我正在参加「掘金·启航计划」

防火墙

网络扫描

规则1.2使得内网中的主机可以访问因特网中的各种Web服务器。
规则3.4使得因特网中的主机可以访问内网中IP地址为192.168.1.252的电子邮件服务器。
规则5禁止因特网中IP地址为211.67.230.1的主机访问内网中的任何主机。
该ACL所进行的分组过滤是无状态的，也就是独立地处理每一个分组。
功能更强的分组过滤路由器还支持有状态的分组过滤，也就是要跟踪每个链接或会话的通信状态，并根据这些状态信息来决定是否转发分组。

常见网络攻击及其防范

防范以上各种类型的网络扫描，可采取以下措施。

   仅打开确实需要使用的端口，关闭闲置和危险端口。
   限制因特网（不可信网络）中的主机主动与内部网络（可信网络）中的主机进行通信。
   设置防火墙，根据安全要求设置分组过滤策略（例如过滤不必要的ICMP报文）。
   使用入侵检测系统IDS及时发现网络扫描行为和攻击者IP地址，配置防火墙对来自该地址的分组进行阻断。
     ①网络扫描的行为特征是比较明显的，例如在短时间内对某一IP地址范围内的每个地址和端口发起连接等。
     ②目前，大部分防火墙都具有识别简单的网络扫描行为的功能。
     ③然而，很多攻击者也在研究如何屏蔽自己的网络攻击行为。例如利用虚假源地址、减缓扫描速度、动态调整扫描顺序、分布式扫描等。
    

网络监听

防范上述网络监听，可采取

使用交换机替代集线器，这不但可以提高网络性能，还能使攻击者在交换机环境中更难实施监听。
禁用交换机的自学习功能，将IP地址，MAC地址与交换机的接口进行静态绑定，这样可以限制非法主机的接入，使攻击者无法实施交换机毒化攻击，也使ARP欺骗难以实施。
对于ARP欺骗，主机或路由器可以仅使用静态ARP表，而不再依据ARP请求报文或响应报文动态更新。
划分VLAN可以限制攻击者的监听范围，因为分组嗅探器只能在单个局域网范围内进行。
防范网络监听的最有效的方法是进行数据加密和实体鉴别技术。

拒绝服务攻击

拒绝服务攻击DoS攻击是最容易实现却又最难防范的攻击手段。