️第8章 网络访问控制重点章节AAAEAPCASSSO同域不同域 本章逻辑主线本章的核心围绕“如何控制和保护网络边界”展开从最绝对的物理隔离到网络层的路由器安全控制再到身份层面的认证授权(SSO)以及主动防御的蜜网技术最后综合介绍了网络边界控制的各类架构演进。一、 物理隔离 1. 为什么需要物理隔离传统的防火墙、防病毒等基于软件的逻辑防护存在极端复杂性与有限性容易被黑客或内部用户操纵。涉密网不能把安全完全寄托在“概率防护”上必须有一道绝对安全的大门。2. 物理隔离的定义物理断开逻辑连接内外网任何时候都不存在连通的物理连接但能进行适度的数据交换。核心特征阻断直接网络连接。传输机制不可编程防感染。数据通过两级移动代理完成交换两级之间物理隔离。3. 两大隔离维度网络隔离将保护网络从互联网独立出来防止入侵。数据隔离同一台计算机不能同时连接两个网络且共享存储设备否则病毒会通过存储跨网流动。4. 国家保密局技术要求物理传导上隔离防入侵、防泄露。屏幕有内外网明显标识。接口处有明确标识。切换时必须重启计算机清除内存、处理器暂存信息。切换前必须取出移动存储介质。防电磁辐射泄露。5. 实现方式双硬盘隔离卡内网硬盘与外网硬盘物理分离。单硬盘隔离卡同一硬盘划分不同分区通过隔离卡切换。三网物理隔离 / 单布线物理隔离通过复杂的网络切换设备实现多网隔离。二、 路由器安全管理 ️1. 路由器安全特性两大含义保护内部局域网安全保护外部数据交换安全。2. 核心安全机制身份认证基于用户的验证AAA非基于IP。访问控制利用ACL访问控制列表进行包过滤基于IP、接口、时间段。信息隐藏NAT地址转换技术隐藏内网结构。数据加密与防伪IPSec加密防伪形成安全隧道、IKE交换密钥、身份认证。VPN虚拟私有网利用Internet传输私有信息核心技术是隧道技术二层/三层隧道。安全管理保护设备运行环境、口令、拓扑信息日志审计。3.AAA框架重点Authentication认证验证用户是否可获得访问权。Authorization授权授权用户可使用哪些服务。Accounting计费记录用户使用网络资源的情况。优点C/S架构、可扩展、标准化、集中管理、多备份高安全。4. RADIUS协议 vsTACACS协议特性RADIUSTACACS传输协议UDP无连接适合大量拨号TCP面向连接传输更可靠加密方式仅加密密码加密整个报文AAA分离认证与授权绑定认证、授权、计费完全分离适用场景网络接入NAS设备网络设备管理路由器/交换机登录控制三、 认证和授权 1.EAP-MD5EAP-MD5 验证流程基于挑战-响应机制。流程简述客户端发身份 - 服务器发MD5 Challenge - 客户端用密码和Challenge做MD5运算后发回 - 服务器验证。缺点密码以明文形式在客户端做MD5存在被中间人攻击的风险。 EAP-MD5 消息交互全过程阶段一发起连接与身份识别步骤1客户端发起开始客户端向验证器AP/交换机发送EAPoL-Start报文。步骤2验证器索要身份验证器向客户端发送EAP-Request/Identity。步骤3客户端回复身份客户端向验证器回应EAP-Response/Identity报文中携带用户名。阶段二挑战下发步骤4验证器转发身份给服务器验证器将客户端的EAP-Response/Identity封装在RADIUS Access-Request报文中发送给验证服务器。步骤5服务器生成并发送挑战服务器收到请求后生成一个随机字符串通过RADIUS Access-Challenge报文发送给验证器其中包含EAP-Request/MD5-Challenge。步骤6验证器转发挑战给客户端验证器将EAP-Request/MD5-Challenge转发给客户端。阶段三挑战响应核心步骤步骤7客户端计算MD5并回应客户端收到挑战后将自己的密码和服务器发来的随机字符串拼接进行MD5 哈希运算得到一个哈希值。然后将这个哈希值通过EAP-Response/MD5-Challenge发送给验证器。步骤8验证器转发响应给服务器验证器将带有哈希值的EAP-Response/MD5-Challenge封装在RADIUS Access-Request中发给服务器。阶段四认证结果服务器验证服务器用自己的数据库中存储的“张三的密码”和刚才生成的“随机字符串”做同样的MD5运算。如果自己算出的结果与客户端发来的哈希值一致则认证通过。服务器下发结果服务器向验证器发送RADIUS Access-Accept成功或RADIUS Access-Reject失败。验证器开放端口验证器向客户端发送EAP-Success或EAP-Failure。如果成功验证器打开受控端口客户端即可正常访问网络资源获取IP、上网等。2.PEAP 验证Protected EAP核心思想先建立TLS加密隧道再在隧道内进行第二种EAP认证如MSCHAPv2。阶段一TLS握手客户端验证服务器证书协商生成会话密钥建立加密隧道。阶段二隧道内认证在加密隧道内进行MSCHAPv2等认证保护用户凭证安全。3.单点登录 (SSO)定义一次登录即可访问所有相互信任的系统如Google账号体系。同域SSO设置Cookie的域为顶域如.a.com子域系统可共享CookieSession通过中间件如Spring-Session共享。跨域SSO标准SAML, OAuth, OIDC, Kerberos。4. ✨CASCentral Authentication Service核心机制核心概念票据TGT (Ticket Grangting Ticket)登录票据。拥有TGT 已在CAS登录。存在Server缓存中通过CookieTGC关联。ST (Service Ticket)服务票据。访问某个具体服务的凭证一次性使用。CAS认证流程首次登录跨域CAS认证流程必须理清逻辑访问App1 - 无登录态 - 重定向至SSO。SSO登录 - 写入SSO域Cookie(TGC) - 生成ST - 携带ST重定向回App1。App1后台拿ST去SSO验证 - 有效 - App1写入自己域的Session/Cookie - 登录成功。访问App2 - 无登录态 - 重定向至SSO。SSO发现有TGC已登录 - 直接生成新ST - 携带ST重定向回App2 - App2验证ST - 登录成功。⚠️安全考点为什么App要拿ST去后台验证而不是SSO直接传用户信息防伪造如果直接传用户信息黑客可以伪造回调地址和参数骗过业务系统。四、 蜜网简介 1. 攻防不对称博弈工作量攻其一点 vs 全面防护、信息攻方透明 vs 守方盲区、后果攻方无损 vs 守方受损均不对称。2. 蜜罐定义一种安全资源其价值在于被扫描、攻击和攻陷。无实际业务作用所有流量都预示攻击。目的监视、检测和分析攻击活动。3. 蜜网包含一个或多个蜜罐的黑客诱捕网络体系架构高交互、高度可控。虚拟蜜网用VMware等在单一主机实现代价低但存在虚拟机逃逸风险。4. 蜜网三大核心需求数据控制确保黑客不能利用蜜网危害第三方防止成为跳板。数据捕获检测并审计黑客所有行为数据。数据分析从数据中分析黑客活动、工具及意图。5. 第二代蜜网架构关键部件HoneyWall蜜网网关。三个接口eth0(外网)、eth1(蜜网)、eth2(监控网络)。特点链路层桥接设备对黑客不可见所有流量受其控制和审计。五、 网络边界控制 1. 边界安全问题信息泄密、网络入侵、网络病毒、木马入侵。2. 边界防护技术演进防火墙 (FW)基础包过滤、状态检测。多重安全网关 (UTM)将IPS(防入侵)、AV(防病毒)、FW等集于一体。缺点性能瓶颈致命伤。下一代防火墙 (NGFW)FW 应用/用户识别 IPS。采用一体化引擎一次扫描识别性能远超UTM。网闸 (GAP)思路“不同时连接”通过硬件摆渡数据先堵上按需开小门防火墙是先开门再逐个禁止。SGAP架构内网处理单元 外网处理单元 专用隔离硬件交换单元任何时刻仅连通一边。缺点若开启协议代理服务安全性会打折扣。数据交换网思路在两网间建立专用的数据交换隔离区缓冲区。结合了“花瓶模型”防护监控审计与Clark-Wilson模型数据完整性保护。两区架构接入缓冲区外多重安全网关(FWIPSAV)把关 IDS监控异常接管业务控制权。业务缓冲区内网闸隔离 审计验证 业务代理。优缺点安全性极高但成本高、需定制开发、仍需“人防”配合。模拟复习题一、 单项选择题共4题1. 根据国家保密局对物理隔离的技术要求当计算机在内外网络之间进行切换时必须执行的操作是 A. 关闭所有应用程序B. 重新启动计算机以清除内存等暂存部件残余信息C. 断开网络连接5分钟以上D. 对硬盘进行全盘杀毒【答案】B解析内外网络切换时应重新启动计算机以清除内存、处理器等暂存部件残余信息防止秘密信息串到外网上。2. 在路由器安全管理中关于RADIUS协议和TACACS协议的对比下列说法正确的是 A. RADIUS使用TCP传输更可靠TACACS使用UDP传输B. RADIUS只对密码进行加密TACACS对整个报文进行加密C. RADIUS的认证、授权、计费是完全分离的TACACS是绑定在一起的D. RADIUS更适合网络设备的安全管理TACACS更适合拨号用户接入【答案】B解析RADIUS采用UDP传输只加密密码认证授权绑定TACACS采用TCP传输加密整个报文认证授权计费完全分离。因此B正确。3. 在CAS单点登录机制中用于在浏览器端写入Cookie以便下次访问其他系统时实现SSO免密登录的票据是 A. ST (Service Ticket)B. TGT (Ticket Granting Ticket)C. TGC (Ticket Granting Cookie)D. PGT (Proxy Granting Ticket)【答案】C解析TGC是写入浏览器Cookie的凭证用于和CAS Server建立已登录的关联TGT是存在于CAS Server内存中的对象ST是一次性访问具体服务的票据。4. 蜜网技术有三大核心需求其中确保黑客不能利用蜜网作为跳板危害第三方网络安全的需求是 A. 数据控制B. 数据捕获C. 数据分析D. 数据隔离【答案】A解析数据控制是防止蜜网被黑客利用去攻击真实网络防跳板数据捕获是抓取黑客行为数据分析是解读攻击意图。二、 判断题共3题5. 物理隔离就是完全断开网络使得内外网在任何情况下都不能进行任何形式的数据交换。 【答案】错误×解析物理隔离的实质是“物理断开逻辑连接”即不存在连通的物理连接但通过两级移动代理等方式可以进行适度的数据交换。6. 统一威胁管理UTM设备集成了防火墙、IPS、防病毒等多种功能相比于下一代防火墙NGFWUTM的处理效率更高更适合大型企业网络。 【答案】错误×解析UTM的致命伤是性能瓶颈多重功能串行处理而下一代防火墙NGFW采用一体化引擎一次扫描完成识别处理效率远超UTM更适合大型企业。7. EAP-MD5认证机制存在安全缺陷因为它只实现了服务器对客户端的单向认证且没有协商出后续通信的加密密钥。 【答案】正确√解析EAP-MD5只是基于挑战-响应的单向认证无法验证服务器真伪且不生成加密密钥容易受到中间人攻击。三、 简答题共3题8. 简述AAA框架的概念及其包含的三个部分的功能。【答案】AAA是认证、授权和计费的简称它提供了一个对网络安全访问控制进行配置的一致性框架。认证验证用户是否可获得访问权验证身份。授权授权用户可使用哪些服务分配权限。计费记录用户使用网络资源的情况审计记录。9. 在CAS跨域单点登录流程中业务系统CAS Client收到CAS Server发放的ST服务票据后为什么不能直接让用户登录而必须在后台向CAS Server验证ST的合法性【答案】主要为了防止伪造攻击防伪。因为ST是通过URL参数在浏览器端明文传递的如果业务系统直接信任ST放行黑客就可以伪造一个带有虚假ST的回调URL如app.com?ticketfake_st直接骗过业务系统。 业务系统必须在后台服务器到服务器私下向CAS Server验证ST确认该票据确实是CAS Server签发给该用户的验证通过后才能放行从而保证安全性。10. 简述网闸GAP的核心安全思想并说明其与防火墙的安全思路有何本质区别。【答案】核心思想网闸的核心思想是“不同时连接”。它通过专用硬件使两个网络在不连通的情况下通过中间缓冲区“摆渡”业务数据。本质区别思路相反网闸的思路是“先堵上按需开小门”默认拒绝所有连接只允许特定静态数据通过。防火墙的思路是“先打开大门再逐个禁止”默认允许连接通过然后根据规则拦截不希望的流量。
《物联网安全》第8章 网络访问控制
发布时间:2026/6/4 5:30:21
️第8章 网络访问控制重点章节AAAEAPCASSSO同域不同域 本章逻辑主线本章的核心围绕“如何控制和保护网络边界”展开从最绝对的物理隔离到网络层的路由器安全控制再到身份层面的认证授权(SSO)以及主动防御的蜜网技术最后综合介绍了网络边界控制的各类架构演进。一、 物理隔离 1. 为什么需要物理隔离传统的防火墙、防病毒等基于软件的逻辑防护存在极端复杂性与有限性容易被黑客或内部用户操纵。涉密网不能把安全完全寄托在“概率防护”上必须有一道绝对安全的大门。2. 物理隔离的定义物理断开逻辑连接内外网任何时候都不存在连通的物理连接但能进行适度的数据交换。核心特征阻断直接网络连接。传输机制不可编程防感染。数据通过两级移动代理完成交换两级之间物理隔离。3. 两大隔离维度网络隔离将保护网络从互联网独立出来防止入侵。数据隔离同一台计算机不能同时连接两个网络且共享存储设备否则病毒会通过存储跨网流动。4. 国家保密局技术要求物理传导上隔离防入侵、防泄露。屏幕有内外网明显标识。接口处有明确标识。切换时必须重启计算机清除内存、处理器暂存信息。切换前必须取出移动存储介质。防电磁辐射泄露。5. 实现方式双硬盘隔离卡内网硬盘与外网硬盘物理分离。单硬盘隔离卡同一硬盘划分不同分区通过隔离卡切换。三网物理隔离 / 单布线物理隔离通过复杂的网络切换设备实现多网隔离。二、 路由器安全管理 ️1. 路由器安全特性两大含义保护内部局域网安全保护外部数据交换安全。2. 核心安全机制身份认证基于用户的验证AAA非基于IP。访问控制利用ACL访问控制列表进行包过滤基于IP、接口、时间段。信息隐藏NAT地址转换技术隐藏内网结构。数据加密与防伪IPSec加密防伪形成安全隧道、IKE交换密钥、身份认证。VPN虚拟私有网利用Internet传输私有信息核心技术是隧道技术二层/三层隧道。安全管理保护设备运行环境、口令、拓扑信息日志审计。3.AAA框架重点Authentication认证验证用户是否可获得访问权。Authorization授权授权用户可使用哪些服务。Accounting计费记录用户使用网络资源的情况。优点C/S架构、可扩展、标准化、集中管理、多备份高安全。4. RADIUS协议 vsTACACS协议特性RADIUSTACACS传输协议UDP无连接适合大量拨号TCP面向连接传输更可靠加密方式仅加密密码加密整个报文AAA分离认证与授权绑定认证、授权、计费完全分离适用场景网络接入NAS设备网络设备管理路由器/交换机登录控制三、 认证和授权 1.EAP-MD5EAP-MD5 验证流程基于挑战-响应机制。流程简述客户端发身份 - 服务器发MD5 Challenge - 客户端用密码和Challenge做MD5运算后发回 - 服务器验证。缺点密码以明文形式在客户端做MD5存在被中间人攻击的风险。 EAP-MD5 消息交互全过程阶段一发起连接与身份识别步骤1客户端发起开始客户端向验证器AP/交换机发送EAPoL-Start报文。步骤2验证器索要身份验证器向客户端发送EAP-Request/Identity。步骤3客户端回复身份客户端向验证器回应EAP-Response/Identity报文中携带用户名。阶段二挑战下发步骤4验证器转发身份给服务器验证器将客户端的EAP-Response/Identity封装在RADIUS Access-Request报文中发送给验证服务器。步骤5服务器生成并发送挑战服务器收到请求后生成一个随机字符串通过RADIUS Access-Challenge报文发送给验证器其中包含EAP-Request/MD5-Challenge。步骤6验证器转发挑战给客户端验证器将EAP-Request/MD5-Challenge转发给客户端。阶段三挑战响应核心步骤步骤7客户端计算MD5并回应客户端收到挑战后将自己的密码和服务器发来的随机字符串拼接进行MD5 哈希运算得到一个哈希值。然后将这个哈希值通过EAP-Response/MD5-Challenge发送给验证器。步骤8验证器转发响应给服务器验证器将带有哈希值的EAP-Response/MD5-Challenge封装在RADIUS Access-Request中发给服务器。阶段四认证结果服务器验证服务器用自己的数据库中存储的“张三的密码”和刚才生成的“随机字符串”做同样的MD5运算。如果自己算出的结果与客户端发来的哈希值一致则认证通过。服务器下发结果服务器向验证器发送RADIUS Access-Accept成功或RADIUS Access-Reject失败。验证器开放端口验证器向客户端发送EAP-Success或EAP-Failure。如果成功验证器打开受控端口客户端即可正常访问网络资源获取IP、上网等。2.PEAP 验证Protected EAP核心思想先建立TLS加密隧道再在隧道内进行第二种EAP认证如MSCHAPv2。阶段一TLS握手客户端验证服务器证书协商生成会话密钥建立加密隧道。阶段二隧道内认证在加密隧道内进行MSCHAPv2等认证保护用户凭证安全。3.单点登录 (SSO)定义一次登录即可访问所有相互信任的系统如Google账号体系。同域SSO设置Cookie的域为顶域如.a.com子域系统可共享CookieSession通过中间件如Spring-Session共享。跨域SSO标准SAML, OAuth, OIDC, Kerberos。4. ✨CASCentral Authentication Service核心机制核心概念票据TGT (Ticket Grangting Ticket)登录票据。拥有TGT 已在CAS登录。存在Server缓存中通过CookieTGC关联。ST (Service Ticket)服务票据。访问某个具体服务的凭证一次性使用。CAS认证流程首次登录跨域CAS认证流程必须理清逻辑访问App1 - 无登录态 - 重定向至SSO。SSO登录 - 写入SSO域Cookie(TGC) - 生成ST - 携带ST重定向回App1。App1后台拿ST去SSO验证 - 有效 - App1写入自己域的Session/Cookie - 登录成功。访问App2 - 无登录态 - 重定向至SSO。SSO发现有TGC已登录 - 直接生成新ST - 携带ST重定向回App2 - App2验证ST - 登录成功。⚠️安全考点为什么App要拿ST去后台验证而不是SSO直接传用户信息防伪造如果直接传用户信息黑客可以伪造回调地址和参数骗过业务系统。四、 蜜网简介 1. 攻防不对称博弈工作量攻其一点 vs 全面防护、信息攻方透明 vs 守方盲区、后果攻方无损 vs 守方受损均不对称。2. 蜜罐定义一种安全资源其价值在于被扫描、攻击和攻陷。无实际业务作用所有流量都预示攻击。目的监视、检测和分析攻击活动。3. 蜜网包含一个或多个蜜罐的黑客诱捕网络体系架构高交互、高度可控。虚拟蜜网用VMware等在单一主机实现代价低但存在虚拟机逃逸风险。4. 蜜网三大核心需求数据控制确保黑客不能利用蜜网危害第三方防止成为跳板。数据捕获检测并审计黑客所有行为数据。数据分析从数据中分析黑客活动、工具及意图。5. 第二代蜜网架构关键部件HoneyWall蜜网网关。三个接口eth0(外网)、eth1(蜜网)、eth2(监控网络)。特点链路层桥接设备对黑客不可见所有流量受其控制和审计。五、 网络边界控制 1. 边界安全问题信息泄密、网络入侵、网络病毒、木马入侵。2. 边界防护技术演进防火墙 (FW)基础包过滤、状态检测。多重安全网关 (UTM)将IPS(防入侵)、AV(防病毒)、FW等集于一体。缺点性能瓶颈致命伤。下一代防火墙 (NGFW)FW 应用/用户识别 IPS。采用一体化引擎一次扫描识别性能远超UTM。网闸 (GAP)思路“不同时连接”通过硬件摆渡数据先堵上按需开小门防火墙是先开门再逐个禁止。SGAP架构内网处理单元 外网处理单元 专用隔离硬件交换单元任何时刻仅连通一边。缺点若开启协议代理服务安全性会打折扣。数据交换网思路在两网间建立专用的数据交换隔离区缓冲区。结合了“花瓶模型”防护监控审计与Clark-Wilson模型数据完整性保护。两区架构接入缓冲区外多重安全网关(FWIPSAV)把关 IDS监控异常接管业务控制权。业务缓冲区内网闸隔离 审计验证 业务代理。优缺点安全性极高但成本高、需定制开发、仍需“人防”配合。模拟复习题一、 单项选择题共4题1. 根据国家保密局对物理隔离的技术要求当计算机在内外网络之间进行切换时必须执行的操作是 A. 关闭所有应用程序B. 重新启动计算机以清除内存等暂存部件残余信息C. 断开网络连接5分钟以上D. 对硬盘进行全盘杀毒【答案】B解析内外网络切换时应重新启动计算机以清除内存、处理器等暂存部件残余信息防止秘密信息串到外网上。2. 在路由器安全管理中关于RADIUS协议和TACACS协议的对比下列说法正确的是 A. RADIUS使用TCP传输更可靠TACACS使用UDP传输B. RADIUS只对密码进行加密TACACS对整个报文进行加密C. RADIUS的认证、授权、计费是完全分离的TACACS是绑定在一起的D. RADIUS更适合网络设备的安全管理TACACS更适合拨号用户接入【答案】B解析RADIUS采用UDP传输只加密密码认证授权绑定TACACS采用TCP传输加密整个报文认证授权计费完全分离。因此B正确。3. 在CAS单点登录机制中用于在浏览器端写入Cookie以便下次访问其他系统时实现SSO免密登录的票据是 A. ST (Service Ticket)B. TGT (Ticket Granting Ticket)C. TGC (Ticket Granting Cookie)D. PGT (Proxy Granting Ticket)【答案】C解析TGC是写入浏览器Cookie的凭证用于和CAS Server建立已登录的关联TGT是存在于CAS Server内存中的对象ST是一次性访问具体服务的票据。4. 蜜网技术有三大核心需求其中确保黑客不能利用蜜网作为跳板危害第三方网络安全的需求是 A. 数据控制B. 数据捕获C. 数据分析D. 数据隔离【答案】A解析数据控制是防止蜜网被黑客利用去攻击真实网络防跳板数据捕获是抓取黑客行为数据分析是解读攻击意图。二、 判断题共3题5. 物理隔离就是完全断开网络使得内外网在任何情况下都不能进行任何形式的数据交换。 【答案】错误×解析物理隔离的实质是“物理断开逻辑连接”即不存在连通的物理连接但通过两级移动代理等方式可以进行适度的数据交换。6. 统一威胁管理UTM设备集成了防火墙、IPS、防病毒等多种功能相比于下一代防火墙NGFWUTM的处理效率更高更适合大型企业网络。 【答案】错误×解析UTM的致命伤是性能瓶颈多重功能串行处理而下一代防火墙NGFW采用一体化引擎一次扫描完成识别处理效率远超UTM更适合大型企业。7. EAP-MD5认证机制存在安全缺陷因为它只实现了服务器对客户端的单向认证且没有协商出后续通信的加密密钥。 【答案】正确√解析EAP-MD5只是基于挑战-响应的单向认证无法验证服务器真伪且不生成加密密钥容易受到中间人攻击。三、 简答题共3题8. 简述AAA框架的概念及其包含的三个部分的功能。【答案】AAA是认证、授权和计费的简称它提供了一个对网络安全访问控制进行配置的一致性框架。认证验证用户是否可获得访问权验证身份。授权授权用户可使用哪些服务分配权限。计费记录用户使用网络资源的情况审计记录。9. 在CAS跨域单点登录流程中业务系统CAS Client收到CAS Server发放的ST服务票据后为什么不能直接让用户登录而必须在后台向CAS Server验证ST的合法性【答案】主要为了防止伪造攻击防伪。因为ST是通过URL参数在浏览器端明文传递的如果业务系统直接信任ST放行黑客就可以伪造一个带有虚假ST的回调URL如app.com?ticketfake_st直接骗过业务系统。 业务系统必须在后台服务器到服务器私下向CAS Server验证ST确认该票据确实是CAS Server签发给该用户的验证通过后才能放行从而保证安全性。10. 简述网闸GAP的核心安全思想并说明其与防火墙的安全思路有何本质区别。【答案】核心思想网闸的核心思想是“不同时连接”。它通过专用硬件使两个网络在不连通的情况下通过中间缓冲区“摆渡”业务数据。本质区别思路相反网闸的思路是“先堵上按需开小门”默认拒绝所有连接只允许特定静态数据通过。防火墙的思路是“先打开大门再逐个禁止”默认允许连接通过然后根据规则拦截不希望的流量。
时中断卡死?手把手教你RAM运行中断服务函数)
)
做交互界面,真香!)
)
