信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 課件 第1、2章 信息安全基礎(chǔ)、網(wǎng)絡(luò)與設(shè)備

信息安全基礎(chǔ)沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。視頻學(xué)習(xí)《習(xí)近平出席全國網(wǎng)絡(luò)安全和信息化工作會議并發(fā)表重要講話》拓展主題立德樹人、科技強國在數(shù)據(jù)通信的過程中，由于各種不安全因素將會導(dǎo)致信息泄密、信息不完整不可用等問題，因此在通信過程中必須要保證信息安全。在信息安全體系建設(shè)過程中，標(biāo)準和規(guī)范是企業(yè)遵循的范本和努力的方向。根據(jù)國際權(quán)威的標(biāo)準規(guī)范制定相應(yīng)的企業(yè)信息安全規(guī)范，使信息安全運營更加完善。本章將介紹幾種國際通用信息安全標(biāo)準，分析其內(nèi)容；描述了信息安全的基本概念以及如何保障信息安全，列舉了信息安全風(fēng)險和如何評估規(guī)避這些風(fēng)險。學(xué)完本課程后，您將能夠：描述信息安全的定義和特點描述不同安全模型的特點和區(qū)別區(qū)分不同的安全風(fēng)險描述常見信息安全標(biāo)準描述信息安全標(biāo)準的意義描述常見信息安全標(biāo)準的主要內(nèi)容信息與信息安全信息安全風(fēng)險與管理信息安全標(biāo)準與規(guī)范ISO27001信息安全管理體系信息安全等級化保護體系其它標(biāo)準簡介信息信息是通過施加于數(shù)據(jù)上的某些約定而賦予這些數(shù)據(jù)的特定含義?！禝SO/IECIT安全管理指南（GMITS）》什么是信息？書本信件電子郵件雷達信號國家機密考試題目交易數(shù)據(jù)信息安全是指通過采用計算機軟硬件技術(shù)、網(wǎng)絡(luò)技術(shù)、密鑰技術(shù)等安全技術(shù)和各種組織管理措施，來保護信息在其神秘周期內(nèi)的產(chǎn)生、傳輸、交換、處理和存儲的各個環(huán)節(jié)中，信息的機密性、完整性和可用性不被破壞。。假如信息資產(chǎn)遭到損害，將會影響：信息安全的任務(wù)，就是要采取措施（技術(shù)手段及有效管理）讓這些信息資產(chǎn)免遭威脅。信息安全國家安全組織系統(tǒng)正常運作和持續(xù)發(fā)展個人隱私和財產(chǎn)信息安全發(fā)展歷程通信技術(shù)還不發(fā)達的時期，數(shù)據(jù)零散的存儲在各個地點。20世紀初期通信保密階段從傳統(tǒng)安全理念轉(zhuǎn)變到信息化安全理念。20世紀80年代信息保障階段20世紀60年代后信息安全階段互聯(lián)網(wǎng)的發(fā)展帶來了新的挑戰(zhàn)，攻擊者可以通過互聯(lián)網(wǎng)威脅信息安全。照片泄密案中國最著名“照片泄密案”日本情報專家根據(jù)左圖破解中國大慶油田的“秘密”，由照片上王進喜的衣著判斷出油田位于北緯46度至48度的區(qū)域內(nèi)；通過照片油田手柄的架式，推斷出油井的直徑；根據(jù)這些信息，迅速設(shè)計出適合大慶油田開采用的石油設(shè)備，在中國征求開采大慶油田的設(shè)備方案時，一舉中標(biāo)。通信保密階段在通信保密階段中通信技術(shù)還不發(fā)達，數(shù)據(jù)只是零散地位于不同的地點，信息系統(tǒng)的安全僅限于保證信息的物理安全以及通過密碼（主要是序列密碼）解決通信安全的保密問題。把信息安置在相對安全的地點，不容許非授權(quán)用戶接近，就基本可以保證數(shù)據(jù)的安全性了。信息安全階段從二十世紀90年代開始，由于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，信息無論是企業(yè)內(nèi)部還是外部都得到了極大的開放，而由此產(chǎn)生的信息安全問題跨越了時間和空間，信息安全的焦點已經(jīng)從傳統(tǒng)的保密性、完整性和可用性三個原則衍生為諸如可控性、不可否認性等其他的原則和目標(biāo)。保密性完整性可用性可控性不可否認性信息保障階段進入面向業(yè)務(wù)的安全保障階段，從多角度來考慮信息的安全問題。不同業(yè)務(wù)流量有不同的風(fēng)險點和防御方式從安全體系入手通過更多的技術(shù)手段把安全管理與技術(shù)防護聯(lián)系起來，主動地防御攻擊而不是被動保護從管理入手培養(yǎng)安全管理人才建立安全管理制度從業(yè)務(wù)入手信息安全案例-WannaCry2017年不法分子利用的危險漏洞“EternalBlue”（永恒之藍）開始傳播一種勒索病毒軟件WannaCry，超過10萬臺電腦遭到了勒索病毒攻擊、感染，造成損失達80億美元。能源政府教育交通信息安全案例-海蓮花組織2012年4月起，某境外組織對政府、科研、院所、海事機構(gòu)、海運建設(shè)、航運企業(yè)等相關(guān)重要領(lǐng)域展開了有計劃、有針對性的長期滲透和攻擊，代號為OceanLotus(海蓮花)。意圖獲取機密資料，截獲受害電腦與外界傳遞的情報，甚至操縱終端自動發(fā)送相關(guān)情報。

討論：造成此類攻擊事件的原因是什么？表面原因深層根源病毒漏洞木馬后門程序DDOS攻擊…信息系統(tǒng)復(fù)雜性人為和環(huán)境VS信息化越重要，信息安全越重要信息網(wǎng)絡(luò)成為經(jīng)濟繁榮、社會穩(wěn)定和國家發(fā)展的基礎(chǔ)。信息化深刻影響著全球經(jīng)濟的整合國家戰(zhàn)略的調(diào)整和安全觀念的轉(zhuǎn)變。從單純的技術(shù)性問題變成事關(guān)國家安全的全球性問題。信息安全適用于眾多技術(shù)領(lǐng)域例如：軍事計算機通訊指揮控制和情報(C4I)系統(tǒng)；電子商務(wù)系統(tǒng)；生物醫(yī)學(xué)系統(tǒng)；智能運輸系統(tǒng)(ITS)等。建設(shè)信息安全的意義重要性適用性信息與信息安全信息安全風(fēng)險與管理信息安全標(biāo)準與規(guī)范ISO27001信息安全管理體系信息安全等級化保護體系其它標(biāo)準簡介信息安全涉及的風(fēng)險Page17風(fēng)險物理風(fēng)險其他風(fēng)險系統(tǒng)風(fēng)險信息風(fēng)險管理風(fēng)險應(yīng)用風(fēng)險網(wǎng)絡(luò)風(fēng)險物理風(fēng)險設(shè)備防盜，防毀鏈路老化，人為破壞，被動物咬斷等網(wǎng)絡(luò)設(shè)備自身故障停電導(dǎo)致網(wǎng)絡(luò)設(shè)備無法工作機房電磁輻射信息風(fēng)險信息存儲安全信息傳輸安全信息訪問安全信息風(fēng)險-信息傳輸安全總部下屬機構(gòu)信息泄密信息篡改企業(yè)業(yè)務(wù)信息篡改后信息攻擊者信息風(fēng)險-信息訪問安全Page21內(nèi)部網(wǎng)絡(luò)非法用戶非法登錄合法用戶網(wǎng)絡(luò)中有認證服務(wù)器系統(tǒng)風(fēng)險數(shù)據(jù)庫系統(tǒng)配置安全安全數(shù)據(jù)庫系統(tǒng)中運行的服務(wù)安全應(yīng)用風(fēng)險網(wǎng)絡(luò)病毒操作系統(tǒng)安全電子郵件應(yīng)用安全WEB服務(wù)安全FTP服務(wù)安全DNS服務(wù)安全業(yè)務(wù)應(yīng)用軟件安全網(wǎng)絡(luò)風(fēng)險安全區(qū)域管理風(fēng)險確保信息系統(tǒng)是否存在管理風(fēng)險，可以從以下幾個方面討論：國家政策國家是否成立了專門的機構(gòu)來管理信息安全國家是否制定了健全的信息安全法規(guī)企業(yè)制定安全管理規(guī)則、責(zé)權(quán)分明的機房管理制度企業(yè)可以考慮建立自己的安全管理機構(gòu)企業(yè)制度明確有效的安全策略、高素質(zhì)的安全管理人員行之有效的監(jiān)督檢查體系，保證規(guī)章制度被順利執(zhí)行管理體系信息安全管理的重要性據(jù)統(tǒng)計，企業(yè)信息收到損失的70%是由于內(nèi)部員工的疏忽或有意泄密造成的。安全技術(shù)知識信息安全控制的手段，要讓安全技術(shù)發(fā)揮應(yīng)有的作用，必然要有適當(dāng)?shù)墓芾沓绦虻闹С帧?0%員工安全意識薄弱授權(quán)規(guī)則松散系統(tǒng)操作不規(guī)范惡意竊取資料三分技術(shù)七分管理信息安全管理發(fā)展現(xiàn)狀各個國家都已經(jīng)制定了自己的信息安全發(fā)展戰(zhàn)略和發(fā)展計劃，確保信息安全驗證正確的方向發(fā)展。制定信息安全發(fā)展戰(zhàn)略和計劃已法律的形式規(guī)定和規(guī)范信息安全工作是有效實施安全措施的最有利保證。加強信息安全立法，實現(xiàn)統(tǒng)一和規(guī)范管理信息安全管理在20世紀90年代步入了標(biāo)準化與系統(tǒng)化的管理時代。其中以ISO/IEC制定的27000標(biāo)準體系最為人所知。步入標(biāo)準化與系統(tǒng)化管理時代信息安全管理信息與信息安全信息安全風(fēng)險與管理信息安全標(biāo)準與規(guī)范ISO27001信息安全管理體系信息安全等級化保護體系其它標(biāo)準簡介信息安全標(biāo)準的意義標(biāo)準是規(guī)范性文件之一。其定義是為了在一定的范圍內(nèi)獲得最佳秩序，經(jīng)協(xié)商一致制定并由公認機構(gòu)批準，共同使用的和重復(fù)使用的一種規(guī)范性文件。企業(yè)在建立自己的信息系統(tǒng)時，如何能夠確保自己的系統(tǒng)是安全的呢？依據(jù)國際制定的權(quán)威標(biāo)準來執(zhí)行和檢查每一個步驟是個好辦法！信息安全標(biāo)準組織在國際上，與信息安全標(biāo)準化有關(guān)的組織主要有以下4個：InternationalOrganizationforStandardization(ISO)國際標(biāo)準化組織InternationalElectrotechnicalCommission(IEC)國際電工委員會InternationalTelecommunicationUnion(ITU)國際電信聯(lián)盟TheInternetEngineeringTaskForce(IETF)Internet工程任務(wù)組國內(nèi)的安全標(biāo)準組織主要有：信息技術(shù)安全標(biāo)準化技術(shù)委員會(CITS)中國通信標(biāo)準化協(xié)會(CCSA)下轄的網(wǎng)絡(luò)與信息安全技術(shù)工作委員會常見信息安全標(biāo)準與規(guī)范ISO27001歐洲聯(lián)盟標(biāo)準ITSEC美國標(biāo)準TCSEC

國家等級保護制度（GB）信息與信息安全信息安全風(fēng)險與管理信息安全標(biāo)準與規(guī)范ISO27001信息安全管理體系信息安全等級化保護體系其它標(biāo)準簡介信息安全管理體系（InformationSecurityManagementSystem,簡稱ISMS）的概念最初來源于英國標(biāo)準學(xué)會制定的BS7799標(biāo)準,并伴隨著其作為國際標(biāo)準的發(fā)布和普及而被廣泛地接受。信息安全管理體系(ISMS)PlanActionCheckDoPlan

策劃（建立ISMS）；Do實施（實施和運行ISMS）；Check

檢查（見識和評審ISMS）；Action改進保持和改進ISMS。ISMSISO27000信息安全管理體系家族第二部分ISO/IEC27006ISO/IEC27007ISO/IEC27008認證認可及審核指南第一部分ISO/IEC27000ISO/IEC27001ISO/IEC27002ISO/IEC27003要求及支持性指南ISO/IEC27004ISO/IEC27005第四部分ISO27799醫(yī)療信息安全管理標(biāo)準處于研究階段并以新項目提案方式體現(xiàn)的成果，例如：供應(yīng)鏈安全、存儲安全等。第三部分行業(yè)信息安全管理要求金融業(yè)電信業(yè)其它專門應(yīng)用與某個具體的安全域。ISO27001演變歷程BS7799-1ISO/IEC17799ISO/IEC27002《信息安全管理實施規(guī)則》《信息安全管理實用規(guī)范》BS7799-2ISO/IEC27001《信息安全管理體系規(guī)范》《信息安全管理體系要求》ISMS與ISO/IEC27000ISO/IEC27001是信息安全管理體系（ISMS）的國際規(guī)范性標(biāo)準。ISO/IEC27002從14個方面提出35個控制目標(biāo)和113個控制措施，這些控制目標(biāo)和措施是信息安全管理的最佳實踐。實施和建設(shè)安全管理體系的要求和標(biāo)準信息安全管理體系ISMSISO27001標(biāo)準建立ISO/IEC27001ISO/IEC27002提供最佳實踐規(guī)則信息安全管理思想信息安全管理具體操作

ISO27002控制項三、人力資源安全四、資產(chǎn)管理五、訪問控制六、加密二、組織信息安全一、信息安全策略七、物理及環(huán)境安全八、操作安全九、傳輸安全十一、供應(yīng)商關(guān)系十、系統(tǒng)獲取、開發(fā)和維護十二、信息安全事件管理十三、業(yè)務(wù)連續(xù)性管理的信息安全方面十四、合規(guī)性ISO27001項目實施方法論及步驟信息與信息安全信息安全風(fēng)險與管理信息安全標(biāo)準與規(guī)范ISO27001信息安全管理體系信息安全等級化保護體系其它標(biāo)準簡介等級保護定義中辦發(fā)[2003]27號文：加強信息安全保障工作的意見主要內(nèi)容：實行信息安全等級保護政策重視信息安全風(fēng)險評估工作建設(shè)和完善信息安全監(jiān)控體系保證信息安全資金健全信息安全管理責(zé)任制公通字[2004]66號：關(guān)于印發(fā)《關(guān)于信息安全等級保護工作的實施意見》的通知公安機關(guān)負責(zé)信息安全等級保護工作的監(jiān)督、檢查、指導(dǎo)國家保密工作部門負責(zé)等級保護工作中有關(guān)保密工作的監(jiān)督、檢查、指導(dǎo)國家密碼管理部門負責(zé)等級保護工作中有關(guān)密碼工作的監(jiān)督、檢查、指導(dǎo)。（一）電信、廣電行業(yè)的公用通信網(wǎng)、廣播電視傳輸網(wǎng)等基礎(chǔ)信息網(wǎng)絡(luò)、經(jīng)營性公眾互聯(lián)網(wǎng)信息服務(wù)單位、互聯(lián)網(wǎng)接入服務(wù)單位、數(shù)據(jù)中心等單位的重要信息系統(tǒng)（二）鐵路、銀行、海關(guān)、稅務(wù)、銀行、電力、證券、保險、外交、科技、發(fā)展改革、國防科技、公安、人事勞動和社會保障、財政、審計、商務(wù)、水利、國土資源能源、交通、文化、教育、統(tǒng)計、工商行政管理、郵政行業(yè)部門的生產(chǎn)、調(diào)度、管理、辦公等重要信息系統(tǒng)。信息安全等級保護:對信息和信息載體按照重要性等級分級別進行保護的一種工作。是國家政策要求由公安監(jiān)督檢查各機關(guān)和行業(yè)執(zhí)行第三章網(wǎng)絡(luò)運行安全第一節(jié)一般規(guī)定第二十一條國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負責(zé)人，落實網(wǎng)絡(luò)安全保護責(zé)任；（二）采取防范計算機病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施（五）法律、行政法規(guī)規(guī)定的其他義務(wù)等級保護的意義提高整體保障水平：能有效的提高信息安全保障工作的整體水平，有效解決信息系統(tǒng)面臨的威脅和存在的主要問題優(yōu)化安全資源分配：將有限的財力、物力、人力投入到重點地方，發(fā)揮最大的安全經(jīng)濟效益2、合法、合規(guī)1、提高保障水平、優(yōu)化資源分配等級保護背景介紹發(fā)展歷程等保經(jīng)歷了近20年的發(fā)展，大概經(jīng)歷了三個階段（這三個階段沒有嚴格的時間界限）2007至今推廣階段開始定級、整改、測評、檢查，各行業(yè)單位開始全面定級/整改建設(shè)。2004~2006發(fā)展階段制定了大量等保護相關(guān)的標(biāo)準、規(guī)范，并在部分單位進行試點。1994~2003起步階段國家呼吁加強信息安全建設(shè)，提出要對信息系統(tǒng)進行劃分等級來保護。等級保護范圍等級保護關(guān)鍵技術(shù)要求入侵防范惡意代碼防范集中管控邊界防護明確限制無線網(wǎng)絡(luò)的使用，確保無線網(wǎng)絡(luò)通過受控的邊界防護設(shè)備接入內(nèi)部網(wǎng)絡(luò)。訪問控制通信傳輸明確應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對內(nèi)容的訪問控制。加密傳輸在網(wǎng)絡(luò)與通信和應(yīng)用和數(shù)據(jù)都有強調(diào)。應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測和分析。應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處對垃圾郵件進行檢測和防護，并維護垃圾郵件防護機制的升級和更新。強調(diào)集中管控，集中監(jiān)測，集中分析。保護等級公民、法人的合法權(quán)益社會秩序和公共利益國家安全第一級損害否否第二級嚴重損害損害否第三級/嚴重損害損害第四級/嚴重損害嚴重損害第五級//嚴重損害等級保護系統(tǒng)定級主要依據(jù)：根據(jù)系統(tǒng)被破壞后，對公民、社會、國家造成的損害程度定級。等級保護中的基本技術(shù)要求等級保護流程等保流程定級備案測評整改備案是向監(jiān)管部門告知將進行等保建設(shè)的必要流程。建設(shè)整改是等保工作落實的關(guān)鍵。等級測評是評價安全保護狀況的方法。定級是等級保護的首要環(huán)節(jié)。監(jiān)督監(jiān)督檢查是等保工作外在動力。中國網(wǎng)絡(luò)安全等級保護網(wǎng)：/webdev/web/HomeWebAction.do?p=init信息與信息安全信息安全風(fēng)險與管理信息安全標(biāo)準與規(guī)范ISO27001信息安全管理體系信息安全等級化保護體系其它標(biāo)準簡介其它標(biāo)準-美國-TCSECTrustedComputerSystemEvaluationCriteria,可信計算機系統(tǒng)評價標(biāo)準。TCSEC標(biāo)準是計算機系統(tǒng)安全評估的第一個正式標(biāo)準。1970年由美國國防科學(xué)委員會提出，1985年12月由美國國防部公布。參考：/item/TCSEC/8878477?fr=aladdin

A：驗證保護級A1系統(tǒng)管理員必須從開發(fā)者那里接收到一個安全策略的正式模型;所有的安裝操作都必須由系統(tǒng)管理員進行；系統(tǒng)管理員進行的每一步安裝操作都必須有正式文檔。B：強制保護級B1B類系統(tǒng)具有強制性保護功能。強制性保護意味著如果用戶沒有與安全等級相連，系統(tǒng)就不會讓用戶存取對象。B2B3C：自主保護級C1該類安全等級能夠提供審記的保護，并為用戶的行動和責(zé)任提供審計能力。C2D：無保護級D1只為文件和用戶提供安全保護。D1系統(tǒng)最普通的形式是本地操作系統(tǒng)，或者是一個完全沒有保護的網(wǎng)絡(luò)。其它標(biāo)準-歐洲-ITSECInformationTechnologySecurityEvaluationCriteria歐洲的安全評價標(biāo)準，是英國、法國、德國和荷蘭制定的IT安全評估準則，較美國軍方制定的TCSEC準則在功能的靈活性和有關(guān)的評估技術(shù)方面均有很大的進步。應(yīng)用領(lǐng)域為軍隊、政府和商業(yè)。功能級別描述F1~F5TCSECD~AF6數(shù)據(jù)和程序的完整性F7系統(tǒng)的可用性F8數(shù)據(jù)通信的完整性F9數(shù)據(jù)通信的保密性F10機密性和完整性的網(wǎng)絡(luò)安全級別描述E0不充分的安全保證E1必須有一個安全目標(biāo)和一個對產(chǎn)品或系統(tǒng)的體系結(jié)構(gòu)設(shè)計的非形式化的描述，還需要有功能測試，以表明是否達到安全目標(biāo)。E2除了E1級的要求外，還必須對詳細的設(shè)計有非形式化描述。另外，功能測試的證據(jù)必須被評估，必須有配置控制系統(tǒng)和認可的分配過程。E3除了E2級的要求外，不僅要評估與安全機制相對應(yīng)的源代碼和硬件設(shè)計圖，還要評估測試這些機制的證據(jù)。E4除了E3級的要求外，必須有支持安全目標(biāo)的安全策略的基本形式模型。用半形式說明安全加強功能、體系結(jié)構(gòu)和詳細的設(shè)計。E5除了E4級的要求外，在詳細的設(shè)計和源代碼或硬件設(shè)計圖之間有緊密的對應(yīng)關(guān)系。E6除了E5級的要求外，必須正式說明安全加強功能和體系結(jié)構(gòu)設(shè)計，使其與安全策略的基本形式模型一致。評估其它標(biāo)準-塞班斯法案Sarbanes-OxleyAct，簡稱SOX法案。該法案全稱《2002年上市公司會計改革和投資者保護法案》（PublicCompanyAccountingReformandInvestorProtectionActof2002）。SOX法案中所涉及的例如合同財務(wù)流程管理、企業(yè)運作過程的跟蹤監(jiān)控同樣可用于信息系統(tǒng)檢查的需求。SOX法案與信息安全的關(guān)系是什么？遵守證券法律以提高公司披露的準確性和可靠性，從而保護投資者及其他目的!

《塞班斯法案》信息安全事件頻發(fā)的原因是存在漏洞病毒后門程序等安全攻擊手段（）正確B.錯誤國際知名的制定信息安全標(biāo)準的組織有哪些？（）ISOIECITUIETF信息安全管理體系遵循的是______流程。信息安全發(fā)展過程信息安全基礎(chǔ)概念介紹描述常見信息安全標(biāo)準描述信息安全標(biāo)準的意義描述常見信息安全標(biāo)準的主要內(nèi)容網(wǎng)絡(luò)與設(shè)備網(wǎng)絡(luò)安全和信息化對一個國家的很多領(lǐng)域而言都是牽一發(fā)而動全身的，要認清所面臨的形勢和任務(wù),充分認識做好工作的重要性和緊迫性，因勢而謀，應(yīng)勢而動，順勢而為。文字學(xué)習(xí)《華為——中華有為》拓展主題民族品牌、愛國主義、科技強國在學(xué)習(xí)安全技術(shù)之前，首先我們應(yīng)該了解網(wǎng)絡(luò)和設(shè)備的基本概念，如網(wǎng)絡(luò)的基本通信原理，網(wǎng)絡(luò)的組成和常見的網(wǎng)絡(luò)協(xié)議等。在了解網(wǎng)絡(luò)協(xié)議的基礎(chǔ)上，能夠理解網(wǎng)絡(luò)安全威脅，從而部署安全防御策略。學(xué)完本課程后，您將能夠：描述TCP/IP的工作原理描述常見協(xié)議的工作原理描述常見協(xié)議可能存在的安全威脅描述華為常見網(wǎng)絡(luò)基礎(chǔ)設(shè)備描述網(wǎng)絡(luò)設(shè)備的功能登錄網(wǎng)絡(luò)設(shè)備并對網(wǎng)絡(luò)設(shè)備進行基礎(chǔ)配置TCP/IP架構(gòu)常見網(wǎng)絡(luò)協(xié)議介紹常用網(wǎng)絡(luò)設(shè)備介紹典型園區(qū)網(wǎng)絡(luò)架構(gòu)核心層匯聚層接入層出口區(qū)…OSI模型的提出OSI模型提出的目的OSI模型設(shè)計原則OSI模型的優(yōu)點OSI七層模型應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層1234567提供應(yīng)用程序間通信處理數(shù)據(jù)格式、數(shù)據(jù)加密等建立、維護和管理會話建立主機端到端連接尋址和路由選擇提供介質(zhì)訪問、鏈路管理等比特流傳輸APDUPPDUSPDUSegmentPacketFrameBit上三層下四層對等層通訊每一層利用下一層提供的服務(wù)與對等層通信。HostAHostBAPDUPPDUSPDUSegmentPacketFrameBit應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層應(yīng)用層表示層會話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層TCP/IP和OSI的對應(yīng)關(guān)系TCP/IP協(xié)議棧具有簡單的分層設(shè)計，與OSI參考模型有清晰的對應(yīng)關(guān)系。OSITCP/IP物理層數(shù)據(jù)鏈路層網(wǎng)絡(luò)層傳輸層會話層表示層應(yīng)用層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)層傳輸層應(yīng)用層TCP/IP協(xié)議棧各層作用提供應(yīng)用程序網(wǎng)絡(luò)接口建立端到端連接尋址和路由選擇物理介質(zhì)訪問HTTP,Telnet,FTP,TFTP,DNS網(wǎng)絡(luò)接口層網(wǎng)絡(luò)層傳輸層應(yīng)用層Ethernet,802.3,PPP,HDLC,FRTCP/UDPIPICMP,IGMPARP,RARPTCP/IP協(xié)議棧封裝解封裝過程用戶數(shù)據(jù)APPTCPIPEth1010101101010100101010001110封裝過程解封裝過程發(fā)送方接收方IP用戶數(shù)據(jù)用戶數(shù)據(jù)用戶數(shù)據(jù)APPAPPAPPTCPTCP網(wǎng)絡(luò)接口層網(wǎng)絡(luò)層傳輸層應(yīng)用層網(wǎng)絡(luò)接口層網(wǎng)絡(luò)層傳輸層應(yīng)用層五元組SNMPFTPHTTPTelnetSMTPDNSTFTPTCPUDPIP數(shù)據(jù)包五元組8020/2123255369161源IP地址＋目的IP地址＋協(xié)議＋源端口+目的端口TCP/IP架構(gòu)常見TCP/IP協(xié)議介紹網(wǎng)絡(luò)層協(xié)議傳輸層協(xié)議應(yīng)用層協(xié)議常見網(wǎng)絡(luò)層協(xié)議ICMPOSPF/RIPNMSNetstreamARPSNMPPC1PC1ARP簡介主機A發(fā)送一個數(shù)據(jù)包給主機C之前，首先要獲取主機C的MAC地址。/2400-01-02-03-04-AA/2400-01-02-03-04-CC/2400-01-02-03-04-BBARP請求主機A/2400-01-02-03-04-BB主機C主機B/2400-01-02-03-04-CC/2400-01-02-03-04-AA源MAC：00-01-02-03-04-AA目的MAC:FF-FF-FF-FF-FF-FFARP目的IP:源IP:目的MAC:00-00-00-00-00-00

源MAC:00-01-02-03-04-AA操作類型:RequestETH_IIFCSARP響應(yīng)(1)主機A/2400-01-02-03-04-BB主機C主機B/2400-01-02-03-04-CC/2400-01-02-03-04-AAHostC>arp-aInternetaddressPhysicaladdressType00-01-02-03-04-AADynamicARP響應(yīng)(2)主機A/2400-01-02-03-04-BB主機C主機B/2400-01-02-03-04-CC/2400-01-02-03-04-AA源MAC：00-01-02-03-04-CC目的IP:源IP:目的MAC:00-01-02-03-04-AA

源MAC:00-01-02-03-04-CC操作類型:Reply目的MAC：00-01-02-03-04-AAARPETH_IIFCS免費ARP免費ARP可以用來探測IP地址是否沖突。主機A/2400-01-02-03-04-AA目的IP:源IP:目的MAC:00-00-00-00-00-00源MAC:00-01-02-03-04-AA源MAC：00-01-02-03-04-AA目的MAC：FF-FF-FF-FF-FF-FFARPETH_IIFCSICMP簡介ICMP用來傳遞差錯、控制、查詢等信息。MessageReturnMessage主機AICMP應(yīng)用-Ping(1)RouterARouterB/24/24<RouterA>ping?STRING<1-255>IPaddressorhostnameofaremotesystem-aSelectsourceIPaddress,thedefaultistheIPaddressoftheoutputinterface-cSpecifythenumberofechorequeststobesent,thedefaultis5-dSpecifytheSO_DEBUGoptiononthesocketbeingused-fSetDon'tFragmentflaginpacket(IPv4-only)-hSpecifyTTLvalueforechorequeststobesent,thedefaultis255-iSelecttheinterfacesendingpackets……ICMP應(yīng)用-Ping(2)[RouterA]ping

PING:56databytes,pressCTRL_Ctobreak

Replyfrom:bytes=56Sequence=1ttl=255time=340ms

Replyfrom:bytes=56Sequence=2ttl=255time=10ms

Replyfrom:bytes=56Sequence=3ttl=255time=30ms

Replyfrom:bytes=56Sequence=4ttl=255time=30ms

Replyfrom:bytes=56Sequence=5ttl=255time=30ms

pingstatistics

5packet(s)transmitted

5packet(s)received

0.00%packetloss

round-tripmin/avg/max=10/88/340msICMP應(yīng)用-Tracert(1)主機A主機BRouterARouterCRouterB/24/24/24<RouterA>tracert?STRING<1-255>IPaddressorhostnameofaremotesystem-aSetsourceIPaddress,thedefaultistheIPaddressoftheoutputinterface-fFirsttimetolive,thedefaultis1-mMaxtimetolive,thedefaultis30-nameDisplaythehostnameoftherouteroneachhop-pDestinationUDPportnumber,thedefaultis33434-qNumberofprobepacket,thedefaultis3-sSpecifythelengthofthepacketstobesent.Thedefaultlengthis12bytes……ICMP應(yīng)用-Tracert(2)Tracert顯示數(shù)據(jù)包在網(wǎng)絡(luò)傳輸過程中所經(jīng)過的每一跳。<RouterA>tracertTracertto(),maxhops:30,packetlength:40,pressCTRL_Ctobreak

1130ms50ms40ms

280ms60ms80ms380ms60ms70ms主機A主機BRouterARouterCRouterB/24/24/24路由協(xié)議綜述路由是數(shù)據(jù)通信網(wǎng)絡(luò)中最基本的要素。路由信息就是指導(dǎo)報文發(fā)送的路徑信息，路由的過程就是報文轉(zhuǎn)發(fā)的過程。路由協(xié)議PC1PC2路由協(xié)議綜述根據(jù)路由目的地的不同，路由可劃分為：網(wǎng)段路由：目的地為網(wǎng)段，IPv4地址子網(wǎng)掩碼長度小于32位或IPv6地址前綴長度小于128位。主機路由：目的地為主機，IPv4地址子網(wǎng)掩碼長度為32位或IPv6地址前綴長度為128位。根據(jù)目的地與該路由器是否直接相連，路由又可劃分為：直連路由：目的地所在網(wǎng)絡(luò)與路由器直接相連。間接路由：目的地所在網(wǎng)絡(luò)與路由器非直接相連。路由協(xié)議綜述根據(jù)目的地址類型的不同，路由還可以分為：單播路由：表示將報文轉(zhuǎn)發(fā)的目的地址是一個單播地址。組播路由：表示將報文轉(zhuǎn)發(fā)的目的地址是一個組播地址。靜態(tài)路由與動態(tài)路由的區(qū)別：靜態(tài)路由配置方便，對系統(tǒng)要求低，適用于拓撲結(jié)構(gòu)簡單并且穩(wěn)定的小型網(wǎng)絡(luò)。缺點是不能自動適應(yīng)網(wǎng)絡(luò)拓撲的變化，需要人工干預(yù)。動態(tài)路由協(xié)議有自己的路由算法，能夠自動適應(yīng)網(wǎng)絡(luò)拓撲的變化，適用于具有一定數(shù)量三層設(shè)備的網(wǎng)絡(luò)。缺點是配置對用戶要求比較高，對系統(tǒng)的要求高于靜態(tài)路由，并將占用一定的網(wǎng)絡(luò)資源和系統(tǒng)資源。動態(tài)路由的分類根據(jù)作用范圍不同，路由協(xié)議可分為：內(nèi)部網(wǎng)關(guān)協(xié)議IGP（InteriorGatewayProtocol）：在一個自治系統(tǒng)內(nèi)部運行。常見的IGP協(xié)議包括RIP、OSPF和IS-IS。外部網(wǎng)關(guān)協(xié)議EGP（ExteriorGatewayProtocol）：運行于不同自治系統(tǒng)之間。BGP是目前最常用的EGP協(xié)議。根據(jù)使用算法不同，路由協(xié)議可分為：距離矢量協(xié)議（Distance-VectorProtocol）：包括RIP和BGP。其中，BGP也被稱為路徑矢量協(xié)議（Path-VectorProtocol）。鏈路狀態(tài)協(xié)議（Link-StateProtocol）：包括OSPF和IS-IS。OSPF簡介無環(huán)路收斂快擴展性好支持認證SiteBSiteASiteCOSPFRTBRTARTCOSPFOSPFSNMP簡介SNMP用來在網(wǎng)絡(luò)管理系統(tǒng)NMS和被管理設(shè)備之間傳輸管理信息。NMSSNMPSNMP架構(gòu)SNMP包括NMS，Agent和MIB等。Agent是被管理設(shè)備中的一個代理進程。MIB是一個數(shù)據(jù)庫，它包含了被管理設(shè)備所維護的變量。AgentMIBSNMPExecuteNotify被管理設(shè)備NMS企業(yè)網(wǎng)絡(luò)運維掌握所有分支的流量趨勢，主動發(fā)現(xiàn)需要擴容的設(shè)備和分支。分析分支增加流量的應(yīng)用分布，找出擴容價值點。整理分支流量變化，合理分配現(xiàn)有網(wǎng)絡(luò)資源。IT工程師：分支一的**設(shè)備端口帶寬使用飽和，需要購置新設(shè)備進行網(wǎng)絡(luò)擴容。主管：又要擴容？是網(wǎng)絡(luò)優(yōu)化不徹底，還是確實業(yè)務(wù)應(yīng)用發(fā)展快？IT工程師：我這里有各分支詳細的網(wǎng)絡(luò)應(yīng)用發(fā)展報告….總部分支一分支二NTA概念及功能基本概念eSightNTA即網(wǎng)流分析系統(tǒng)（NetworkTrafficAnalyzer）是純軟件解決方案，無需硬件探針，不會額外增加用戶投資；通過NetFlow、NetStream、sFlow協(xié)議，對常見的IP報文進行采集和分析，提供貼近客戶的分析報表，能實時準確的監(jiān)控全網(wǎng)流量，是企業(yè)運維管理的一大利器。功能簡介eSightNTA提供了一種便捷的網(wǎng)絡(luò)監(jiān)控、分析的方法，利用支持NetFlow/NetStream/sFlow等技術(shù)的網(wǎng)絡(luò)設(shè)備提供的IP網(wǎng)絡(luò)流量信息，深入分析全網(wǎng)流量，提供及時的流量分析報告，通過豐富的圖表來展示流量分析結(jié)果，幫助用戶全面了解全網(wǎng)流量，第一時間發(fā)現(xiàn)網(wǎng)絡(luò)異常流量，了解整個網(wǎng)絡(luò)中的流量分布。NetStream簡介NetStream是華為技術(shù)有限公司的專利技術(shù)，是一種網(wǎng)絡(luò)流信息的統(tǒng)計與發(fā)布技術(shù)。NDE把獲得的統(tǒng)計信息定期向NSC發(fā)送，由NSC進行進一步的處理，然后交給后續(xù)的NDA進行數(shù)據(jù)分析，分析的結(jié)果為網(wǎng)絡(luò)計費與規(guī)劃提供依據(jù)。NDENDENSCNSCNDANetstream流TCP/IP架構(gòu)常見網(wǎng)絡(luò)協(xié)議介紹網(wǎng)絡(luò)層協(xié)議傳輸層協(xié)議應(yīng)用層協(xié)議常用網(wǎng)絡(luò)設(shè)備介紹網(wǎng)絡(luò)基礎(chǔ)設(shè)備設(shè)備初始登錄建立TCP連接三次握手ClientServerSYN(seq=a)SYN,ACK(seq=b,ack=a+1)ACK(seq=a+1,ack=b+1)斷開TCP連接四次揮手ClientServerFIN(seq=a)ACK(seq=b,ack=a+1)ACK(seq=a+1,ack=c+1)FIN,ACK(seq=c,ack=a+1)TCP/IP架構(gòu)常見網(wǎng)絡(luò)協(xié)議介紹網(wǎng)絡(luò)層協(xié)議傳輸層協(xié)議應(yīng)用層協(xié)議常用網(wǎng)絡(luò)設(shè)備介紹常見應(yīng)用層協(xié)議Web服務(wù)器Mail服務(wù)器FTP服務(wù)器DNS服務(wù)器PCFTP原理FTP提供了一種在服務(wù)器和客戶機之間上傳和下載文件的有效方式。使用FTP傳輸數(shù)據(jù)時，需要在服務(wù)器和客戶機之間建立控制連接和數(shù)據(jù)連接。用戶用戶接口控制進程數(shù)據(jù)傳輸進程文件系統(tǒng)控制進程數(shù)據(jù)傳輸進程文件系統(tǒng)客戶端服務(wù)器控制連接數(shù)據(jù)連接FTP傳輸模式(1)FTP連接的建立分為主動模式和被動模式，兩者的區(qū)別在于數(shù)據(jù)連接是由服務(wù)器發(fā)起還是由客戶端發(fā)起。缺省情況下采用主動模式，用戶可以通過命令切換。主動模式下FTP連接建立：臨時端口臨時端口端口21端口20控制連接數(shù)據(jù)連接FTPClientFTPServerFTP傳輸模式(2)被動模式FTP連接建立:臨時端口臨時端口端口21臨時端口控制連接數(shù)據(jù)連接FTPClientFTPServerHTTP/HTTPS

-Web應(yīng)用基本組成部分Web基于客戶端（Client）／服務(wù)器（Server）架構(gòu)實現(xiàn)，包含三個部分：使用HTML（HyperTextMark-upLanguage）描述文件使用URL（UniformResourceLocator）指定文件的所在透過HTTP（HyperTextTransferProtocol）協(xié)議與服務(wù)器溝通服務(wù)器（Server）客戶端（Client）訪問URL：www.HHTTP/HTTPSHTML文件URL指定服務(wù)器文件對客戶端顯示HTTP工作原理HTTP（HypertextTransferProtocol）是一種無狀態(tài)的協(xié)議，基于簡單的請求-響應(yīng)模式（requests/responses）。HTTP有兩類報文：請求報文—從客戶端向服務(wù)器發(fā)送請求報文。響應(yīng)報文—從服務(wù)器到客戶端的回答。①②③④⑤⑥您好！請問有什么事么？我需要XXX文件！GET/http://class/xxxxHTTP/1.1請問你有通關(guān)密語嗎？有，&……%@（#OK，這就是你要的文件！HTTP/1.1200OKDNS工作原理客戶端緩存服務(wù)器

我想訪問

的IP地址是Z.Z.Z.Z這個我也不清楚，得問問明白人根服務(wù)器頂級域名服務(wù)器遞歸服務(wù)器對應(yīng)的IP地址是什么

.com的域名服務(wù)器IP地址是X.X.X.X對應(yīng)的IP地址是什么.的域名服務(wù)器IP地址是Y.Y.Y.Y

對應(yīng)的IP地址是什么

的IP地址是Z.Z.Z.ZIP:X.X.X.XIP:Y.Y.Y.Y客戶端緩存服務(wù)器我又要訪問⑥的IP地址是Z.Z.Z.Z這次我記得第一次訪問第二次訪問SMTP/POP3/IMAP-郵件收發(fā)機制SMTP定義了計算機如何將郵件發(fā)送到SMTPServer，SMTPServer之間如何中轉(zhuǎn)郵件。POP3（PostOfficeProtocol3，郵局協(xié)議版本3）和IMAP（InternetMailAccessProtocol，交互式郵件存取協(xié)議）規(guī)定計算機如何通過客戶端軟件管理、下載郵件服務(wù)器上的電子郵件?；谠摲N方式，網(wǎng)絡(luò)管理員需要在郵件服務(wù)器上部署SMTP服務(wù)、POP3服務(wù)（或IMAP服務(wù)）；終端用戶需要在PC上安裝郵件客戶端軟件（例如MicroSoftOutLook、FoxMail等郵件管理軟件）。TCP/IP架構(gòu)常見網(wǎng)絡(luò)協(xié)議介紹常用網(wǎng)絡(luò)設(shè)備介紹網(wǎng)絡(luò)基礎(chǔ)設(shè)備設(shè)備初始登錄園區(qū)網(wǎng)絡(luò)安全部署場景出差員工分支/合作伙伴病毒DMZ區(qū)辦公區(qū)辦公區(qū)數(shù)據(jù)中心NIPvNGFWAnti-DDoSATIC交換機交換機工作在數(shù)據(jù)鏈路層，轉(zhuǎn)發(fā)數(shù)據(jù)幀。SWA主機A主機C主機BIP:/24MAC:00-01-02-03-04-AAIP:/24MAC:00-01-02-03-04-BBIP:/24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3交換機的轉(zhuǎn)發(fā)行為泛洪（Flooding）轉(zhuǎn)發(fā)（Forwarding）丟棄（Discarding）交換機初始狀態(tài)初始狀態(tài)下，交換機MAC地址表為空。MAC地址表MAC接口SWA主機A主機C主機BIP:/24MAC:00-01-02-03-04-AAIP:/24MAC:00-01-02-03-04-BBIP:/24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3學(xué)習(xí)MAC地址交換機將收到的數(shù)據(jù)幀的源MAC地址和對應(yīng)接口記錄到MAC地址表中。MAC接口00-01-02-03-04-AAG0/0/1MAC地址表SWA主機A主機C主機BIP:/24MAC:00-01-02-03-04-AAIP:/24MAC:00-01-02-03-04-BBIP:/24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3ARPDec.MacSrc.MacMAC接口00-01-02-03-04-AAG0/0/1轉(zhuǎn)發(fā)數(shù)據(jù)幀當(dāng)數(shù)據(jù)幀的目的MAC地址不在MAC表中，或者目的MAC地址為廣播地址時，交換機會泛洪該幀。Dec.MacMAC地址表SWA主機A主機C主機BIP:/24MAC:00-01-02-03-04-AAIP:/24MAC:00-01-02-03-04-BBIP:/24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/300-01-02-03-04-AAFF-FF-FF-FF-FF-FFARPSrc.Mac目標(biāo)主機回復(fù)交換機根據(jù)MAC地址表將目標(biāo)主機的回復(fù)信息單播轉(zhuǎn)發(fā)給源主機。MAC接口00-01-02-03-04-AAG0/0/100-01-02-03-04-CCG0/0/3Dec.MacSrc.MacMAC地址表SWA主機A主機C主機BIP:/24MAC:00-01-02-03-04-AAIP:/24MAC:00-01-02-03-04-BBIP:/24MAC:00-01-02-03-04-CCG0/0/1G0/0/2G0/0/3ARP00-01-02-03-04-AA00-01-02-03-04-CC路由器功能：在不同的網(wǎng)絡(luò)之間轉(zhuǎn)發(fā)數(shù)據(jù)包。網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層RouterARouterBRouterC應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層HostAHostB應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層RouterCRouterBRouterA路由選路路由器負責(zé)為數(shù)據(jù)包選擇一條最優(yōu)路徑，并進行轉(zhuǎn)發(fā)。RTARTBRTCRTD防火墻防火墻主要用于保護一個網(wǎng)絡(luò)區(qū)域免受來自另一個網(wǎng)絡(luò)區(qū)域的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)入侵行為。防火墻與交換機、路由器對比路由器與交換機的本質(zhì)是轉(zhuǎn)發(fā)，防火墻的本質(zhì)是控制。交換機

匯聚組建局域網(wǎng)

二/三層快速轉(zhuǎn)發(fā)報文防火墻

控制報文轉(zhuǎn)發(fā)

防攻擊病毒木馬路由器

尋址和轉(zhuǎn)發(fā)

保證網(wǎng)絡(luò)互聯(lián)互通×防火墻的發(fā)展歷史198919941995200420052009訪問控制······代理技術(shù)······會話機制······專用設(shè)備······多功能疊加······DPI技術(shù)···基于用戶+應(yīng)用+內(nèi)容進行管控包過濾應(yīng)用代理狀態(tài)檢測UTM下一代防火墻NGFW防火墻安全區(qū)域安全區(qū)域（SecurityZone），或者簡稱為區(qū)域（Zone）。Zone是本地邏輯安全區(qū)域的概念。Zone是一個或多個接口所連接的網(wǎng)絡(luò)。DMZ區(qū)域Trust區(qū)域Untrust區(qū)域防火墻安全區(qū)域與接口關(guān)系安全區(qū)域與接口關(guān)系防火墻是否存在兩個具有完全相同安全級別的安全區(qū)域？防火墻是否允許同一物理接口分屬于兩個不同的安全區(qū)域？防火墻的不同接口是否可以屬于同一個安全區(qū)域？G0/0/2

DMZ區(qū)域G0/0/3

Untrust區(qū)域G0/0/0

Trust區(qū)域G0/0/1

Trust區(qū)域TCP/IP架構(gòu)常見網(wǎng)絡(luò)協(xié)議介紹常用網(wǎng)絡(luò)設(shè)備介紹網(wǎng)絡(luò)基礎(chǔ)設(shè)備設(shè)備初始登錄基礎(chǔ)業(yè)務(wù)配置基礎(chǔ)系統(tǒng)設(shè)置VRP簡介VRP:VersatileRoutingPlatform，通用路由平臺。網(wǎng)絡(luò)操作系統(tǒng)支撐多種設(shè)備的軟件平臺提供TCP/IP路由服務(wù)命令行簡介系統(tǒng)將命令行接口劃分為若干個命令視圖，系統(tǒng)的所有命令都注冊在某個（或某些）命令視圖下，只有在相應(yīng)的視圖下才能執(zhí)行該視圖下的命令。<NGFW>用戶視圖<NGFW>system-view[NGFW]系統(tǒng)視圖[NGFW]interfaceGigabitEthernet0/0/1[NGFW–GigabitEthernet0/0/1]quit接口視圖[NGFW]ospf1[NGFW-ospf-1]協(xié)議視圖命令行幫助-完全幫助應(yīng)用完全幫助，系統(tǒng)可以協(xié)助您在輸入命令行時，給予全部關(guān)鍵字或參數(shù)的提示。在任一命令視圖下，鍵入“?”獲取該命令視圖下所有的命令及其簡單描述。鍵入一命令，后接以空格分隔的“?”，如果該位置為關(guān)鍵字，則列出全部關(guān)鍵字及其簡單描述。<NGFW>?Userviewcommands:anti-ddosDefendagainstDDoSattacksarpSpecifyARPconfigurationinformation<NGFW>displayfirewall?blacklistIndicatetheblacklistcommandgroupdataplaneIndicatedataplanetomanageplanedefendIndicateattackdefense命令行幫助-部分幫助應(yīng)用部分幫助，系統(tǒng)可以協(xié)助您在輸入命令行時，給予以該字符串開頭的所有關(guān)鍵字或參數(shù)的提示。鍵入一字符串，其后緊接“?”，列出以該字符串開頭的所有關(guān)鍵字。鍵入一命令，后接一字符串緊接“?”，列出命令以該字符串開頭的所有關(guān)鍵字。<NGFW>d?debuggingdeletedirdisplaydownload<NGFW>displayb?backup-configurationbfdbgpbridgebufferbulk-stat命令行幫助-Tab鍵如果與不完整的關(guān)鍵字匹配的關(guān)鍵字唯一。如果不匹配或者匹配的關(guān)鍵字不唯一。[NGFW]info-[NGFW]info-center[NGFW]info-centerl[NGFW]info-centerlo[NGFW]info-centerloghost[NGFW]info-centerlocal[NGFW]info-centerlogbuffer[NGFW]info-centerlogfile配置接口選擇“網(wǎng)絡(luò)>接口”，選擇對應(yīng)接口的編輯。配置接口IP地址，切換接口模式。通過切換接口模式。路由：三層接口交換：二層接口：配置IP地址，子網(wǎng)掩碼加入安全區(qū)域配置路由選擇“網(wǎng)絡(luò)>路由>靜態(tài)路由”，單擊“新建”。12設(shè)備登錄管理綜述設(shè)備登錄管理Console登錄telnet登錄SSH登錄Web登錄通過