简单的一些安全知识总结

一. 传统防火墙和下一代防护墙的区别？
思路：介绍防火墙的功能，介绍传统防火墙的类型和工作模式，介绍下一代防火墙的类型和工作模式

答：防火墙是防止黑客攻击，保护内部网络安全的一个硬件产品。
传统防火墙主要有三种类型：包过滤、状态检测、应用代理。

1. 包过滤防火墙工作于3、4层，是基于五元组（源IP、目的IP、源端口、目的端口、协议号）进行识别的。由于只检测五元组，所以检测速度很快，消耗资源少。缺点是策略手工配置，工作量大，无法手工更改。无法识别会话层数据，无法识别应用层攻击，无法识别会话状态。
2. 状态检测防火墙工作于3、4、5层。在以往的防火墙都是逐包检测。检测速度比较慢，状态检测防火墙可以维持会话，建立状态表（根据五元组）对于TCP资源，收到FIN包可以直接结束会话，如果是UDP报文，会有一个定时器，时间结束后结束会话。优点是：检测速度快。缺点是无法识别应用层数据。对于多链接协议，兼容性不好，比如FTP。不支持动态通道通信。
3. 应用代理防火墙工作于3、4、5、7层。优点是可以检查应用层数据。缺点是基于软件检查，所以处理效率比较慢，消耗资源比较大。过滤的力度和特征库的大小有关，需要手动配置特征库。

工作模式有三种：路由模式、透明模式、混合模式。

1. 路由模式：具备三层功能，工作基于路由表。可以在防火墙上配置一些NAT策略，网关等
2. 透明模式：相当于二层交换机，工作基于MAC地址
3. 混合模式：同时以路由模式和混合模式工作

下一代防火墙是基于传统防火墙的基于上增强了功能，比如说增强了应用控制和识别，可以防护恶意代码，防护数据泄露，Web防护，入侵防御等。 工作模式多了一个旁路模式。

旁路模式：工作原理基于端口镜像，将防火墙连接到网络设备的镜像端口上，就可以获取拷贝的数据了，可以对数据进行记录留有日志，用以提供后续的审计

二. IDS和IPS的区别
思路：讲清楚IDS的概念和IPS的概念。然后进行对比，主要讲解IPS

1. IDS是入侵检测系统，尽最大努力去发现攻击行为和企图以及一些攻击结果。对恶意数据的阻断能力若，只能对TCP数据发送RST阻止连接。被动检测，响应速度慢
2. IPS是入侵防御系统，尽最大努力去阻止一些攻击行为和企图。IPS常见入侵手段：蠕虫、木马、病毒等。还可以进行暴力破解。工作原理是对应用层数据进行深层检测，将应用层特征和本地特征库进行对比，如果匹配上，即丢弃数据。主动检测，响应速度快

三.上网行为管理是什么？
上网行为管理是一种部署于互联网出口用于控制内网用户上网行为的硬件设备。具有以下几种功能和作用

• 用户认证：有两种类型一种是本地认证，一种是AAA认证。本地认证是将数据库存在设备本地，会消耗设备资源，用户认证的时候也会消耗设备的资源。AAA（认证、授权、计费）认证是将用户名密码存储在单独的AAA服务器上，不浪费设备的资源。进行身份认证时，不需要AC来判断，只需等待AAA的反馈结果。
• 网页过滤：基于HTTP和HTTP协议两种不同协议进行过滤。针对HTTP协议的URL获取，会将GET请求的host字段进行过滤。如果访问恶意网站就会进行封堵，发送RST断开用户连接。HTTPS协议种，在SSL协议的第一阶段，用户发送的Hello报文种的Sever name等同get中的URL，会对其进行过滤。对于一些恶意的TCP连接，发送RST断开用户连接。还可以有自定义RUL过滤
• 应用控制：工作原理是深度行为检测。有两种检测技术，一种是深度包检测技术DPI，对数据包的数据内容进行分析，判断应用类型。另一种是深度流技术DFI，对流量的行为进行分析，只能对应用类型进行笼统分类。对于特征库中没有的应用可以手动添加
• 带宽管理：带宽的合理使用，即规定什么应用使用多少带宽
• 行为审计：客户端使用HTTPS协议和外界进行连接时，上网行为管理会伪造成目的服务器，和客户端生成一堆密钥，所以可以解密数据包，保证内网无异常，内容审计拓展，免审计KEY，可以用于免受审计，数据中心key，只有数据中心才能看到设备的日志