网络安全技术课程小结（一）

1、ARP欺骗攻击 ARP实现机制只考虑业务的正常交互， 对非正常业务交互或恶意行为不做任何验证。比如当主机收到ARP响应包后， 它并不会去验证自己是否发送过这个ARP请求， 而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表。

2、IP欺骗攻击 节点间的信任关系有时会根据IP地址来建立 攻击者使用相同的IP地址可以模仿网络上合法主机，访问关键信息

3、TCP协议与UDP协议 TCP—传输控制协议,提供的是面向连接、可靠的字节流服务 UDP—用户数据报协议，是一个简单的面向数据报的运输层协议。

4、TCP建立连接与断开连接 TCP建立连接要进行三次握手，而断开连接要进行四次。这是由于TCP的半关闭造成的。因为TCP连接是全双工的(即数据可在两个方向上同时传递)所以进行关闭时每个方向上都要单独进行关闭。这个单方向的关闭就叫半关闭。当一方完成它的数据发送任务，就发送一个FIN来向另一方通告将要终止这个方向的连接。

5、状态检测防火墙与包过滤防火墙 状态防火墙：1.处理后续包速度快2.安全性高 包过滤防火墙：1.无法关联数据包之间关系2.无法适应多通道协议3.通常不检查应用层数据

6、安全区域与接口之间的关系 一个接口只属于一个安全区域，而一个安全区域可以包含多个接口。

7、可靠性技术IP LINK与静态路由和双机热备整合后的优势 启用IP-link链路可达性检查功能后，同步防火墙之间会话信息，系统给将会出发主备切换，保证业务正常进行。

8、包过滤与状态检测机制、会话表之间的关联关系 状态检测机制是包过滤的一种机制，通过对第一条流量的报文进行包过滤规则检查，并将对该流量的判断结果记录下来，形成会话表项，对于该流量的后续报文都会根据会话表项来判断是转发还是丢弃

9、Server Map表项的具体的作用 在多通道协议中， 如FTP， 控制通道和数据通道是分开的。 数据通道是在控制报文中动态协商出来的， 为了避免协商出来的通道不因其他规则的限制（如ACL） 而中断， 需要临时开启一个通道， Servermap表项就是为了满足这种应用而设计的一种数据结构。ASPF技术检测IP层之上的应用层报文信息， 并动态地根据报文的内容创建和删除临时的Servermap表项， 以允许相关的报文通过。 Server-map通常只是用检查首个报文，通道建立后的报文还是根据会话表来转发

10、分片缓存中首报分片和其它分片在报文格式上的区别 分片中的首片报文中的标志最后位为1，其他分片报文中的标志为0 将非首片的分片报文缓存至分片散列表，等待首片到来建立会话后，将所有分片报文进行转发。分片晚到防火墙将丢弃分片缓存中的分片报文

11、端口识别（端口映射）主要应用的场景 端口识别， 也称端口映射， 是防火墙用来识别使用非标准端口的应用层协议报文， 把非标准协议端口映射成可识别的应用协议端口。 端口映射支持的应用层协议包括FTP、HTTP、 RTSP、 PPTP、 MGCP、 MMS、 SMTP、 H323、 SIP、 SQLNET。 只对安全域间的数据流动生效， 因此在配置端口映射时， 也必须配置安全区域和安全域间