第二天：

1.恶意程序---一般会具有一下多个或则全部特点

1.非法性：你未经授权它自动运行或者自动下载的，这都属于非法的。那恶意程序一般它会具有这种特点，

2.隐蔽性：一般隐藏的会比较深，目的就是为了防止被你发现。

3.潜伏性：它正常情况下，你电脑中招之后，它不是说立马就可以表现出这个病毒的破坏性的，你不会立马看到效果，有可能你这个电脑已经中了这个病毒，但是它可能还是在潜伏期，你可能看不到任何的触发的表现。

4.可触发性：你可能点击了不小心点击了这个恶意程序，它就会运行，这也是一种触发性的表现。

5.表现性：所有的病毒，所有的恶意程序，它也一定会有一种表现性的。

6.破坏性：直接把它的这个操作系统直接给它干掉，让这个设备没办法正常运行。

7；传染性：你要是不知道你把它点开了，你是不是相当于就是种植病毒，复制性病毒就是通过这种方法传播的，而且它可以横向扩散。

8.针对性：目前还没有一个什么全能的病毒，它可以应用在任何一个环境当中，不会的，它一般都有自己针对的一个环境。

9.变异性：反正就是你想要彻底干掉一个病毒的话，其实是很难的，因为病毒它是会不断变异的，它会通过各种不同的方式去生存，是不是我们计算机病毒也是一样，它是具有变异性的。

10.不可预见性：未来的这个病毒变更呢，它我们也确实很难预见。

应对措施：咱们普遍采用的一种方法是啥呢？是基于人工智能来去做预测。

防火墙概念：但实际上你会发现这里面突出了两个字叫啥区域，对吧，你会发现它防止的是从一个区域的安全风险蔓延到另外一个区域，所以区域这个东西对于防火墙来说是一个非常非常重要的概念，这个后面你们就能知道了，因为防火墙它一开始主要就是基于区域去做这个安全防护。

 2.信心安全的五要素

x

3.防火墙概述

防火墙核心任务：-----控制和保护-----安全策略-----防火墙通过安全策略识别流量并作出相应策略。

4.防火墙分类

吞吐量：--单位时间内防火墙处理的数据量。

防火墙的分类：

1.按照物理特性分类：软件防火墙，硬件防火墙

2.按照性能分类：百兆级防火墙，千兆级防火墙

3.单一主机防火墙：路由集成防火墙，分布式防火墙

4.包过滤防火墙：应用代理防火墙，状态检测防火墙

5.防火墙的发展进程：

防火墙的安全策略在进行匹配时，自上而下逐一匹配，匹配上则不再向下匹配的规则。

6包过滤防火墙的缺点

1.因为只关注三四层数据，无法检测应用层，则无法充分识别安全风险。

2.需要逐包检测，则效率较低。可能成为网络的瓶颈。

注意：使用芯片进行处理的话，硬件转化的效率是要远远大于软件转化的效率，那但是路由器能不能用硬件转发。

优点：可以检测应用层数据。

缺点：1.效率变低

      2.可伸缩性变差：每种应用都需要开发对应的代理功能，否则无法代理。

会话表技术---首包检测技术

7.IDS入侵检测系统

IDS可以发现安全风险，可以记录，分析以及反馈，但是并不会直接处理或则消除风险---一种侧重于风险管理的安全设备----存在一定的滞后性

8入侵防御系统

侧重于风险控制的安全设备

9.防病毒网关（AV）----基于网络侧识别病毒文件

10.Web应用防火墙（WAF）---专门用来保护web应用

11统一威胁管理（UTM）---多合一安全网关

串联部署：

12下一代防火墙（NGFW）-------升级版的UTM

13防火墙的其他功能

14防火墙组网

15总结注意事项

那我怎么去区分你们是否属于同一个数据流呢？

看的是不是就是数据包的五元组，五元组完全相同，我们认为就是同一部数据流，不同的话，我们就认为是两股不同的两天网络，那你看我们的这个包过滤防火墙基于的不就是最基本的数据包的特征来进行过滤的

基于流的包装化是啥意思？

其实说白了就是四个字叫做啥手包检测。

还有一点就是，为什么我们这个路由器必须要软件转发，但是这个交换机可以硬件转发的，因为交换机它转发的时候识别的时候，MAC层的封装，二层封装，它的整个包头部是正常的还是不正常的。

三层我们路由交换的时候是不是依靠三层的数据封装来进行转发的？三层的数据封装是一个固定长度的封装吗？

可变成投资就意味着你按照以前固定的长度去取数据去比较数据的话是有可能出问题。

你就必须要通过软件先去识别它。那个首部长度是多长，然后再去计算你应该去取哪一块的数据。