网络安全基础内容 速记

安全术语 ：

安全漏洞的生命周期：漏洞被发现/漏洞信息被披露（expolit）漏洞具有官方补丁或修复方案

0day:漏洞信息未公布的时候，这时候可以用EXP 通杀

1day:漏洞信息被公布，但是没有官方补丁这时候可以利用EXP   入侵大部分系统，

Nday:漏洞已有官方补丁或者修补方案这时候只能利用EXP    入侵还未即使修复的系统

CVE: 通用漏洞披露，全球漏洞的百科全书，建立跨组织厂商的通用漏洞沟通语言。通过cAn机构分配漏洞编号通过CVSS评估漏洞等级

CVND :国家信息安全漏洞共享平台。由国家互联应急中心（CNCERT）联合国内重要系统单位基础电信运营商/网络安全厂商，互联网企业建立的国家网络安全漏洞库，其收录的各类漏洞也被授予CNVD编号

shell/webshell 概念：shell 是一个应用程序，链接了linux 内核，让用户可以低成本高效的使用linux 内核

webshell 是以asp 、php 、jsp或者cgi 等网页文件的形式存在的一种代码执行环境，主要用于网站

管理服务器管理权限管理。 黑客向网站植入webshell后门到Apache服务器，用来调用服务器

基础设施术语：

c2 服务器： 

     Comment and   control  服务器，命令和控制服务器。是攻击者发送控制命令的服务d端

黑客利用c2 服务器来操控目标服务器的过程为：黑客利用自己本地的客户端链接c2服务器并且发送指令，已经被植入木马的目标客户端会主动向c2服务器发送一条信息，隔一段时间就会去c2服务商查看有没有下达的指令，如果有就会下载到本地执行，执行完毕之后会把命令的结果传回c2服务器执行，如果没有就什么也不做定时发送心跳包探测存活。 同事c2 服务器会把执行的结果返还给黑客的本地客户端

         内网、外网、DMZ区:

                  内网是指企业内网或者是局域网，外网用户无法访问

                  DMZ是指企业内网对外服务区，外网的用户可以链接，为了保证安全性会通过防火墙讲                    内外网、DMZ进行安全隔离。

代理：proxy

    通常用于身份隐藏和端口转发：身份隐藏式攻击者可以通过第三方服务器访问目标系统从而隐藏自己的ip。

 端口转发：可以通过代理软件穿透内外网的限制。访问核心服务器。

攻击俗语

根据攻击角度的不同：

 互联网攻击链路：所有暴露互联网应用：web服务器、数据路服务器、各端口开放服务

社会工程学攻击：鱼叉攻击（比较精确额钓鱼攻击），鲸钓攻击（钓鱼之大鱼）、水坑攻击（设置水坑让被攻击者自动前来）。例子：钓鱼短信

近源攻击：USB攻击、WiFi攻击、门禁攻击4

供应链攻击：合作伙伴。供应商

APT攻击：

 高级持续性威胁，通常是政治商业动机，针对也定目标手段高超、低调隐蔽、时间持久的攻击

渗透测试：是合法的。是受信任的第三方通过模拟黑客攻击技术对目标网络攻击测试发现目标的安全隐患并进行加固，步骤：明确目标-》收集足够的信息->工具扫描或者手动发现漏洞->利用 漏洞

脱库攻击：攻击者利用漏洞例如（SQL注入）入侵网站将数据路拖出到黑客本地服务器的过程

洗库攻击：攻击者洗出账号的价值，如果是金融账号则财产转出，如果是游戏账号则售卖

撞库攻击：搜集到的数据库信息，制作字典表，尝试批量登录该网站，撞出可以使用的网站账号

DOS攻击：

  是利用网络服务的缺陷，使网络或者服务器无法提供服务。

DDOS攻击：1、带宽消耗类攻击UDO泛洪攻击；2、资源消耗攻击：    CC攻击

社会工程学：

利用人的粗心执行预期的动作泄露机密信息的艺术

中间人攻击：

 指攻击置于两台设备之间发起的劫持攻击可以基于：ARP、DNS、HTTP、SSL等协议实现会话控制账号窃取流量操控等等。

安全工具：

在进行渗透测试时。根据渗透的流程可以将工具分为是信息收集工具漏洞扫描工具，渗透攻击工具、后渗透工具等等。 

信息收集：（爱企查、Google,、shodan、Nmap） 了解组织架构、渗透目标

   爱企查：查询企业的组织架构、

  Google: Hacking：查找网站子域名，网站后台。，泄露文件、文档/寻找网站中的配置和安全漏洞例如：

site：baidu.com 将返回和这个网站有关的所有的URL  在网址栏输入site:baidu..com 可以找到其网站的子域名 

 intitle:查找后台登录页面

filetype:搜索指定的文件类型

intext：搜索指定的用户名和密码

inurl :inurl:upload.php搜索我们指定的字符是否在URL中

shodan :

可以用于查找有关路由器，交换机服务器ioi设备等资产的信息，此信息包括元数据例如在每个设备上运行的软件。

Nmap:是一个网络连接端扫描工具，扫描网   脑开放的网络连接端确定那些服务运行在哪些连接端，用户来主机探测服务/版本检测网络路由跟踪

漏洞扫描：（AWVS、Nessus）

渗透攻击：Hydra Metasploit

后渗透攻击：metasploit

Kali linux 做渗透测试的操作系统 ，也包括各类渗透工具

AWVS 

 web站点漏洞扫描工具，通过网络爬虫自动扫描互    联网或者本地局域网中web应用中是否存在漏洞并    输出漏洞报告。

Nessus 

主机漏洞扫描。 提供完整的漏洞扫描服务，并随时更新其数据库 涵盖网络设备漏洞，虚拟主机漏洞，操作系统漏洞，数据库漏洞扫描  web应用漏洞扫描

渗透攻击：hydra 

暴力破解工具 ：支持多种协议密码的破解，破解SSH，破解FTP，破解web 登录等等

Metasploit 是一款强大的渗透测试利器  渗透测试中提供一条龙服务.

ARP协议与防护

adress resolution protocol   地址解析协议，用于交换机下二层设备寻址，询问目标IP对应的MAC地址

ARP的缓存机制，将访问主机的IP地址与mac地址绑定，就能知己告诉交换机对应的mac地址进行转发，就是省略了解析的步骤

缺陷：ARP缓存表机制不会验证自己是否发送过ARP请求；有新的对应关系旧的将会被替换

ARP欺骗：对特定IP的MAC地址进行假冒欺骗，从而达到恶意目的。1 、主机欺骗：危害：获取通信流量  防护措施：ARP欺骗是通过重复应答实现的，那么只需要在本机添加一台静态的ARP映射，就不需要询问网关MAC地址了。

2 、网关欺骗：断网、获取所有的通信流量。防护措施：在网关绑定主机的IP与MAC地址

交换机转发机制

  交换机收到数据帧的时候，解析数据包，查看源MAC地址，并将MAC地址和接口进行关联，更新到MAC地址表中，

查看数据包目标MAC地址，然后查询本地MAC地址表，根据目标MAC将这个数据转发出去

如果MAC地址表是空或者丢弃，广播这个数据帧进行复制，然后向各个接口转发出去。

交换机MAC地址表是有大小限制的，接入交换机MAC地址表基本在8K左右，当这个表满的时候，只要关联信息不在交换机上，就会将这个帧复制，进行广播，向所有的接口转发出去

MAC地址老化时间默认是300秒，到300秒就会将MAC映射关系删除

MAC地址泛洪攻击：

利用交换机的学习机制，不断发送不同的MAC 地址给交换机，充满整个MAC地址表，这样交换机只能进行广播，攻击者凭此获得信息。攻击者通过泛洪攻击对局域网内的流量进行抓取。以达到网络信息收集的目的。  防御：给交换机的每个端口限制主机的数量，当一个端口学习的MAC数量超过这个限制的数量，将超出的MAC地址舍弃。

TCP协议利用与防护

在TCP/IP 协议栈中，TCP协议提供可靠的传输服务传输前要通过三次握手建立连接

三次握手作用1、客户端与服务端可以正常的接收发送

                      2、数据同步

TCp/ip三次握手：服务端的进程先建立一个进程控制块TCB时刻准备接收客户端的链接请求，客户端进程也是先建立进程控制块TCB，然后向服务端发送链接请求报文，报文参数：syn表示要建立链接,seq表示数据包的序列号，随机生成；服务端接收到了客户端的链接请求，如果同一建立链接，向客户端发送报文（SYN,表示要建立链接，ACK表示接收到了链接请求，seq表示数据序列，数据同步，ack表示下一次发送的数据包为）客户端接收到服务端的报文之后，客户端向服务端发送报文：（ACk，seq,ack）三次握手建立通信。

对于TCP/ip 链接的缺陷，SYN FLOOd攻击，是一种dos攻击，发送大量伪造的TCP/ip链接请求，从而使受攻击服务器资源耗尽的攻击方式。   发送大量SYN半开放链接，消耗服务端系统的内存来等待这个未决的链接。通过开放很多的半开放练级来发动洪水攻击耗尽服务器资源
防护手段：1 监视并释放无效的链接。不停的监视系统的半开链接和不活动链接，在达到一定的阈值的时候就拆除这些链接，从而释放系统资源。

2 延缓TCP分配方法。 synCache   syncookie

3 SYN 代理防火墙：对试图通过的SYN请求进行验证之后方行，采用的验证链接有效性的方法采用的是syncookie技术

4 TCPsafeReset技术，防火墙验证链接之后发出一个safeReset 命令包，使client重新进行连接，这时候client 重新发送的syn 报文防火墙就会直接放行，这种方式中防火墙就不需要通过防火墙的数据报文进行序列号的修改了。

DHCP协议的利用与防护：

DHCP 是局域网的网络协议，是指由服务器来控制一段IP地址，客户端向服务器请求IP和子网掩码，一种方式是静态手动配置，一种是DHCP服务来自动配置

DHCP地址耗尽攻击场景：

通过不断重复DHCP请求IP地址的过程，来达到耗尽DHCP地址池的过程，首先构建一个DHCP  Discover报文来请求网络中的服务器，然后侦听网络中的数据包。提取Offer报文中的服务器标识’，以及分配IP地址后，构造DHCP Request 发送后完事，重复上诉步骤

操作系统安全

漏洞：本地提权漏洞     远程代码执行漏洞

windows 漏洞：MS08-067 （CVE-2008-4250）

Linux 漏洞;cve-2017-7494  修复：升级samba 服务。

web 安全基础

web 应用：网站】

服务端用于接收请求报文的是web应用服务器，常见的web应用服务器有：Apache,IIS ,tomcat Nginx等等，web 应用服务器专门用于提共HTTp应用服务，会处理HTTP请求。最后构建HTTP报文进行相应请求。

web应用服务器处理HTTP请求的过程：

以Apache为例：用户用URL请求，Apache服务器先判断URL的后缀，判断URL的类型，并且到网站的根目录下找对应的文件，jiang找到之后将对应的代码返回给浏览器，最后显示到网页上，

静态网页：后缀未.html或者.htm后缀就是HTML +CSS+JAVAScript构建的  浏览器对代码机型渲染解析

动态网页：后缀是以.php   .jsp .asp .aspx    为后缀的文件 这些文件一般是有HTML + CSS+JAVASCRt  + 后端语言代码构成，例如.php 文件带有PHP代码   

 动态网页请求Apache :前期请求步骤是一致的，当Apache web服务器接收到请求之后，会【判断URL的后缀，.php结尾的请求交给php脚本引擎处理，处理结果会交还给Apache 服务器，Apache服务器再将相应报文交还给浏览器显示出来。

数据都是存储再数据库中 SQL   Server，mysQL,oracle 等

web 服务的各个环节都是存在服务漏洞的，因此都有可能被攻击

常见的web 服务端的架构

相互对应的动态脚本引擎

在本地快速搭建web服务端，通过phpstudy快速在本地搭建  hackbar 插件，提供XSS SQL 编解码POST等小功能

Proxy  switchyOmega

Cookie-editor 网站cookie 管理工具 

Wappalyzer 网站指纹识别插件

常用的web渗透工具：Burp Suite是世界上使用最广泛的web应用程序安全测试软件 可以帮助我们执行  “”请求的拦截和修改“”、扫描web 应用程序漏洞、暴力破解登录表单等多种的检查

常用的web 渗透工具，firfox 浏览器

web 常见的漏洞与防护

webShell 和webShell管理工具：webShell 简称网页后门简单来说他是运行在web应用程序之上的远程控制程序webShell其实就是一张网页由web 应用程序语言开发webshell一般会具备文件管理端口扫描、提权、获取系统信息、的功能

拥有完整功能的webshell我们一般称之为大马    ，功能简易得我们称之为小马除此之外还有木马、脱库马等等名词是对webShell功能或者特性的简称。

一句话木马：

 带有PHP标签， eval 是PHP语句，执行命令

蚁剑是一款专业的网站管理软件，用途广泛，使用方便，小巧实用，

网站的文件上传漏洞：文件上传功能没    有对上传的文件做合理严谨的过滤导致用户可以利用次功能，上传能被服务端解析执行的文件并通过此文件获得执行服务端命令的能力。如果恶意文件PHP、asp 绕过web 应用并且顺利执行相当于黑客直接拿到了webshell ,就可以拿到web 应用的数据，，进而操作提权等。

相应的防御：1、文件校验   2、最小权限的web服务  3 不给上传文件的执行权限  4 安装WAF 进行深度检测  如安全狗，阿里云盾等。

任意文件下载漏洞；利用与防护：

文件下载是根据参数filename的值获得该文件在网站上的绝对路径读取文件的内容发送给客户端进行下载。

文件下载漏洞是指文件下载功能没有对下载的文件做合理严谨的过滤导致用户可以下载服务器上的任意文件。

防御：1 下载路径不可控，而是程序自动生成之后保存在数据库中，根据ID进行下载

            2   对参数进行严格的过滤，不能进行目录遍历（穿越）

数据库

msql :架构：数据库服务器：用来运行数据库服务的一台电脑，

数据库：一个数据库服务器中可以有很多歌数据库

数据表：不同的数据分区

字段：不用解释

数据行：真正的数据

常用的sql 语句：  增删该查：

增：

inset into<表明>[列名] value <列值>     inset into zgyz (姓名,理论，windows实操，Linux实操) values (‘小明’，‘80’，‘’90'，‘90’)

更新：

update<表明>set<列名=更新值> 【where <更新条件>】

update zgyz set 理论 = 100 where 姓名 = ”周楠‘’

查询：

select set [where<更新条件>]

select  'linux 实操' from zgyz where 姓名= ‘邹楠’

删除语句：

DELETE  FROM [where<删除条件>]

DELETE FROM  zygz   Where name = 'zounan'

SQL 注入原理及漏洞利用方式：

SQL注入是发生于应用程序与数据库层之间的安全漏洞。输在输入的字符中注入SQL指令。设计不当的程序中忽略了字符检查，那么这些混入的SQL指令就会被正常运行从而入侵。

    MYSQL数据库5.0版本以上有一个自带的数据库information_schema  该数据库存放了MYSQL数据中所有的数据库和数据表的元信息。

SCHEMATA：提供当前数据库中所有数据库的信息；

TABLES提供当前数据库中所有数据表的信息

COLUMNS 提供所有数据表字段的信息

     工具：

sqlMap 是一款开源渗透测试工具他可以自动检测和利用sql注入漏洞并接管数据库服务器

支持五中sql注入技术：联合注入、布尔盲注、时间盲注、报错注入、堆叠注入

支持枚举用户，密码哈希，特权，角色，数据库，表和列

Sql 注入的危害：1 获取数据（拖库）2 写入webShell 3读取敏感系统文件 4 命令执行

 sql注入的防御

    1 sql 语句预编译   2 使用足够严格的过滤和安全防御

XSS漏洞原理以及利用方式：

XSS漏洞以及防御：

 xss  全称是 跨站脚本，或者叫做跨站脚本攻击 ，攻击者可以在页面中插入恶意脚本代码，浏览器会解析这些代码从而达到窃取用户身份/钓鱼/传播恶意代码的行为。

其本质也是一种注入，是HTML 的注入混淆原本的语义产生了新的语义。

   类型：反射型XSS，是最简单的XSS，即输入XSS脚本或者XSS点击按钮即可完成XSS攻击，也成为非持久型XSS，漏洞主要存在于URL地址栏搜索框。

第二种是存储型XSS，主要是混入代码，存入服务器端，攻击比较稳定，成为持久性XSS，主要用于发帖，以及用户注册模块。每次访问页面都会触发XSS

第三种 DOM B     ased XSS    通过修改页面的DOM节点来进行XSS

cookie 概念 ：网页数据令牌    存在XSS漏洞获取网站的cookie ，

XSS漏洞：钓鱼：伪造网页，页面；

                 cookie盗取

                  获取IP地址

                  站点重定向

                  获取客户端页面信息 

                  XSS蠕虫

CSRF漏洞  

  跨站请求伪造漏洞    攻击原理：利用未失效的会话信息（cookie，会话等）伪装目标用户发起请求执行目标网站接口在受害者毫不知情的情况下以受害者的名义伪造请求给受攻击站点

‘’

原理：攻击者盗用了你的身份。，以你的名义发起恶意请求。

CSRF能够做的事情有：以你的名义发送邮件、发消息、盗取你的账号、甚至于购买商品，虚拟货币转账造成个人隐私泄露，机密资料泄露。用户 甚至企业的财产安全

防御手段

samesite cookie     

验证HTTP referer字段

增加token 验证

逻辑漏洞：

是由于逻辑不严谨导致的漏洞  开发者导致包括：支付漏洞，密码修改，越权修改，越权查询等

RCE漏洞：远程命令/代码执行漏洞简称RCE漏洞可以让攻击者直接向后台服务器远程注入操作系统命令或者代码从而控制后台系统

常见的RCE漏洞有struts2系远程代码执行漏洞    对应工具：   strutrs2-Scan工具

ThinkPHP5远程代码执行漏洞    对应工具：Thinkphp-GUI 工具

web中间件漏洞

常见的web 中间件包括APache  IIS Nginx  Tomcat    weblogic、JBoss、webShere等

存在的安全漏洞主要包括：

Apache   Httpd多后缀解析漏洞、Apache  SSI 远程命令执行漏洞、Apache  Httpd换行解析漏洞

IIS目录解析漏洞，写权限漏洞

Nginx 解析漏洞   CVE-2013-4547文件名逻辑漏洞

Tomcat7+弱密码&后端Getshell漏洞、本地提权漏洞CVE-2016-1240等

weblogic（CVE-2017-10271反序列化漏洞）

IIS常见漏洞： 

IIS  是基于windows的web server  类似于JAVA里的tomcat  是一种web 服务组件 其中包括 web服务器，FTP服务器，NNTP服务器，SMTP服务器分别用于网页浏览文件传输，新闻服务，邮件发送等方面，

数据库安全：

数据库：有组织，可共享数据集合‘’

关系型数据库：采用了关系模型来组织数据的数据库。关系模型就是二维表格模型

NOsql 非关系型数据库主要是指那些非关系型的，分布式的，且一般不保证ACID的数据存储系统。多采用的是键值对的数据形式，比如字典

漏洞：1 数据库弱口令；2 web应用安全性不足（SQL 注入）3 数据库配置隐患 4 未授权漏洞 5 数据库产品漏洞

数据库的漏洞利用与防护：

数据库弱口令漏洞：mysql暴力破解：

mysql是一个关系型数据库。默认端口是3360   爆破工具：hydra、超级弱口令爆破工具、Mestasploit

Oraclec 暴力破解 MMQL：默认端口：1521

数据库配置隐患：

MySQL权限配置- getshell 

 1 、用into oufile 函数将shell写入web目录

利用条件：1 知道网站的物理路径（PHPinfo页面泄露，loadfile读配置文）

                    2 高权限数据库用户（dbs）

                    3  load_file()开启 即secure_file_priv无限制

                     4 网站路径有写入权限

Redis未授权漏洞

    漏洞描述：Redis 默认绑定在0.0.0.0：6379如果没有设置相关策略，比如防火墙规则避免其他非信任来源访问将会使Redis服务暴露在公网上， 会导致任意用户可以读取  

攻击者可以向web服务中写入webshell getshell

写入crontab计划任务反弹shell  getshell

写SSH key geyshell 

漏洞修复：

安装时设置密码，设置防火墙策略

MySql身份认证漏洞：逻辑上 没有正确处理密码的验证

操作系统安全：

安全加固概述：

安全加固就是对系统中主机系统的脆弱性进行分析和修补构建动态、完整的安全体系增强系统的安全性，对主机系统的身份鉴别与认证访问控制审计跟踪

可以提高操作系统的防护能力

注意：不能影响目标系统的业务运行，不能影响与目标系统相连的其他系统

确保系统原配置已备份

确保系统正常运行

应急响应：

安全应急发展史：1988年Morris蠕虫时间直接导致应急响应诞生

应急响应组：为一个或多个个人组成的团队能快速执行和处理与安全有关的事件。

国家互联网应急中心CNCERT/CC 成立于2011年8月

中国电信ChinaNet安全小组

准备阶段-检测阶段-抑制阶段-根除阶段-恢复阶段-总结阶段

常见漏洞：

web后门/攻击/反序列化命令执行SQL注入/SSH 若口令扫描/外链请求

分析/溯源  对应的日志

Linux上 top 命令查看最高占用率是哪个进程

工具使用：GUI工具   Windows上的：系统默认的资源监视器  、火绒剑，PCHunder，D盾webshell查杀，Pestudio

明鉴迷网系统-蜜罐

网络安全产品认知

    网络边界防护：

具有不同级别的网络之间的分界线都可以定义为网络边界

网络边界的防护：针对不同网络环境所设置的安全防护措施

企业内部网络和外部网络

网络边界响应的关键技术：

  安全域：方便更小的，结构化的区域安全保护和安全运维。相同的安全域共享相同的安全策略；以业务为中心，以流程为驱动，以风险为向导。

访问控制：明确什么角色能访问什么类型的资源

防火墙技术：根据边界系统的安全策略对进出网络的信息流进行控制 ，主要是隔离和访问控制。防火墙的域间控制：trust区>Untrust区>DMZ区，由此防火墙对流动的报文实施安全检查和实时管控。

   防火墙的其他功能：基础组网和防护功能、记录监控网络存取与访问、限定内部用户访问特殊站点、限制风险范围、网络地址转换、虚拟专用网络。

   防火墙的三种工作模式：路由模式，如互联网的出口处；透明模式,如专网分支校区；混合模式，一墙多用。 

   防火墙的使用场景：1 互联网出口和数据中心出口：可以解决外部威胁危害上网安全。钓鱼，恶意URL访问，病毒、木马，远程植入，僵尸控制；违规访问引发的风险：网络资源滥用违规内容访问和外发机密信息外泄

网闸技术：网闸是一种带有多种控制功能的硬件  部署在两个安全域之间

VPN：

网闸技术：实现两个相互物理隔绝的网络间的数据可靠交换。

VPN技术：通过在公用网络上建立专用网络，虚拟私有网络

VPN技术 = 加密技术 + 隧道技术

SSL VPN：安全套接字   特点：保密，在握手协议中定义了会话秘钥，所有的消息都被加密   

可选的客户端认证，和强制的服务器端认证   传送的消息包括消息完整性检查

SLL的工作原理：1 握手协议、记录协议、警报协议

IPSecVPN   隧道模式：对整个IP数据包进行封装和加密隐蔽了源和目的IP地址从外部看不到数据包的路由过程

传输模式：支队IP有效数据核进行封装荷加密

VPN的应用场景：解决高效移动办公问题以及远程办公问题。

边界防护技术：抗拒绝服务：原理：：阈值限制：对流量限制和保障等多种限制机制低于DDOS攻击

验证识别：使用验证手段，抵御僵尸网络攻击器的应用层DDOS攻击

防火墙的功能介绍：

物理接口是指设备的硬件接口  防火墙默认是route 。

网桥接口是指物理接口工作在网桥模式，负责二层报文的转发，

聚合接口是物理接口的集合。一个聚合可以包含1到16个物理接口    聚合接口可以提高单个IP地址的可用带宽，   。

隧道接口只能是三层接口

防火墙安全策略：

策略是网络安全设备的基本功能，默认情况下，安全网管会拒绝设备锁行所有接口之间的信息传输，而策略则通过策略规则决定从一个接口到另一个接口的那些流量该被允许，哪些流量该被拒绝。

  防火墙的安全域是：若干个接口所连接的网络的集合。这些网络中的用户具有相同的安全属性三层接口可以绑定到安全域，二层接口不可以绑定到安全域

安全策略的匹配原则：从列表由上至下根据流量的额过滤条件进行匹配

安全策略优化：检测当前策略的冗余性

防火墙的’网络功能 ：路由  DNS   DHCP    链路负载均衡

以下知识点：

路由：静态路由， 动态路由  ISP路由  策略路由

动态路由是根据网络系统的运行情况而自动调整的路由。支持基本的OSPF和RIP协议，

策略路由：检查数据包的接入口、源IP、目的IP、用户、服务和应用类型，对匹配策略的数据包的下一跳 进行指定  优先级高普通路由

路由选路顺序：

策略路由->负载均衡->目的路由->ISP路由->动态路由

DNS

防火墙支持的有DNS代理，DNS透明代理、域名管理，动态缓存，特定域名解析

防火墙功能之：

NAT ，即网络地址转换，将IP数据包中的IP换成另一个IP。主要用于私有网络和外部网络通信

NAT的配置分为：源地址转换（Source ）目的地址转换（Destination）静态地址转换Static三种类型