存在了，或者变更网址了。

8. 网站DNS检测：DNS（Domain Name System，域名系统）是因特网上作为域名和IP地址相互映射的一个分布式数据库，有了主机名，就不要死记硬背每台IP设备的IP地址，只要记住相对直观有意义的主机名就行了。这就是DNS协议所要完成的功能。网站DNS检测的功能就是解析出网站的域名和IP地址映射关系。

9. 网站可用性检测：检测网站系统是否正常运行。

10. 取证式扫描技术：扫描系统、网站、数据库漏洞，并利用该漏洞，获得控制数据库，操作系统文件等，可以对目标执行操作系统命令、管理目标磁盘文件。

11. SaaS：Software-as-a-Service（软件即服务）。把以往买软件改成了买服务。它是一种通过Internet提供软件的模式，厂商将应用软件统一部署在自己的服务器上，客户可以根据自己实际需求，通过互联网向厂商定购所需的应用软件服务，并通过互联网获得厂商提供的服务。用户不用再购买软件，而改用向提供商租用基于Web的软件，来管理企业经营活动，且无需对软件进行维护，服务提供商会全权管理和维护软件，软件厂商在向客户提供互联网应用的同时，也提供软件的离线操作和本地数据存储，让用户随时随地都可以使用其定购的软件和服务。对于许多小型企业来说，SaaS是采用先进技术的最好途径，它消除了企业购买、构建和维护基础设施和应用程序的需要。

12. 渗透测试：专业人员采用“攻击者心态”，使用实际攻击者利用的相同的工具和技术来探测安全漏洞。渗透测试被广泛认为对系统安全性的最好检验，因为它最接近真实世界的攻击。

13. Cookie注入：通过修改网页Cookie达到破解管理员密码、篡改网页等操作。

14.木马病毒：“木马”程序是目前比较流行的病毒文件，与一般的病毒不同，它不会自我繁殖，也并不“刻意”地去感染其他文件，它通过将自身伪装吸引用户下载执行，向施种木马者提供打开被种主机的门户，使施种者可以任意毁坏、窃取被种者的文件，甚至远程操控被种主机。

15.安全基线：是借用“基线”的概念。字典上对“基线”的解释是：一种在测量、计算或定位中的基本参照。如海岸基线，是水位到达的水位线。类比于“木桶理论”，可以认为安全基线是安全木桶的最短板，或者说，是最低的安全要求。

16.堡垒机：其从功能上讲，它综合了核心系统运维和安全审计管控两大主干功能，从技术实现上讲，通过切断终端计算机对网络和服务器资源的直接访问，而采用协议代理的方式，接管了终端计算机对网络和服务器的访问。形象地说，终端计算机对目标的访问，均需要经过运维安全审计的翻译。打一个比方，运维安全审计扮演着看门者的工作，所有对网络设备和服务器的请求都要从这扇大门经过。因此运维安全审计能够拦截非法访问，和恶意攻击，对不合法命令进行命令阻断，过滤掉所有对目标设备的非法访问行为，并对内部人员误操作和非法操作进行审计监控，以便事后责任追踪。

17.0Day漏洞：信息安全意义上的0Day是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。

18.网页挂马：黑客入侵了一些门户网站后，将自己编写的网页木马嵌入被黑门户网站的主页中，利用被黑网站的流量将网页木马进行传播，以达到盗号、窃取个人信息等目的。

19.OWASP Top 10：开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个非营利组织。OWASP Top 10指该组织发布的10个最常见的WEB攻击方式。

20.漏洞指纹探测方式：按照设备或软件的版本信息，比对漏洞库中的该版本涵盖的已知漏洞，展示漏洞信息。

21.端口镜像：交换机把某一个端口接收或发送的数据帧完全相同的复制给另一个端口；其中被复制的端口称为镜像源端口，复制的端口称为镜像目的端口。

22.鱼叉攻击：“鱼叉攻击”是黑客攻击方式之一，最常见的做法是，将木马程序作为电子邮件的附件，并起上一个极具诱惑力的名称，发送给目标电脑，诱使受害者打开附件，从而感染木马。

23.网络渗透：指对大型的网络主机服务器群组采用的一种迂回渐进式的攻击方法，通过长期而有计划地逐步渗透攻击进入网络，最终完全控制整个网络。“网络渗透攻击”之所以能够成功，是因为网络上总会有一些或大或小的安全缺陷或漏洞。

24.广域网：广域网（WAN，Wide Area Network）也称远程网（long haul network ）。通常跨接很大的物理范围，所覆盖的范围从几十公里到几千公里，它能连接多个城市或国家，或横跨几个洲并能提供远距离通信，形成国际性的远程网络。覆盖的范围比局域网（LAN）和城域网（MAN）都广。广域网的通信子网主要使用分组交换技术。广域网的通信子网可以利用公用分组交换网、卫星通信网和无线分组交换网，它将分布在不同地区的局域网或计算机系统互连起来，达到资源共享的目的。如因特网（Internet）是世界范围内最大的广域网。

25.公网：INETERNET基础网络,俗称为外网. 公网即国际互联网（Internet），它是把全球不同位置、不同规模的计算机网络（包括局域网、 城域网、 广域网）相互连接在一起所形成的计算机网络的集合体。我们通常所浏览的WWW站点、FTP站点以及沟通时所采用的 即时通讯软件均属于服务在Internet（公网）的应用程序，因此也称它们为“网络应用程序”。

26.核心交换机：电脑达到一定数量才会要用上核心交换机，而基本在50台以下无需用核心交换机，有个路由器即可。所谓的核心交换机是针对网络架构而言，如果是个几台电脑的小局域网，一个8口的小交换机就可以称之为核心交换机！而在网络行业中核心交换机是指有网管功能，吞吐量强大的2层或者3层交换机，一个超过100台电脑的网络,如果想稳定并高速的运行,核心交换机必不可少。

27.蠕虫病毒：蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播，传染途径是通过网络和电子邮件。

28.IPS：入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙(Packet Filter, Application Gateway)的补充。 入侵预防系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

29.对等数据服务：对等网(Peer to Peer)，在对等网络中，所以计算机地位平台，没有从属关系，也没有专用的服务器和客户机。网络中的资源是分散在每台计算机上的,每一台计算机都有可能成为服务器也以可能成为客户机。网络的安全验证在本地进行，一般对等网络中的用户小于或等于10台，如图1-10所示。对等网能够提供灵活的共享模式，组网简单、方便、但难于管理，安全性能较差。它可满足一般数据传输的需要，所以一些小型单位在计算机数量较少时可选用“对等网”结构。

30.报文：即数据包，在OSI模型中，网络层及其以上层级，传输的数据单元均为包，即报文。数据链路层传输单元为帧，物理层为比特流。

31.二层\三层交换机：二层交换机相当于集线器？最简单的数据交互，不带路由功能。三层交换机为带路由功能的二层交换机。

32.VxWorks：嵌入式实时操作系统，它以其良好的可靠性和卓越的实时性被广泛地应用在通信、军事、航空、航天等高精尖技术及实时性要求极高的领域中。

33.双因子认证：常规密码、挑战应答、动态口令、物理设备、生物识别技术和数字证书等身份鉴别方式中的两种或两种以上。

34.蜜罐系统：好比是情报收集系统。蜜罐好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

35.远程桌面：应用层为rdp协议；与Telnet不同，Telnet是字符形式的远程控制，远程桌面是图形化的远程控制，直接显示了对方的桌面。相比，Telnet占用带宽少，速度快。

36.DPI技术：即DPI(Deep Packet Inspection)深度包检测技术是一种基于应用层的流量检测和控制技术，当IP数据包、TCP或UDP数据流通过基于DPI技术的带宽管理系统时，该系统通过深入读取IP包载荷的内容来对OSI七层协议中的应用层信息进行重组，从而得到整个应用程序的内容，然后按照系统定义的管理策略对流量进行整形操作。

37：关键信息基础设施：指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的系统。

38：SSH或Telent：SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠，专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix，以及其他平台，都可运行SSH。

39.Telnet：Telnet协议是TCP/IP协议族中的一员，它为用户提供了在本地计算机上完成远程主机工作的能力。终端使用者可以在telnet程序中输入命令，这些命令会在服务器上运行，就像直接在服务器的控制台上输入一样。Telnet是常用的远程控制Web服务器的方法。

40.Windows远程终端服务：可以是Telnet或者远程桌面等等服务。

41.交互式登录：等待你的输入，并且执行你提交的命令，如“登录、执行一些命令、签退”这个过程；另外一种模式：非交互式模式。在这种模式下，shell不与你进行交互，而是读取存放在文件中的命令,并且执行它们。当它读到文件的结尾，shell也就终止了。

42.全双工通讯方式：一个信道中，可以同时且双向传递数据。

43.0.0.0.0:它表示的是这样一个集合：　　1、所有不清楚的主机和目的网络。这里的“不清楚”是指在本机的路由表里没有特定条目指明如何到达。　　2、对本机来说，它就是一个“收容所”，所有不认识的“三无”人员，一 律送进去。　　3、如果在网络设置中设置了缺省网关，那么Windows系统会自动产生一个目的地址为0.0.0.0的缺省路由。

44.Tomcat:Tomcat 服务器是一个免费的开放源代码的Web 应用服务器，对于一个初学者来说，可以这样认为，当在一台机器上配置好Apache 服务器，可利用它响应HTML（标准通用标记语言下的一个应用）页面的访问请求。

45.JSP:全名为Java Server Pages，中文名叫java服务器页面，其根本是一个简化的Servlet设计，它是由Sun Microsystems公司倡导、许多公司参与一起建立的一种动态网页技术标准。JSP技术有点类似ASP技术，它是在传统的网页HTML（标准通用标记语言的子集）文件(*.htm,*.html)中插入Java程序段(Scriptlet)和JSP标记(tag)，从而形成JSP文件，后缀名为(*.jsp)。用JSP开发的Web应用是跨平台的，既能在Linux下运行，也能在其他操作系统上运行。

46.webshell（网页后门）：网页后门其实就是一段网页代码，主要以ASP和PHP代码为主。攻击者通过这段精心设计的代码，在服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透，提权获得服务器的控制权。webshell可以穿越服务器防火墙，由于与被控制的服务器或远程过80端口传递的，因此不会被防火墙拦截。并且使用webshell一般不会在系统中留下记录，只会在网站的web日志中留下一些数据提交记录，没有经验的管理员是很难看出入侵痕迹的。

47.Hosts文件作用：hosts文件是一个用于储存计算机网络中各节点信息的计算机文件。这个文件负责将主机名映射到相应的IP地址。1）hosts文件通常用于补充或取代网络中DNS的功能。和DNS不同的是，计算机的用户可以直接对hosts文件进行控制。hosts文件也可以用于其它情况，例如可以将已知的广告服务器重定向到无广告的机器（通常是本地的IP地址：127.0.0.1）上来过滤广告。同时也可以通过不下载网络广告，从而减少带宽。使用hosts文件还可减少对DNS服务器的访问来加快访问速度并减少带宽消耗。
2）hosts文件的另一个重要用途就是用于拦截一些恶意网站的请求，从而防止访问欺诈网站或感染一些病毒或恶意软件。但同时，这个文件也可能被病毒或恶意软件所利用来阻止用户更新杀毒软件或访问特定网站。
3）另外也可以通过修改hosts文件来强制将网站指定到正确的IP上，从而访问那些因为某些原因不能访问的站点。此外一些软件的破解激活也经常用到hosts文件，原理就是屏蔽软件自动连接官方服务器验证激活信息是否正确。

48.OLE,Object Linking and Embedding，对象连接与嵌入，简称OLE技术。OLE 不仅是桌面应用程序集成，而且还定义和实现了一种允许应用程序作为软件“对象”（数据集合和操作数据的函数）彼此进行“连接”的机制，这种连接机制和协议称为组件对象模型（COM），是一种面向对象的技术，利用这种技术可开发可重复使用的软件组件（COM）。

49.畸形报文攻击:形报文攻击指的是攻击者指使代理向受害主机发送错误成型的IP报文以使其崩溃。有两种畸形报文攻击方式。

1）一种是IP地址攻击，攻击报文拥有相同的源IP和目的IP位址。它能迷惑受害主机的操作系统，并使其消耗大量的处理能力。

2）另一个是IP报文可选段攻击。攻击报文随机选取IP报文的可选段并将其所有的服务比特值设为1。对此，受害系统不得不花费额外的处理时间来分析资料包。当发动攻击的代理足够多时，受害系统将失去处理能力。

50.Mac地址冲突:mac地址冲突会导致报文混乱， 网络没法区分mac1和mac2, 从而导致网络异常。万恶的教科书说，mac地址全世界唯一，不会冲突，还说mac地址不能修改, 扯淡啊，mac地址可能冲突，mac地址也可以修改。

51.为什么局域网的IP普遍是192.168开头：IPv4地址分为A、B、C、D、E五类，出去特殊作用的D、E两类，剩下的A、B、C三类地址是我们常见的IP地址段。A类地址的容量最大，可以容纳16777214个主机，B类地址可以容纳65534个主机，C类地址可以容纳254个主机。
在这三类地址中，绝大多数的IP地址都是公有地址，需要向国际互联网信息中心申请注册。但是在IPv4地址协议中预留了3个IP地址段，作为私有地址，供组织机构内部使用。
这三个地址段分别位于A、B、C三类地址内：
A类地址：10.0.0.0--10.255.255.255
B类地址：172.16.0.0--172.31.255.255
C类地址：192.168.0.0--192.168.255.255
所以局域网在选取使用私有地址时，一般会按照实际需要容纳的主机数来选择私有地址段。常见的局域网由于容量小，一般选择C类的192.168.0.0作为地址段使用，一些大型企业就需要使用B类甚至A类地址段作为内部网络的地址段。
最后需要补充说明的是，由于NAT和子网掩码的存在，实际在使用中，一个C类大小的局域网也可以选择A类的10.0.0.0网段作为自己的IP地址段。大多数局域网之所以仍然选择192.168.0.0/24或者192.168.1.0/24作为自己的IP地址段，更多的是因为约定成俗或者说网管个人习惯的关系。

52：代理（agent）：

代理服务器英文全称是Proxy Server，其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。在一般情况下，我们使用网络浏览器直接去连接其他Internet站点取得网络信息时，须送出Request信号来得到回答，然后对方再把信息以bit方式传送回来。代理服务器是介于浏览器和Web服务器之间的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，Request信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。而且，大部分代理服务器都具有缓冲的功能，就好象一个大的Cache，它有很大的存储空间，它不断将新取得数据储存到它本机的存储器上，如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的，那么它就不重新从Web服务器取数据，而直接将存储器上的数据传送给用户的浏览器，这样就能显著提高浏览速度和效率。更重要的是：Proxy Server(代理服务器)是Internet链路级网关所提供的一种重要的安全功能，它的工作主要在开放系统互联(OSI)模型的对话层。主要的功能有：
代理功能：
1．突破自身IP访问限制，访问国外站点。教育网、169网等网络用户可以通过代理访问国外网站。
2．访问一些单位或团体内部资源，如某大学FTP(前提是该代理地址在该资源 的允许访问范围之内)，使用教育网内地址段免费代理服务器，就可以用于对教育网开放的各类FTP下载上传，以及各类资料查询共享等服务。
3．突破中国电信的IP封锁：中国电信用户有很多网站是被限制访问的，这种限制是人为的，不同Serve对地址的封锁是不同的。所以不能访问时可以换一个国 外的代理服务器试试。
4．提高访问速度：通常代理服务器都设置一个较大的硬盘缓冲区，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时， 则直接由缓冲区中取出信息，传给用户，以提高访问速度。
5．隐藏真实IP：上网者也可以通过这种方法隐藏自己的IP，免受攻击。

53.NVR、DVR的区别:
NVR：是(Network Video Recorder即网络硬盘录像机)的缩写。NVR最主要的功能是通过网络接收IPC（网络摄像机）设备传输的数字视频码流， 并进行存储、管理，从而实现网络化带来的分布式架构优势。 简单来说，通过Nvr，可以同时观看、浏览、回放、管理、存储多个网络摄像机。摆脱了电脑硬件的牵绊，再也不用面临安装软件的繁琐。如果所有摄像机网络化，那么必由之路就是有一个集中管理核心出现。
NVR主要应用于网络摄像机的存储与控制设备！
DVR：DigitalVideoRecorder（硬盘录像机），即数字视频录像机，相对于传统的模拟视频录像机，采用硬盘录像，故常常被称为硬盘录像机，也被称为DVR。它是一套进行图像存储处理的计算机系统，具有对图像/语音进行长时间录像、录音、远程监视和控制的功能。
DVR主要是应用于模拟摄像摄像头的存储与控制设备！
54.NB-IOT:属于低功耗广域网络（LPWAN）中的一个典型代表，该协议具有功耗低、传播远、稳定等特点，尤其适用于物联网中设备的通信。

55.intranet\Internet： intranet指局域网，Internet指互联网即公网。

56.文件MD5值: MD5在论坛上、软件发布时经常用，是为了保证文件的正确性，防止一些人盗用程序，加些木马或者篡改版权，设计的一套验证系统。每个文件都可以用MD5验证程序算出一个固定的MD5码来。软件作者往往会事先计算出他的程序的MD5码并帖在网上。因此，在网上看到某个程序下载旁注明了MD5码时，可以把它记下来，下载了这个程序后用MD5验证程序计算你所下载的文件的MD5码，和你之前记下MD5码比较，就知道你下的是不是原版了，如果两者相同，那么你所下载的是原版。如果计算出来的和网上注明的不匹配，那么你下载的这个文件不完整，或是被别人动过手脚。

如果你经常使用网盘的话，你会发现有些好几G的文件一下子就上传上去了，官方称“极速秒传”，应用的就是"md5码"这类的技术。当你上传文件的时候，软件就会为你的文件生成一个md5码，先将md5码上传，然后在服务器的“md5码库”里寻找有没有相同的md5码，如果有，OK，你的文件不用上传了，服务器上已经有了，直接分配一个链接给你就可以了，这就是“极速秒传”。说白了，就是已经有人花长时间上传过一模一样的文件。你不用花大把时间上传，服务器也不用花大把时间接收，你省带宽，他也省带宽，两全齐美。

• MD5码计算过程中会不会把文件名和文件创建修改时间算在内? ——不会，只hash文件内容。
• 不同文件也可以有相同的MD5校验值？——MD5校验并不陌生，它常常被用于文件的一致性校验，在各大下载站都可以看到它的身影。MD5可以为任何文件产生一个同样独一无二的“数字指纹”，如果对文件做了任何改动，哪怕仅仅修改了1字节，其MD5值都会发生变化。正是因此，利用MD5算法来进行文件校验的方案被大量应用到软件下载站、论坛数据库、系统文件安全等方面。突然产生这样一个想法：不同文件也可以有相同的MD5校验值。   MD5校验值的长度是固定的128Bit，其总共有2的128次方种不同的值；而被MD5校验的文件长度却是任意的：可以是1Bit、1KB甚至1GB，也就是说可以有正无穷个不同的文件。用这有限的2的128次方种不同的值去匹配正无穷个文件，结果是必然有重复的。同一个MD5值有多少不同的文件呢？答案一定是正无穷个，具体可以参考http://www.izhuyue.com/644.html

57. hash：一般翻译做“散列”，也有直接音译为“哈希”的，就是把任意长度的输入（又叫做预映射， pre-image），通过散列算法，变换成固定长度的输出，该输出就是散列值。这种转换是一种压缩映射，也就是，散列值的空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，所以不可能从散列值来唯一的确定输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。

58.透明代理：透明代理的意思是客户端根本不需要知道有代理服务器的存在，它改变你的报文，并会传送真实IP，多用于路由器的NAT转发中。

59.SFTP：是Secure File Transfer Protocol的缩写，安全文件传送协议。可以为传输文件提供一种安全的加密方法。sftp 与 ftp 有着几乎一样的语法和功能。SFTP 为 SSH的一部分，是一种传输档案至 Blogger 伺服器的安全方式。其实在SSH软件包中，已经包含了一个叫作SFTP(Secure File Transfer Protocol)的安全文件传输子系统，SFTP本身没有单独的守护进程，它必须使用sshd守护进程（端口号默认是22）来完成相应的连接操作，所以从某种意义上来说，SFTP并不像一个服务器程序，而更像是一个客户端程序。SFTP同样是使用加密传输认证信息和传输的数据，所以，使用SFTP是非常安全的。但是，由于这种传输方式使用了加密/解密技术，所以传输效率比普通的FTP要低得多，如果您对网络安全性要求更高时，可以使用SFTP代替FTP。

60.泛安全类设备：一切和安全有关的设备和产品，包括传统安全设备和新型的如云WAF，云堡垒，工控安全产品，手机安全产品，嵌入式安全产品等。

61:射频识别技术（RFID）:（Radio Frequency Identification）技术，又称无线射频识别，是一种通信技术，可通过无线电讯号识别特定目标并读写相关数据，而无需识别系统与特定目标之间建立机械或光学接触。
射频的话，一般是微波，1-100GHz，适用于短距离识别通信。
RFID读写器也分移动式的和固定式的，目前RFID技术应用很广，如：图书馆，门禁系统，食品安全溯源等。

62：工业交换机：功能和商用交换机一致，区别体现在稳定性和对抗恶劣环境的能力。

63：工业防火墙：在商用防火墙的基础上增加了对工业协议的深度解析，支持对报文的应用层识别，达到发现恶意指令，并拦截的目的。

64：指令级的工业控制协议通信记录：工业控制协议通常是以太网协议，符合TCP\IP标准，主要是应用层的私有化。工业安全防火墙和工业安全审计设备优势就需要体现在对工业协议的深度解析，工控设备一般是从报文中接受上级的指令级命令，所以支持指令级的解析变得很有意义。

65.虚拟专用网络（VPN）:在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。

66.以太网和互联网的区别：以太网是一种技术，以TCP\IP标准为主，互联网也是用的以太网技术，互联网一般是我们理解的公网，局域网也是用的以太网技术，局域网一般是我们理解的内网。

67.ICMP协议：ICMP协议是一种面向无连接的协议，用于传输出错报告控制信息。ICMP提供一致易懂的出错报告信息。发送的出错报文返回到发送原数据的设备，因为只有发送设备才是出错报文的逻辑接受者。发送设备随后可根据ICMP报文确定发生错误的类型，并确定如何才能更好地重发失败的数据包。但是ICMP唯一的功能是报告问题而不是纠正错误，纠正错误的任务由发送方完成。

比如我们经常使用的用于检查网络通不通的Ping命令（Linux和Windows中均有），这个“Ping”的过程实际上就是ICMP协议工作的过程。

68.僵尸网络（botnet）:是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。僵尸网络是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息，譬如银行帐户的密码与社会安全号码等也都可被黑客随意“取用”。因此，不论是对网络安全运行还是用户数据安全的保护来说，僵尸网络都是极具威胁的隐患。僵尸网络的威胁也因此成为目前一个国际上十分关注的问题。然而，发现一个僵尸网络是非常困难的，因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”，这些主机的用户往往并不知情。因此，僵尸网络是目前互联网上黑客最青睐的作案工具。

69.流量镜像：通过在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听，指定端口称之为“镜像端口”或“目的端口”，在不严重影响源端口正常吞吐流量的情况下，可以通过镜像端口对网络的流量进行监控分析。在企业中用镜像功能，可以很好地对企业内部的网络数据进行监控管理，在网络出故障的时候，可以快速地定位故障。

70.IMAP:

IMAP全称是Internet Mail Access Protocol，即交互式邮件存取协议，它是跟POP3类似邮件访问标准协议之一。不同的是，开启了IMAP后，您在电子邮件客户端收取的邮件仍然保留在服务器上，同时在客户端上的操作都会反馈到服务器上，如：删除邮件，标记已读等，服务器上的邮件也会做相应的动作。所以无论从浏览器登录邮箱或者客户端软件登录邮箱，看到的邮件以及状态都是一致的。

71.SMTP:

SMTP 的全称是“Simple Mail Transfer Protocol”，即简单邮件传输协议。它是一组用于从源地址到目的地址传输邮件的规范，通过它来控制邮件的中转方式。SMTP 协议属于 TCP/IP 协议簇，它帮助每台计算机在发送或中转信件时找到下一个目的地。SMTP 服务器就是遵循 SMTP 协议的发送邮件服务器。

SMTP 认证，简单地说就是要求必须在提供了账户名和密码之后才可以登录 SMTP 服务器，这就使得那些垃圾邮件的散播者无可乘之机。增加 SMTP 认证的目的是为了使用户避免受到垃圾邮件的侵扰。

72.POP3:
POP3是Post Office Protocol 3的简称，即邮局协议的第3个版本,它规定怎样将个人计算机连接到Internet的邮件服务器和下载电子邮件的电子协议。它是因特网电子邮件的第一个离线协议标准,POP3允许用户从服务器上把邮件存储到本地主机（即自己的计算机）上,同时删除保存在邮件服务器上的邮件，而POP3服务器则是遵循POP3协议的接收邮件服务器，用来接收电子邮件的。

73.json：JSON(JavaScript Object Notation, JS 对象标记) 是一种轻量级的数据交换格式。它基于 ECMAScript 规范的一个子集，采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。 易于人阅读和编写，同时也易于机器解析和生成，并有效地提升网络传输效率。

在 JS 语言中，一切都是对象。因此，任何支持的类型都可以通过 JSON 来表示，例如字符串、数字、对象、数组等。但是对象和数组是比较特殊且常用的两种类型：
对象表示为键值对；
数据由逗号分隔；
花括号保存对象；
方括号保存数组。

74.cc攻击：攻击者借助代理服务器生成指向受害主机的合法请求，实现DDOS,和伪装就叫：CC(ChallengeCollapsar)。
CC主要是用来攻击页面的。大家都有这样的经历，就是在访问论坛时，如果这个论坛比较大，访问的人比较多，打开页面的速度会比较慢，访问的人越多，论坛的页面越多，数据库就越大，被访问的频率也越高，占用的系统资源也就相当可观。
一个静态页面不需要服务器多少资源，甚至可以说直接从内存中读出来发给你就可以了，但是论坛就不一样了，我看一个帖子，系统需要到数据库中判断我是否有读帖子的权限，如果有，就读出帖子里面的内容，显示出来——这里至少访问了2次数据库，如果数据库的数据容量有200MB大小，系统很可能就要在这200MB大小的数据空间搜索一遍，这需要多少的CPU资源和时间？如果我是查找一个关键字，那么时间更加可观，因为前面的搜索可以限定在一个很小的范围内，比如用户权限只查用户表，帖子内容只查帖子表，而且查到就可以马上停止查询，而搜索肯定会对所有的数据进行一次判断，消耗的时间是相当的大。
CC就是充分利用了这个特点，模拟多个用户（多少线程就是多少用户）不停的进行访问（访问那些需要大量数据操作，就是需要大量CPU时间的页面）.这一点用一个一般的性能测试软件就可以做到大量模拟用户并发。
75.SHA-256 checksum：SHA-256值校验，SHA (Secure Hash Algorithm，译作安全散列算法) 是美国国家安全局 (NSA) 设计，美国国家标准与技术研究院 (NIST) 发布的一系列密码散列函数。

76.云数据库RDS是什么：RDS是阿里云提供的即开即用的关系型数据库服务，兼容了MySQL和SQL Server两种数据库引擎。在传统数据库的基础上，阿里云RDS提供了强大丰富的功能从而保证了高可用性、高安全性以及高性能。此外，RDS还提供了诸多便利功能提升了RDS的易用性。

77.http协议包：请求包和应答包：HTTP请求包(GET、POST等请求方法)由三个部分构成，分别是：方法-URI-协议/版本，请求头，请求正文。和HTTP请求包相似，由三个部分构成，分别是：协议-状态代码-描述，应答头，应答正文。

78.192.168.1.0/24表示网段是192.168.1.0，子网掩码是24位，子网掩码为：255.255.255.0，用二进制表示为：11111111 11111111 11111111 00000000 ，这里为什么是24呢，就是因为子网掩码里面的前面连续的“1”的个数为24个，一定要连续的才行。

79.SNMP：简单网络管理协议（SNMP），由一组网络管理的标准组成，包含一个应用层协议（application layer protocol）、数据库模型（database schema）和一组资源对象。该协议能够支持网络管理系统，用以监测连接到网络上的设备是否有任何引起管理上关注的情况。该协议是互联网工程工作小组（IETF，Internet Engineering Task Force）定义的internet协议簇的一部分。SNMP的目标是管理互联网Internet上众多厂家生产的软硬件平台，因此SNMP受Internet标准网络管理框架的影响也很大。SNMP已经出到第三个版本的协议，其功能较以前已经大大地加强和改进了。

80.IPTABLES：iptables 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器， 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。

81.三权分立:各用户之间形成相互制约的关系：限制默认账户的权限，不同帐户的权限分离和相互制约是避免帐户的权限过于集中的必要手段，这种做法不但可以限制外部攻击者在获取各帐户权限后的攻击范围和影响程度，而且可避免内部用户利用权限避开内部审计和安全保密的情况出现；

82.beta版:

外部测试版的意思,软件会出现三种版本： 
1.alpha内部测试版本，极不稳定，一般也不会出现的公众视线，仅供内部测试人员测试用。
2.beta公共测试版，就是对外发布软件的测试版，收集公众的意见和建议。
3.就是正式版了，一般都很稳定。
再就是SP，service Package，补丁包，针对正式版的漏洞以及改进集成的补丁包。

83.畸形报文攻击：通常指攻击者发送大量有缺陷的报文，从而造成主机或服务器在处理这类报文时系统崩溃，如分片重叠的IP报文、TCP标志位非法的报文。

84.换了智能电表，供电所不来抄表了，智能电表是什么通讯方法传送数据给供电部门计费的：
智能电表通过485与集中器通讯（有的是一户一表、十户人家一组，每组一个集中器），集中器（安装SIM）通过GPRS与服务器通信，抄表管理人员直接访问服务器即可。

85.TCP [::]:445 [::]:0 LISTENING；LISTENING、ESTABLISHED是啥意思？

FTP服务启动后首先处于侦听（LISTENING）状态。2、ESTABLISHED状态　　ESTABLISHED的意思是建立连接。表示两台机器正在通信。

86.TCP [::]:80 表示什么？[::]是指ipv6的地址

87.发电厂mis系统属于管理信息大区吗？——在规范中答案是：是。

88.DGA：域名生成算法。

89.工控协议明文传输：对工控协议做逆向，知道协议的解析规则后，通过抓包工具把报文抓下来查看，可以发现正文是没有加密的，可以看到账号密码、工艺数据等等。

90.逻辑隔离：通过防火墙的ACL控制，做到访问控制，实现逻辑隔离，区别于物理隔离。

91.嵌入式系统：嵌入式系统的核心是由一个或几个预先编程好以用来执行少数几项任务的微处理器或者单片机组成。与通用计算机能够运行用户选择的软件不同，嵌入式系统上的软件通常是暂时不变的；所以经常称为“固件”。

92.三次握手：首先，请求端（客户端）发送一个包含SYN标志的TCP报文，SYN即同步（Synchronize），同步报文会指明客户端使用的端口以及TCP连接的初始序号；
第二步，服务器在收到客户端的SYN报文后，将返回一个SYN+ACK的报文，表示客户端的请求被接受，同时TCP序号被加一，ACK即确认（Acknowledgment）。
第三步，客户端也返回一个确认报文ACK给服务器端，同样TCP序列号被加一，到此一个TCP连接完成。
以上的连接过程在TCP协议中被称为三次握手（Three-way Handshake）。

93.Syn Flood：问题就出在TCP连接的三次握手中，假设一个用户向服务器发送了SYN报文后突然死机或掉线，那么服务器在发出SYN+ACK应答报文后是无法收到客户端的ACK报文的（第三次握手无法完成），这种情况下服务器端一般会重试（再次发送SYN+ACK给客户端）并等待一段时间后丢弃这个未完成的连接，这段时间的长度我们称为SYN Timeout，一般来说这个时间是分钟的数量级（大约为30秒-2分钟）；一个用户出现异常导致服务器的一个线程等待1分钟并不是什么很大的问题，但如果有一个恶意的攻击者大量模拟这种情况，服务器端将为了维护一个非常大的半连接列表而消耗非常多的资源----数以万计的半连接，即使是简单的保存并遍历也会消耗非常多的CPU时间和内存，何况还要不断对这个列表中的IP进行SYN+ACK的重试。实际上如果服务器的TCP/IP栈不够强大，最后的结果往往是堆栈溢出崩溃---即使服务器端的系统足够强大，服务器端也将忙于处理攻击者伪造的TCP连接请求而无暇理睬客户的正常请求（毕竟客户端的正常请求比率非常之小），此时从正常客户的角度看来，服务器失去响应，这种情况我们称作：服务器端受到了SYN Flood攻击（SYN洪水攻击）。

94.Ping of Death：在因特网上，ping of death是一种拒绝服务攻击，方法是由攻击者故意发送大于65535字节的ip数据包给对方。 TCP/IP的特征之一是碎裂；它允许单一IP包被分为几个更小的数据包。在1996年，攻击者开始利用那一个功能，当他们发现一个进入使用碎片包可以将整个IP包的大小增加到ip协议允许的65536比特以上的时候。当许多操作系统收到一个特大号的ip包时候，它们不知道该做什么，因此，服务器会被冻结、宕机或重新启动。
ICMP的回送请求和应答报文通常是用来检查网路连通性，对于大多数系统而言，发送ICMP echo request 报文的命令是ping ，由于ip数据包的最大长度为65535字节。而ICMP报头位于数据报头之后，并与ip数据包封装在一起，因此ICMP数据包最大尺寸不超过65535字节利用这一规定，可以向主机发动 ping of death 攻击。ping of death 攻击 是通过在最后分段中，改变其正确的偏移量和段长度的组合，使系统在接收到全部分段并重组报文时总的长度超过了65535字节，导致内存溢出，这时主机就会出现内存分配错误而导致TCP/IP堆栈崩溃，导致死机！

95.Syslog: 常被称为系统日志或系统记录，是一种用来在互联网协议（TCP/IP）的网络中传递记录档讯息的标准。这个词汇常用来指实际的syslog 协议，或者那些送出syslog讯息的应用程式或数据库。

96.无线CPE:就是一种接收wifi信号的无线终端接入设备，可取代无线网卡等无线客户端设备。可以接收无线路由器，无线AP，无线基站等的无线信号，是一种新型的无线终端接入设备。
同时，它也是一种将高速4G信号转换成WiFi信号的设备，不过需要外接电源，但可支持同时上网的移动终端数量也较多。CPE可大量应用于农村，城镇，医院，单位，工厂，小区等无线网络接入，能节省铺设有线网络的费用。

97.Referer 作弊：还是黑帽SEO。Referer作弊的原理有点类似于UA作弊，不过它判断的是Referer。比如说你通过搜索引擎的搜索结果点击跳转过去，那么就会带上比如地址是 http://www.baidu.com 的Referer，那么就会跳转到构造的地址，而如果直接访问目标网址，则是正常页面。

98.UA作弊：也是一种黑帽SEO的方式。UA作弊的方式很简单，就是判断网站访问者的UA头，当判断UA是搜索引擎的爬虫，就返回想进行SEO的内容，如果不是，就返回正常页面。
99.暗链：暗链大部分不会影响页面的正常显示（影响的说明弄的人技术太烂。。。），通过在网页里加入在页面中不可见的标签，比如用 CSS 设置 display：none，或者设置 DIV 高度为0等，这样可以使得代码里明明有的内容在页面上不可见，然后加入一些需要做 SEO 的关键词，一般会选择一些权重高的网站，这样搜索引擎在爬取这些正常网站的时候也会爬取到那些额外加入的关键词，比如加入一些博彩网站的关键词和链接。

100.固件：固件(Firmware)就是写入EROM（可擦写只读存储器）或EEPROM(电可擦可编程只读存储器)中的程序。固件是指设备内部保存的设备“驱动程序”，通过固件，操作系统才能按照标准的设备驱动实现特定机器的运行动作，比如光驱、刻录机等都有内部固件。
固件是担任着一个系统最基础最底层工作的软件。而在硬件设备中，固件就是硬件设备的灵魂，因为一些硬件设备除了固件以外没有其它软件组成，因此固件也就决定着硬件设备的功能及性能。

101.x86平台：X86就是我们一般用的32位的系统，X64就是64位的系统。

102.RAID 0：不是真正的RAID结构，没有数据冗余，没有数据校验的磁盘陈列。实现RAID 0至少需要两块以上的硬盘，它将两块以上的硬盘合并成一块，数据连续地分割在每块盘上。 因为带宽加倍，所以读/写速度加倍， 但RAID 0在提高性能的同时，并没有提供数据保护功能，只要任何一块硬盘损坏就会丢失所有数据。因此RAID 0 不可应用于需要数据高可用性的关键领域。

103.RAID 1：通过磁盘数据镜像实现数据冗余，在成对的独立磁盘上产生互 为备份的数据。当原始数据繁忙时，可直接从镜像拷贝中读取数据，因此RAID 1可以提高读取性能。RAID 1是磁盘阵列中单位成本最高的，但提供了很高的数据安全性和可用性。当一个磁盘失效时，系统可以自动切换到镜像磁盘上读写，而不需要重组失效的数据。

104.RAID 5：是一种存储性能、数据安全和存储成本兼顾的存储解决方案。 RAID 5可以理解为是RAID 0和RAID 1的折中方案。RAID 5可以为系统提供数据安全保障，但保障程度要比Mirror低而磁盘空间利用率要比Mirror高。

105.socket：
网络上的两个程序通过一个双向的通信连接实现数据的交换，这个连接的一端称为一个socket。
建立网络通信连接至少要一对端口号(socket)。socket本质是编程接口(API)，对TCP/IP的封装，TCP/IP也要提供可供程序员做网络开发所用的接口，这就是Socket编程接口；HTTP是轿车，提供了封装或者显示数据的具体形式；Socket是发动机，提供了网络通信的能力。
Socket的英文原义是“孔”或“插座”。作为BSD UNIX的进程通信机制，取后一种意思。通常也称作"套接字"，用于描述IP地址和端口，是一个通信链的句柄，可以用来实现不同虚拟机或不同计算机之间的通信。在Internet上的主机一般运行了多个服务软件，同时提供几种服务。每种服务都打开一个Socket，并绑定到一个端口上，不同的端口对应于不同的服务。Socket正如其英文原意那样，像一个多孔插座。一台主机犹如布满各种插座的房间，每个插座有一个编号，有的插座提供220伏交流电， 有的提供110伏交流电，有的则提供有线电视节目。 客户软件将插头插到不同编号的插座，就可以得到不同的服务。

106.

待新增