关于网络防御

1.什么是防火墙？

    防火墙有硬件和软件组成，可以是一组或多组系统。相当于一堵围墙，防止我们里面的人受到外面坏人的侵犯。

2.包过滤是什么意思？

    是防火墙的一种。对通过的数据包进源ip，目地ip，端口号，协议类型等等因素的分析，依据防火墙规则表来确定此数据包是否有危险，进而来决定是否允许它通过。

3.VPN

   虚拟专用网也称为虚拟私有网。可以理解为一条由公共网建立的安全隧道，两台机器可通过这个隧道互相进行访问。

4.IDS

    入侵检测系统。对网络传输进行监控，如发现有可疑传输则会发出警报或采取反应措施。是防火墙的有效补充。好比防火墙是一栋楼的门禁，那么IDS就是这栋楼的监控系统。

5.蜜罐

   相当于“诱饵”，吸引黑客对其扫描，攻击，攻陷。而蜜罐就对这些行为进行监视，检测，分析。蜜罐分两种：一种是真实系统蜜罐，顾名思义，它带有的系统是真实的，并带有可入侵的漏洞，胜在真实；另一种是伪装系统蜜罐，是在真实系统之上建立的仿真程序，可以伪造出各种漏洞，即使被攻陷了对真实系统也无害。

6.NAT

   网络地址翻译。是一种将私有ip地址转换成合法ip地址的技术。分为静态nat和动态nat。静态nat是指分配的ip地址是一对一的，不能随机。动态nat是往nat系统的ip地址缓冲池配置一或多个真实ip地址，当私有ip访问公网时可随机分配，如不够，可借助于端口号来实现。

7.  IPS

     入侵防御系统。通过一条线到底的方式对数据包进行一系列的检测分析。相比于ids好很多，但问题是它的处理速度难能与大容量网络流量同步。

8.IMS

   入侵管理系统。是对整个入侵过程进行统一管理的安全服务系统。相当于一个高级ai，融合多重技术，自我学习，自我完善，全方位保护网络安全，相当于一个超级保镖。

9.云安全

   可疑信息上传与解决方案共享。通过大量客户端对异常软件进行监测，获取最新病毒信息，传送到服务端进行分析处理，再把解决方案发给每一个客户端。

10.静态包过滤与动态包过滤有什么区别？

   区别是静态包过滤是在数据包的包头信息进行控管，而动态包过滤是基于会话，动态的创建删除规则。相比于静态包过滤，动态包过滤更加灵活。

11.DMZ的功能是什么？

    解决安装防火墙后外部网络不能访问内部网络的问题。相当于独立于外网和内网间的缓冲区，在这个缓冲区内，双方可通过公开的服务器设施相互访问。

12.VPN的工作原理

     用一种协议完成对另一种协议的数据报文封装，传输和解封三个过程。

13.代理网关与电路级网关的区别

     前者是在内外网间通过防火墙作为中间媒介，而后者是在内外网间建立虚拟电路，进行通信。

14.Netfilter/IPtable是如何工作的？

    在网络处理流程的若干位置上放置钩子，钩子上对应有包过滤表，而过滤表上含有0或多个规则，这些规则有IPtable来管理。而这些包过滤表组成了Netfilter组件，用来控制信息包过滤处理的规则集。

 12.误用检测与异常检测有什么区别？

    误用检测是定义异常系统行为，然后将其他所有行为定义为正常；异常检测是定义系统正常行为，将当前系统状况与所定义的正常行为比较，从而判断系统是否被入侵。

13.什么是CIDF模型？它有哪些内容？

   是一个入侵检测系统的通用模型，它含有事件产生器，事件分析器，响应单元，事件数据库。

14.snort是如何工作的？

     snort通过误用检测的方法来识别发现入侵行为。工作：通过工具捕获原始数据包----预处理数据包（对流量进行解码和标准化or对非基于特征的攻击进行检测）-----检测引擎模块（规则分析和特征检测）---输出（以直观的方式将输出内容呈现给用户）