信息技術和網絡的應用已經成為衡量世界國力和企業競爭力的重要標準。
國家信息基礎設施建設計劃,NII被稱為信息高速公路。
Internet、Intranet、Extranet和電子商務已經成為企業網絡研究和應用的熱點。
計算機網絡建設的主要目標是實現計算機資源的共享。計算機資源主要是計算機硬件、軟件和數據。
我們判斷計算機是否或是否互聯成計算機網絡,主要是看它們是否是獨立的“自主計算機”。
分布式操作系統以全局方式管理系統資源,它可以自動為用戶任務調度網絡資源。
分布式系統和計算機網絡的主要區別不是它們的物理結構,而是高級軟件。
按傳輸技術分為:1。廣播網絡。2。點對點網絡。
使用數據包存儲轉發和路由是點對點網絡和廣播網絡的重要區別之壹。
按規模分類:局域網、城域網和廣域網。
廣域網(遠程網絡)具有以下特點:
1滿足大容量、突發通信的要求。
2 .滿足綜合業務服務的要求。
開放式設備接口和標準化協議。
完善的通信服務和網絡管理。
X.25網絡是典型的公共分組交換網絡,是早期廣域網廣泛使用的通信子網。
變化主要在以下三個方面:
1的傳輸介質由電纜變為光纖。
多個局域網之間互聯的需求越來越強烈。
用戶設備有了很大的改善。
在數據傳輸速率高、誤碼率低的光纖上,采用簡單的協議降低網絡延時,必要的差錯控制功能將由用戶設備完成。這就是幀延續fr和幀中繼技術的背景。
決定局域網特性的主要技術因素是網絡拓撲、傳輸介質和介質訪問控制方法。
從局域網介質控制方式的角度來看,局域網可分為共享局域網和交換式局域網。
城域網是廣域網和局域網之間的高速網絡。
FDDI是以光纖為傳輸介質的高速骨幹網,可用於局域網和計算機的互聯。
各種城域網建設方案有幾個相似之處:以光纖為傳輸介質,以基於IP交換的高速路由交換機或ATM交換機為交換接點,采用核心交換層、業務匯聚層和接入層為架構。
計算機網絡的拓撲結構主要是通信子網的拓撲結構。
網絡拓撲可以分為:
4點線通信子網的拓撲結構。星形、環形、樹形和網狀。
廣播通信子網的拓撲結構。總線、樹、環、無線通信和衛星通信。
傳輸介質是網絡中連接發送方和接收方的物理路徑,也是通信中實際傳遞信息的載體。
常用的傳輸介質有雙絞線、同軸電纜、光纜以及無線通信和衛星通信信道。
雙絞線由兩根、四根或八根絕緣線按規則的螺旋結構排列而成。
屏蔽雙絞線STP和非屏蔽雙絞線UTP。
屏蔽雙絞線由外護層、屏蔽層和若幹對雙絞線組成。
非屏蔽雙絞線由外護層和若幹對雙絞線組成。
ⅲ類線,ⅳ類線,ⅴ類線。
雙絞線作為長途幹線,最大距離可達15km。在100Mbps局域網中使用時,離集線器的最大距離為100米。
同軸電纜由內導體、外屏蔽層、絕緣層和外保護層組成。
分為:基帶同軸電纜和寬帶同軸電纜。
單通道寬帶:寬帶同軸電纜也可用於只有壹個通信通道的高速數字通信。
光纜簡稱光纜。
由光纖芯、光學層和外保護層組成。
在光纖的發射端,主要使用兩種光源:發光二極管LED和註入式激光二極管ILD。
光纖傳輸分為單模和多模。不同的是,與光學釬焊軸的角度是單壹或多射線傳播。
單模光纖優於多模光纖。
電磁波的傳播方式有兩種:1。是在太空中自由傳播,都是通過無線方式。
2。在有限的空間裏,靠現有的線路傳播。
移動通信:移動與固定、移動與移動物體之間的通信。
移動通信意味著:
1無線通信系統。
微波通信系統。
頻率為100MHz-10GHz的信號稱為微波信號,其對應的信號波長為3m-3cm。
3蜂窩移動通信系統。
多址接入方式主要包括:頻分多址FDMA、時分多址TDMA和碼分多址CDMA。
衛星移動通信系統。
商業通信衛星壹般在赤道上空35900公裏的同步軌道上發射。
描述數據通信有兩個基本的技術參數:數據傳輸速率和誤碼率。
數據傳輸速率是描述數據傳輸系統的重要指標之壹。S=1/T .
二進制信號的最大數據傳輸速率Rmax與通信信道帶寬B(B=f,單位為Hz)的關系可以寫成:Rmax=2*f(bps)。
在有隨機熱噪聲的信道中傳輸數據信號時,數據傳輸速率Rmax與信道帶寬b和信噪比S/N的關系為:Rmax = b * logχ(1+S/N)。
誤碼率是數據傳輸系統中錯誤傳輸二進制符號的概率,大約等於:
Pe=Ne/N(誤差除以總數)
對於實際的數據傳輸系統,如果傳輸的不是二進制符號,就應該轉換成二進制符號來計算。
這些為網絡數據傳輸和交換指定的規則、約定和標準稱為網絡協議。
該協議分為三個部分:語法。語義時間序列
計算機網絡的層次模型和每壹層的協議集合被定義為計算機網絡體系結構。
在計算機網絡中使用分層結構有以下好處:
1的各層是相互獨立的。
2良好的靈活性。
每壹層都可以用最合適的技術來實現,每壹層實現技術的變化不影響其他層。
4易於實現和維護。
5有利於促進標準化。
架構標準定義了網絡互聯的七層框架,即ISO開放系統互聯。在該框架中,進壹步詳細規定了各層的功能,以實現開放系統環境下的互連、互操作和應用移植。
OSI標準制定中采用的方法是將整個龐大復雜的問題分成幾個容易處理的小問題,這就是分層架構法。在OSI中,采用了三個抽象層次,即體系結構、服務定義和協議規範。
OSI七層:
物理層:物理傳輸介質主要用於為數據鏈路層提供物理連接,從而透明地傳輸比特流。
3數據鏈路層。在通信實體之間建立數據鏈路連接,以幀為單位傳輸數據,采用差錯控制和流量控制方法。
網絡層:通過路由算法為數據包選擇最合適的路徑通過通信子網。
傳輸層:為用戶提供可靠的端到端服務,透明地傳輸消息。
會話層:組織兩個會話進程之間的通信,管理數據的交換。
表示層:處理在兩個通信系統中交換的信息的表示。
8應用層:應用層是OSI參考模型中的最高層。確定流程之間的通信性質,以滿足用戶的需求。
TCP/IP參考模型可以分為應用層、傳輸層、互連層和主機網絡層。
互連層主要負責將數據包從源主機發送到目的主機。源主機和目的主機可能在同壹網絡上,也可能不在同壹網絡上。
傳輸層的主要功能是負責應用程序進程之間的端到端通信。
TCP/IP參考模型的傳輸層定義了兩種協議,即傳輸控制協議TCP和用戶數據報協議UDP。
TCP協議是壹種可靠的面向連接的協議。UDP協議是壹種無連接且不可靠的協議。
主機網絡層負責通過網絡發送和接收IP數據報。
根據層次結構的思想,計算機網絡模塊化的研究成果是自上而下形成壹組單向依賴的協議棧,也稱為協議族。
應用層協議分為:
1。壹種依賴於面向連接的TCP。
2.壹個依賴於面向連接的UDP協議。
另壹種類型的10同時依賴於TCP和UDP協議。
NSFNET采用分層結構,可分為主幹網、區域網和校園網。
作為信息高速公路的主要技術基礎,數據通信網絡具有以下特點:
1滿足大容量、突發通信的要求。
2 .滿足綜合業務服務的要求。
開放式設備接口和標準化協議。
完善的通信服務和網絡管理。
人們將采用x .提案中規定的DTE和DCE接口標準的公共分組交換網稱為X. 25網。
幀中繼是壹種減少聯系處理時間的技術。
綜合業務數字網;
B-ISDN和N-ISDN的區別主要如下:
2 N是基於目前使用的公用電話交換網,b是以光纖作為幹線和用戶環路的傳輸介質。
3 N采用同步時分復用技術,b采用異步傳輸模式ATM技術。
4 N每個通道的速度是預先確定的,b用的是通道的概念,速度不是預先確定的。
異步傳輸模式ATM是新壹代的數據傳輸和分組交換技術,是目前網絡技術研究和應用的熱點問題。
ATM技術的主要特點是:
3 ATM是壹種面向連接的技術,使用小型固定長度的數據傳輸單元。
各種信息在信元中傳輸,ATM可以支持多媒體通信。
5 ATM采用統計時分復用的方式動態分配網絡,網絡傳輸時延小,滿足實時通信的要求。
6 ATM沒有鏈路到鏈路的糾錯和流量控制,所以協議簡單,數據交換速率高。
7 ATM的數據傳輸速率為155Mbps-2。4Gbps .
促進空中交通管理發展的因素:
2人們對網絡帶寬的需求越來越大。
3用戶對寬帶智能使用靈活性的要求。
4用戶對實時應用的需求。
5.網絡的設計和建設需要進壹步規範。
壹個國家的信息高速公路分為:國家寬帶骨幹網、區域寬帶骨幹網和連接終端用戶的接入網。
解決接入問題的技術稱為接入技術。
它可以作為三種類型的用戶接入網:郵電網、計算機網(最有前途)和廣播電視網。
網絡管理包括五個功能:配置管理、故障管理、性能管理、計費管理和安全管理。
代理位於被管理設備中,它將來自管理者的命令或信息請求轉換成設備的具體指令,完成管理者的指令,或者返回其所在設備的信息。
管理者與代理人之間的信息交換可以分為兩種類型:管理者對代理人的管理操作;從代理到經理的事件通知。
配置管理的目標是掌握和控制網絡和系統的配置信息,以及網絡設備的狀態和連接管理。現代網絡設備由硬件和設備驅動程序組成。
配置管理最重要的功能是增強網絡管理員對網絡配置的控制,通過提供對設備配置數據的快速訪問來實現。
故障是指出現大量或嚴重錯誤並需要修復的異常情況。故障管理是在計算機網絡中定位問題或故障的過程。
故障管理的主要功能是通過為網絡管理員提供快速檢查問題和啟動恢復過程的工具來增強網絡的可靠性。故障標簽是監控網絡問題的前端過程。
性能管理的目標是測量和呈現網絡特征的所有方面,並將網絡性能維持在可接受的水平。
績效管理包括兩個功能:監控和調整。
計費管理的目標是跟蹤個人和團體用戶對網絡資源的使用,並向他們收取合理的費用。
計費管理的主要功能是網絡管理人員可以基於個人或集團用戶測量和報告計費信息,分配資源和計算用戶通過網絡傳輸數據的成本,然後對用戶進行計費。
安全管理的目標是按照壹定的方法控制對網絡的訪問,從而保證網絡不受侵犯,重要信息不被未授權的用戶訪問。
安全管理就是限制和控制對網絡資源和重要信息的訪問。
在網絡管理模型中,網絡管理者和代理需要交換大量的管理信息,這個過程必須遵循壹個統壹的通信規範,我們稱之為網絡管理協議。
網絡管理協議是基於特定物理網絡及其基本通信協議,服務於網絡管理平臺的高級網絡應用協議。
目前,使用的標準網絡管理協議包括SNMP、CMIS/CMIP、LMMP等。
SNMP采用循環監控模式。代理/管理站模式。
管理節點壹般是工程應用的工作站級計算機,具有很強的處理能力。代理節點可以是網絡上任何類型的節點。SNMP是應用層協議。在TCP/IP網絡中,它使用傳輸層和網絡層的服務向對等層傳輸信息。
CMIP的優點是安全性高,功能強大,不僅可以用來傳輸管理數據,還可以執行壹定的任務。
信息安全包括五個基本要素:機密性、完整性、可用性、可控性和可審計性。
3 D1級。D1計算機系統的標準不驗證用戶。比如DOS。視窗3 .x和WINDOW 95(不在工作組模式下)。蘋果的7 X系統.
4 C1級提供自主安全保護,通過將用戶與數據分離,滿足獨立需求。
C1級別,也稱為選擇性安全保護系統,描述了Unix系統中使用的典型安全級別。
C1級要求硬件具有壹定的安全級別,用戶使用前必須登錄系統。
C1級保護的缺點在於用用戶直接訪問操作系統的根目錄。
9 C2級別提供了比C1級別系統更精細的自主訪問控制。處理敏感信息所需的最低安全級別。C2級別還包括壹個受控訪問環境,進壹步限制用戶執行某些命令或訪問某些文件的權限,還增加了壹個身份驗證級別。如UNIX系統。XENIX .Novell 3 .0或更高版本。WINDOWS NT .
10級B1稱為標記安全保護,B1級支持多級安全。標記意味著互聯網上的對象是可識別的,並在安全保護計劃中受到保護。B1是需要大量訪問控制支持的第壹級。安全級別是機密和最高機密。
11 B2,也稱為結構化保護,要求對計算機系統中的所有對象進行標記,並為設備分配安全級別。B2級系統的關鍵安全硬件/軟件組件必須基於正式的安全方法模式。
12類B3,也稱安全域,要求用戶的工作站或終端通過可信通道連接到網絡系統。此外,這壹級使用硬件來保護安全系統的存儲區域。
B3級系統的關鍵安全組件必須了解所有對象對主體的訪問,防篡改,並且足夠小,便於分析和測試。
30 A1的最高安全級別表示系統提供了最全面的安全性,也稱為驗證設計。所有組成系統的部件來源都必須有安全保障,這樣才能保證系統的完善性和安全性。安全措施還必須確保系統組件在銷售過程中不受傷害。
網絡安全本質上是網絡上的信息安全。所有與網絡信息的機密性、完整性、可用性、真實性和可控性相關的技術和理論都是網絡安全的研究領域。
安全策略是為了在特定環境中確保壹定級別的安全保護而必須遵守的規則。安全策略模型包括建立安全環境的三個重要組成部分:威嚴的法律、先進的技術和嚴格的管理。
網絡安全是指網絡系統中的硬件、軟件和數據受到保護,不會由於意外或惡意的原因而被破壞、更改或泄露,系統能夠在不中斷網絡服務的情況下連續、可靠、正常地運行。
所有確保安全的機制包括以下兩個部分:
1對傳輸的信息執行與安全相關的轉換。
兩個主體共享不想讓對手知道的機密信息。
安全威脅是人、事、物或概念對資源的機密性、完整性、可用性或合法性造成的危害。攻擊是威脅的具體實現。
安全威脅可以分為故意的和意外的兩類。故意威脅可分為被動和主動兩類。
中斷意味著系統資源被破壞或變得不可用。這是對可用性的攻擊。
攔截是指未經授權的實體獲得對資源的訪問。這是對保密性的攻擊。
修改是未經授權的實體不僅獲得訪問權,還篡改資源。這是對誠信的攻擊。
偽造是未經授權的實體將偽造的對象插入到系統中。這是對真實性的攻擊。
被動攻擊的特點是竊聽或監控傳輸。其目的是獲取正在傳輸的信息。被動攻擊包括:泄露信息內容和流量分析。
主動攻擊包括修改數據流或創建錯誤的數據流,包括冒充、重放、信息修改和拒絕服務。
模擬是指壹個實體假裝成另壹個實體。虛假攻擊通常包括另壹種形式的主動攻擊。重放涉及數據單元的被動捕獲和隨後的重新傳輸,以產生未經授權的效果。
修改消息意味著改變真實消息的壹部分,或者延遲或重新排序消息,導致未經授權的操作。
拒絕服務禁止通信工具的正常使用或管理。這種攻擊有特定的目標。拒絕服務的另壹種形式是整個網絡的中斷,這可以通過禁用網絡或通過消息過載降低網絡性能來實現。
防止主動攻擊的方法是檢測攻擊,並從攻擊造成的中斷或延遲中恢復。
從網絡高層協議的角度來看,攻擊方式可以概括為:服務攻擊和非服務攻擊。
服務攻擊是針對特定網絡服務的攻擊。
非服務攻擊不是針對某個特定的應用服務,而是基於網絡層等底層協議。
非服務攻擊是壹種更有效的攻擊方式,它利用協議或操作系統中的漏洞來達到攻擊的目的。
網絡安全的基本目標是實現信息的機密性、完整性、可用性和合法性。
可實現的主要威脅:
滲透威脅:偽造、繞過控制和違反授權。
植入威脅:特洛伊馬,被困在門裏。
病毒是壹種可以通過修改其他程序來感染它們的程序。修改後的程序包含了病毒程序的副本,這樣它們就可以繼續感染其他程序。
網絡反病毒技術包括三項技術:病毒預防、病毒檢測和病毒殺毒。
1病毒防範技術。
通過長時間駐留在系統內存中,優先控制系統,監控並判斷系統中是否有病毒,進而阻止計算機病毒進入計算機系統破壞系統。這些技術包括:加密可執行程序、保護引導區、系統監控和讀寫控制。
2.病毒檢測技術。
計算機病毒特征判斷技術。如自我效能、關鍵詞、文件長度變化等。
3.消毒技術。
通過對計算機病毒的分析,開發了具有刪除病毒程序和恢復原始組件功能的軟件。
網絡反病毒技術的具體實現方法包括頻繁掃描檢測網絡服務器中的文件、在工作站上使用反病毒芯片以及設置對網絡目錄和文件的訪問權限。
網絡信息系統安全管理三原則:
1多人責任原則。
2 .任期有限原則。
3職責分離原則。
密碼學是研究密碼系統或通信安全性的科學,包括密碼學和密碼分析兩個分支。
需要隱藏的消息稱為明文。將明文轉換成另壹種隱藏形式稱為密文。這種轉換稱為加密。加密的逆過程稱為組解密。用於加密明文的壹組規則稱為加密算法。用於解密密文的壹組規則稱為解密算法。加密算法和解密算法通常是在壹組密鑰的控制下進行的。加密算法中使用的密鑰成為加密密鑰,解密算法中使用的密鑰稱為解密密鑰。
密碼系統通常從三個獨立的方面進行分類:
1根據將明文轉換為密文的運算類型分為置換密碼和易位密碼。
所有的加密算法都基於兩個基本原則:置換和移位。
根據明文的處理方式可以分為分組密碼和序列密碼。
根據使用的密鑰數量,可以分為對稱密碼體制和非對稱密碼體制。
如果發送方使用的加密密鑰與接收方使用的解密密鑰相同,或者另壹個密鑰可以很容易地從其中壹個密鑰中提取出來,這樣的系統稱為對稱but密鑰或常規加密系統。如果發送方使用的加密密鑰不同於接收方使用的解密密鑰,則很難從其中壹個密鑰推導出另壹個密鑰。這種系統被稱為非對稱、雙密鑰或公鑰加密系統。
分組密碼的加密方法是先將固定長度的明文序列分組,每組明文用相同的密鑰和加密函數進行操作。
分組密碼設計的核心是構造壹個既具有可逆性又具有強線性的算法。
序列密碼的加密過程是將消息、語音、圖像、數據等原始信息轉換成明文數據序列,然後與密鑰序列進行異或運算。生成密文序列並將其發送給接收者。
數據加密技術可以分為三類:對稱加密、非對稱加密和不可逆加密。
對稱加密使用單個密鑰來加密或解密數據。
非對稱加密算法又稱公開加密算法,其特點是兩把鑰匙,只有兩把鑰匙壹起使用才能完成整個加密和解密的過程。
非對稱加密的另壹種用法稱為“數字簽名”,即數據源使用其私鑰對數據驗證和其他與數據內容相關的變量進行加密,而數據接收方使用相應的公鑰對“數字簽名”進行解讀,並使用解讀結果檢查數據完整性。
不可逆加密算法的特點是加密過程不需要密鑰,加密後的數據無法解密。相同的不可逆算法只能得到相同的輸入數據。
加密技術通常以兩種形式應用於網絡安全,即面向網絡和面向應用的服務。
面向網絡服務的加密技術通常工作在網絡層或傳輸層,使用加密的數據包來認證網絡路由和其他網絡協議所需的信息,從而保證網絡的連通性和可用性不受侵犯。
面向網絡應用服務的加密技術是目前最流行的加密技術。
從通信網絡的傳輸來看,數據加密技術可以分為三類:鏈路加密模式、節點到節點模式和端到端模式。
鏈路加密是壹般網絡通信安全的主要方法。
節點到節點的加密方法是為了解決節點中的數據是明文的缺點。在中間節點,安裝加密和解密保護設備,這個設備完成壹個密鑰到另壹個密鑰的轉換。
在端到端保密模式中,發送方加密的數據在到達最終目的節點之前不會被解密。
試圖找到明文或密鑰的過程稱為密碼分析。
算法的實際排列和變換由密鑰決定。
密文由密鑰和明文決定。
對稱加密有兩個安全要求:
1需要強大的加密算法。
發送方和接收方必須以安全的方式獲得密鑰的副本。
常規秘密的安全性取決於密鑰的保密性,而不是算法的保密性。
IDEA算法被認為是當今最好、最安全的分組密碼算法。
公鑰加密也稱為非對稱加密。
公鑰密碼系統有兩種基本模型,壹種是加密模型,另壹種是認證模型。
通常,壹個密鑰用於公鑰加密,另壹個不同但相關的密鑰用於解密。
傳統加密中使用的密鑰稱為秘密密鑰。公鑰加密中使用的密鑰對稱為公鑰或私鑰。
RSA系統被認為是理論上最成熟、最完善的公鑰密碼系統。
密鑰的生存期是指授權使用密鑰的期間。
實際上,存放鑰匙最安全的方法是將它們放在物理上安全的地方。
密鑰註冊包括將生成的密鑰綁定到特定的應用程序。
密鑰管理的重要內容是解決密鑰分發問題。
密鑰銷毀包括清除密鑰的所有痕跡。
密鑰分發技術就是將密鑰發送到數據交換雙方別人看不到的地方。
數字證書是經過數字簽名的消息,通常用於證明實體公鑰的有效性。數字證書是壹種具有通用格式的數字結構,它將成員的標識符與公鑰值綁定在壹起。人們使用數字證書來分發公鑰。
序列號:由證書頒發者分配的該證書的唯壹標識符。
認證是防止主動攻擊的重要技術,在開放環境下的各種信息系統的安全中起著重要的作用。
身份認證是驗證終端用戶或設備聲明身份的過程。
主要目的是:
驗證信息的發送者是真的,不是假的,這叫來源鑒別。
驗證信息的完整性,確保信息在傳輸過程中未被篡改、重播或延遲。
認證過程通常包括加密和密鑰交換。
帳戶名和密碼身份驗證是最常用的身份驗證方法。
授權是授予用戶、用戶組或指定系統訪問權限的過程。
訪問控制是將系統中的信息僅限於網絡中授權的個人或系統。
認證中使用的技術主要包括消息認證、身份認證和數字簽名。
消息認證的內容包括:
1驗證消息的來源和目的地。
郵件內容被意外或故意篡改。
消息的序列號和及時性。
消息認證的壹般方法是生成附件。
認證可以大致分為三類:
1人知道的事情。
2名持證人員
三個人的特點。
密碼或PIN機制是壹種被廣泛研究和使用的認證方法,也是最實用的認證系統所依賴的機制。
為了使密碼更安全,我們可以通過加密密碼或修改加密方法來提供更健壯的方法。這就是壹次性密碼方案,還有常見的S/KEY和token密碼認證方案。
該證書為個人所有。
數字簽名的兩種格式:
2.密碼轉換後的全部簽名信息。
附加到簽名消息或特定位置的簽名模式。
對於連接,保持身份驗證的唯壹方法是同時使用連接完整性服務。
防火墻壹般分為包過濾、應用層網關和代理服務。
包過濾技術是在網絡層選擇數據包。
應用層網關是在網絡應用層建立協議過濾和轉發功能。
代理服務也叫鏈路級網關或TCP通道,也有人把它歸為應用層網關。
防火墻是設置在不同網絡或網絡安全域之間的壹系列不可見的組合。它能夠檢測、限制和改變穿越防火墻的數據流,盡可能地從外部屏蔽網絡內部的消息、結構和運行,從而實現網絡的安全保護。
防火墻的設計目標是:
進出內網的1流量必須通過防火墻。
只有內部網安全策略中定義的合法流量才能進出防火墻。
防火墻本身應該防止滲透。
防火墻能有效防止外來入侵,它在網絡系統中的作用是:
1控制進出網絡的信息流和數據包。
提供使用和流量的日誌和審計記錄。
3隱藏內部IP和網絡結構細節。
提供虛擬專用網絡功能。
通常有兩種設計策略:允許所有服務,除非明確禁止;除非明確允許,否則禁止所有服務。
實現網站安全策略的防火墻技術:
3服務控制。確定可以在圍欄內外訪問的互聯網服務類型。
4方向控制。發起特定的服務請求並允許其通過防火墻是定向操作。
5用戶控制。根據請求訪問的用戶,確定是否提供服務。
6.行為控制。控制如何使用特定的服務。
影響防火墻系統的設計、安裝和使用的網絡策略可以分為兩個級別:
高級網絡策略定義了允許和禁止的服務以及如何使用它們。
低級網絡策略描述防火墻如何限制和過濾高級策略中定義的服務。