网络安全基础

《网络安全基础》由会员分享，可在线阅读，更多相关《网络安全基础（27页珍藏版）》请在装配图网上搜索。

1、.网络安全网络安全基础,.一、信息安全管理基础1.1信息安全概述1.1.1 信息安全面临的主要问题1、人员问题：信息安全意识薄弱的员工误操作、 误设置造成系统宕机、 数据丢失， 信息泄漏等问题特权人员越权访问，如：系统管理员，应用管理员越权访问、传播敏感数据内部员工和即将离职员工窃取企业秘密，尤其是骨干员工流动、集体流动等2、技术问题：病毒和黑客攻击越来越多、爆发越来越频繁，直接影响企业正常的业务运作3、法律方面网络滥用：员工发表政治言论、访问非法网站法制不健全，行业不正当竞争（如：窃取机密，破坏企业的业务服务）1.1.2 信息安全的相对性安全没有 100%，完美的健康状态永远也不能达到。安全

2、工作的目标：将风险降到最低。,.第 2 章计算机病毒及防范技术2.1计算机病毒介绍2.1.1 计算机病毒定义什么是病毒 ?医学上的病毒定义： 是一类比较原始的、 有生命特征的、 能够自我复制和在细胞内寄生的非细胞生物。什么是计算机病毒?计算机病毒通常是指可以自我复制，以及向其他文件传播的程序2.1.2 计算机病毒起源和发展史计算机病毒的来源多种多样， 有的是计算机工作人员或业余爱好者为了纯粹寻开心而制造出来的，有的则是软件公司为保护自己的产品被非法拷贝而制造的报复性惩罚“计算机病毒”这一概念是1977年由美国著名科普作家“雷恩”在一部科幻小说P1的青春中提出1983年 美国计算机安全专家“考因

3、”首次通过实验证明了病毒的可实现性。1987年 世界各地的计算机用户几乎同时发现了形形色色的计算机病毒，如大麻、IBM圣诞树、黑色星期五等等1989年 全世界的计算机病毒攻击十分猖獗，其中“米开朗基罗”病毒给许多计算机用户造成极大损失。 、1991年 在“海湾战争”中，美军第一次将计算机病毒用于实战1999年 Happy99等完全通过 Internet 传播的病毒的出现标志着 Internet病毒将成为病毒新的增长点。2.1.3 传统计算机病毒分类传统计算机病毒分为：引导型病毒DOS 病毒Windows病毒宏病毒,.脚本病毒2.1.4 现代计算机病毒介绍特洛伊木马： 特洛伊木马程序往往表面上看

4、起来无害， 但是会执行一些未预料或未经授权，通常是恶意的操作。玩笑程序： 玩笑程序是普通的可执行程序，这些程序建立的目的是用于和计算机用户开玩笑。这些玩笑程序设计时不是致力于破坏用户的数据， 但是某些不知情的用户可能会引发不正当的操作，从而导致文件的损坏和数据的丢失。病毒或恶意程序 Droppers：病毒或恶意程序 Droppers被执行后，会在被感染系统中植入病毒或是恶意程序，在病毒或恶意程序植入后，可以感染文件和对系统造成破坏。后门程序： 后门程序是一种会在系统中打开一个秘密访问方式的程序，经常被用来饶过系统安全策略。DDos 攻击程序： DDos 攻击程序用于攻击并禁用目标服务器的web

5、服务，导致合法用户无法获得正常服务。如下图所示：图： DDOS 攻击示意图2.1.5 网络病毒介绍网络病毒的概念：利用网络协议及网络的体系结构作为传播的途径或传播机制，并对网络或联网计算机造成破坏的计算机病毒称为网络病毒。网络病毒的特点及危害：破坏性强、传播性强、针对性强、扩散面广、传染方式多网络病毒同黑客攻击技术的融合为网络带来了新的威胁。 攻击者可以用病毒作为网络攻击的有效载体，呈几何级地扩大破坏能力。网络攻击的程序可以通过病毒经由多种渠道广泛传播，攻击程序可以利用病毒的隐蔽性,.来逃避检测程序的搜查， 病毒的潜伏性和可触发性使网络攻击防不胜防， 许多病毒程序可以直接发起网络攻击，植入攻击

6、对象内部的病毒与外部攻击里应外合，破坏目标系统。2.2计算机病毒分析与防护2.2.1 病毒的常见症状及传播途径（一）病毒的常见症状电脑运行比平常迟钝程序载入时间比平常久对一个简单的工作，磁盘似乎花了比预期长的时间不寻常的错误信息出现硬盘的指示灯无缘无故的亮了系统内存容量忽然大量减少可执行程序的大小改变了内存内增加来路不明的常驻程序文件奇怪的消失文件的内容被加上一些奇怪的资料文件名称，扩展名，日期，属性被更改过（二）病毒的常见传播途径文件传输介质：例如CIH 病毒，通过复制感染程序传播电子邮件：例如梅丽莎病毒，第一个通过电子邮件传播的病毒网络共享：例如WORM_OPASERV.F 病毒可以通过网

7、络中的可写共享传播文件共享软件： 例如 WORM_LIRVA.C 病毒可以通过 Kazaa点对点文件共享软件传播2.2.2 病毒传播或感染途径病毒感染的常见过程：通过某种途径传播，进入目标系统，自我复制,并通过修改系统设置实现随系统自启动，激活病毒负载的预定功能。打开后门等待连接发起 DDOS 攻击进行键盘记录,.除引导区病毒外，所有其他类型的病毒，无一例外，均要在系统中执行病毒代码，才能实现感染系统的目的。1、利用电子邮件感染病毒：邮件附件为病毒压缩文件，HTML 正文可能被嵌入恶意脚本，利用社会工程学进行伪装，增大病毒传播机会，传播速度非常快2、利用网络共享感染病毒：病毒会搜索本地网络中存

8、在的共享，如ADMIN$ ,IPC$,E$ ,D$,C$通过空口令或弱口令猜测，获得完全访问权限，有的病毒自带口令猜测列表将自身复制到网络共享文件夹中，通常以游戏,CDKEY 等相关名字命名利用社会工程学进行伪装，诱使用户执行并感染。例如：WORM_SDBOT等病毒3、利用 P2P共享软件感染病毒：将自身复制到P2P共享文件夹，通常以游戏,CDKEY 等相关名字命名通过 P2P软件共享给网络用户利用社会工程学进行伪装，诱使用户下载WORM_PEERCOPY.A 等病毒4、利用系统漏洞感染病毒：由于操作系统固有的一些设计缺陷,导致恶意用户可以通过畸形的方式利用这些缺陷 ,达到在目标机器上执行任意

9、代码的目的,这就是系统漏洞。病毒往往利用系统漏洞进入系统, 达到快速传播的目的。常被利用的漏洞： RPC-DCOM 缓冲区溢出 (MS03-026) Web DAV (MS03-007) LSASS (MS04-011)2.2.3 病毒自启动方式? 修改系统 修改注册表? 启动项? 文件关联项? 系统服务项? BHO 项,.将自身添加为服务将自身添加到启动文件夹修改系统配置文件? 自动加载 服务和进程病毒程序直接运行 嵌入系统正常进程 DLL 文件和 OCX 文件等 驱动 SYS文件注册表项目之注册表启动项：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsC

10、urrentVersion下：? RunServices? RunServicesOnce? Run? RunOnceHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下：? Run? RunOnce? RunServices以上这些键一般用于在系统启动时执行特定程序。注册表项目之文件关联项：HKEY_CLASSES_ROOT 下：? exefileshellopencommand =%1 %*? comfileshellopencommand =%1 %*? batfileshellopencommand =%1 %*? htafi

11、leShellOpenCommand =%1 %*? piffileshellopencommand =%1 %*?病毒将 %1 %* 改为“ virus.exe %1 %*? virus.exe将在打开或运行相应类型的文件时被执行注册表项目之系统服务项：在如下键值下面添加子键即可将自身注册为服务，随系统启动而启动：,.HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项目之 BHO 项在如下键值下面添加子键（ClSID 键）即可将自身注册为BHO ，随 IE 浏览器启动而启动：HKEY_LOCAL_MACHINESOFTWAREMicro

12、softWindowsCurrentVersionExplorerBrows er Helper Objects将自身添加到启动文件夹：? 当前用户的启动文件夹可以通过如下注册表键获得 :SoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders中的StartUp 项? 公共的启动文件夹可以通过如下注册表键获得 :SoftwareMicrosoftWindowsCurrentVersionExplorerShellFolders 中 的CommonStartUp 项病毒可以在该文件夹中放入欲执行的程序，或直接修改其值指向放置有要执行程

13、序的路径。2.2.4 病毒的隐性行为? 下载特性 自动连接到 Internet 某Web站点，下载其他的病毒文件或该病毒自身的更新版本/ 其他变种? 后门特性 开启并侦听某个端口，允许远程恶意用户来对该系统进行远程操控? 信息收集特性 收集私人信息，特别是帐号密码等信息，自动发送? 自身隐藏特性 使用 Rootkit 技术隐藏自身的文件和进程? 文件感染特性 感染系统中部分 / 所有的可执行文件， 使得系统正常文件被破坏而无法运行，或使系统正常文件感染病毒而成为病毒体。 典型? PE_LOOKED维京,.?PE_FUJACKS熊猫烧香? 网络攻击特性 针对微软操作系统或其他程序存在的漏洞进行攻

14、击 修改计算机的网络设置 向网络中其它计算机发送大量数据包以阻塞网络 典型? 震荡波? ARP攻击2.2.5 计算机病毒防御图：计算机病毒防御体系图例（一）计算机病毒手工处理? 重装系统？? 系统还原？? Ghost还原？? 大多数情况下，可以直接根据经验来迅速清除各种病毒 木马病毒和后门程序 间谍软件、广告软件和灰色软件,.蠕虫病毒文件型病毒母体? 处理过程包括 修复病毒修改的注册表 / 文件内容 删除病毒文件病毒处理建议步骤：? 处理病毒问题时，若病毒进程在系统中运行，则可能会出现无法删除文件、无法删除注册表主键 / 键值的情况， 也可能出现删除注册表键值或文件后， 被删除的内容会再次出现

15、的情况。最好在安全模式下操作终止所有可疑进程和不必要的进程关闭系统还原（二）检查注册表中常见的病毒自动加载项? 检查启动项 : 删除不必要的启动项键值， 如发现指向不正常或不认识的程序的键值，可将该键值删除。 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunRun? 检查服务 : 在 控制面板 - 管理工具 -服务 中，查看是否存在可疑服务。若无法确定服务是否可疑，可直接查看该服务属性，检查服务所指向的文件。随后可以检查该文件是否为正常文件 (文件检查方法稍后会介绍 )。对于不正常的服务，可直接在注册表中删除该服务的主键。

16、 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices? 检查 Winlogon 加载项 在注册表中检查 Winlogon 相关加载项： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Shell = Explorer.exe ( 默认 ) Userinit=C:WINDOWSsystem32userinit.exe,( 默认 ) 以上 Shell和Userinit键值为默认， 若发现被修改， 可直接将其修改为默认键值。,.? 检查 Winlogon 加载项 在

17、注册表中检查 Winlogon Notify 相关加载项： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify 在Notify 下会有多个主键 (目录 )，每个主键中的 DllName 键值将指向一个 DLL文件。若发现有指向可疑的DLL 文件时，请先确认其指向的DLL 是否正常。若不正常，可直接删除这个主键。? 检查其他加载项 在注册表中检查以下注册表加载项键值： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows

18、AppInit_DLLs = “” HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows Load = “” 该键值默认为空。若键值被修改，可直接将键值内容清空。（三）检查注册表中的 BHO 项? 检查 Browser Help Object(BHO) 项 BHO 项在注册表中包含以下主键的内容： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerBrowser Helper Objects HKEY_CLASSES_ROOTCLSID可

19、以在下的 InprocServer32主键中查看 BHO项所指向的文件。 当发现指向了可疑文件时， 可直接删除以上注册表路径下所有包含了该 CLSID 的主键。?使用 Hijackthis 工具可以迅速有效的分析系统中的BHO 项。（四）查看系统中的可疑文件? 如何判断文件是否可疑？ 查看文件版本信息 Google之? 所有的 Windows正常系统文件都包含完整的版本信息。若文件无版本信息或版本信息异常，则可判断为可疑文件。? 如何迅速查找这些可疑文件？,. %SystemRoot% %SystemRoot%System32 %SystemRoot%System32drivers? 对于这些

20、目录下的文件， 按照修改日期排序， 检查修改日期为最近一段时间的文件： 可执行文件 .EXE ， .COM ， .SCR， .PIF DLL 文件和 OCX 文件 LOG 文件有一些病毒会将 DLL 文件伪装成 LOG 后缀的文件，可以直接双击打开查看其内容是否为文本。若为乱码，则可疑。病毒文件被隐藏，如何查找？? 工具 - 文件夹选项 选择“显示所有文件” 取消“隐藏受保护的系统文件”? 仍然无法显示隐藏文件 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenNOHIDDE

21、NCheckedValue = 2DefaultValue = 2HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion ExplorerAdvancedFolderHiddenSHOWALLCheckedValue = 1DefaultValue = 2（五）检查并修复host 文件? 修复被病毒修改的 host文件 一些病毒会修改系统的 host文件，使用户无法访问某些网站，或在用户访问某些网站时，重定向到某些恶意站点。? 检查文件： %SystemRoot%System32driversetchost 使用文本编辑工具打开该文件检

22、查。默认该文件包含一条host记录127.0.0.1localhost若有其他可疑的host记录，可以直接删除多余的记录（六）删除所有临时文件,.? 病毒经常存在于临时目录中 %SystemRoot%Temp C:Temp Internet 临时文件 C:Documents and SettingsLocal SettingsTemp? 清空所有以上的目录（七）病毒防护常用工具常用病毒查杀工具一览：SIC， HijackThis系统诊断Process Explorer分析进程TCPView分析网络连接Regmon,InstallRite监视注册表Filemon,InstallRite监视文件系

23、统IceSwordNtsdpskill,.第 4章 安全评估4.1安全评估概述4.1.1 安全评估目的风险评估的目的：了解组织的安全现状分析组织的安全需求建立信息安全管理体系的要求制订安全策略和实施安防措施的依据组织实现信息安全的必要的、重要的步骤4.1.2 安全评估要素风险的四个要素：资产及其价值威胁脆弱性现有的和计划的控制措施1、资产的分类：电子信息资产软件资产物理资产人员公司形象和名誉2、威胁举例：黑客入侵和攻击病毒和其他恶意程序软硬件故障人为误操作,.自然灾害如：地震、火灾、爆炸等盗窃网络监听供电故障后门未授权访问 3、脆弱性：是与信息资产有关的弱点或安全隐患。脆弱性本身并不对资产构成

24、危害， 但是在一定条件得到满足时， 脆弱性会被威胁加以利用来对信息资产造成危害。脆弱性举例：系统漏洞程序 Bug专业人员缺乏不良习惯系统没有进行安全配置物理环境不安全缺少审计缺乏安全意识后门,.图：风险评估要素模型4.1.2 安全评估过程,.4.1.4 安全评估工具评估工具目前存在以下几类：扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；入侵检测系统（IDS ）：用于收集与统计威胁数据；渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；主机安全性审计工具：用于分析主机系统配置的安全性；安全管理评价系统：用于安全访谈，评价安全管理措施；风险综合分析系统： 在基础

25、数据基础上， 定量、综合分析系统的风险， 并且提供分类统计、查询、 TOP N 查询以及报表输出功能；评估支撑环境工具: 评估指标库、知识库、漏洞库、算法库、模型库。4.1.5 安全评估标准,.保障信息安全有三个支柱，一个是技术、一个是管理、一个是法律法规。国家的法律法规，有专门的部门在研究和制定和推广。根据国务院 27号文件， 对信息安全实施分级安全保护的规定出台后， 各有关部门都在积极制定相关的制度和法规，当前被普遍采用的技术标准的是 CC/ISO 15408 ，管理体系标准是ISO 17799/ BS 7799。4.2 安全扫描安全扫描就是对计算机系统或者其它网络设备进行安全相关的检测，

26、以找出安全隐患和可被黑客利用的漏洞。显然，安全扫描软件是把双刃剑，黑客利用它入侵系统，而系统管理员掌握它以后又可以有效的防范黑客入侵。因此，安全扫描是保证系统和网络安全必不可少的手段，必须仔细研究利用。安全扫描的检测技术有：基于应用的检测技术， 它采用被动的， 非破坏性的办法检查应用软件包的设置，发现安全漏洞。基于主机的检测技术，它采用被动的，非破坏性的办法对系统进行检测。基于目标的漏洞检测技术， 它采用被动的， 非破坏性的办法检查系统属性和文件属性，如数据库，注册号等。基于网络的检测技术， 它采用积极的， 非破坏性的办法来检验系统是否有可能被攻击崩溃。安全扫描在部署安全策略中处于重要地位：防

27、火墙，防病毒，用户认证，加密，评估，记录报告和预警，安全管理，物理安全。管理这些设备和技术， 是安全扫描系统和入侵侦测软件 （入侵侦测软件往往包含在安全扫描系统中） 的职责。 通过监视事件日志、 系统受到攻击后的行为和这些设备的信号，作出反应。安全扫描系统就把这些设备有机地结合在一起。 因此，而安全扫描是一个完整的安全解决方案中的一个关键部分， 在企业部署安全策略中处于非常重要的地位。安全扫描系统具有的功能说明：协调了其它的安全设备之间的关系使枯燥的系统安全信息易于理解，告诉了你系统发生的事情跟踪用户进入系统的行为和离开的信息可以报告和识别文件的改动纠正系统的错误设置,.识别正在受到的攻击减轻

28、系统管理员搜索最近黑客行为的负担使得安全管理可由普通用户来负责为制定安全规则提供依据正确认识安全扫描软件：不能弥补由于认证机制薄弱带来的问题不能弥补由于协议本身的问题不能处理所有的数据包攻击，当网络繁忙时它也分析不了所有的数据流当受到攻击后要进行调查，离不开安全专家的参与日志服务器。,.第 6 章数据传输安全6.1 安全数据传输面临的威胁安全数据传输面临的威胁主要有以下几种：6.2数据传输安全关键技术6.2.1 SSL和 TLSSL 和 TLS提供了基于公钥与对称密钥的会话加密、完整性验证和服务器身份验证（对称和非对称算法都用了）保护客户端与服务器通信免受窃听、篡改数据和消息伪造OSI（ Op

29、enStandard Interconnect，开放互连）模型的传输层与应用层间。加密特点是：身份验证保密性消息完整性SSL/TLS 保护数据安全的方法：,.6.2.3 PPTPPPTP用于 LAN 、 WAN 或 Internet 进行客户端到服务器的安全数据传输，使用拨号连接中的点对点协议（ PPP）来在连接中建立终结点， PPTP 位于 OSI 模型的第二层。PPTP的加密特点是：身份验证（ pap、 ms-chap、 eap）：服务器验证客户保密性 (40位的 mppe：即 microsoft 点对点加密，或128位的 RC4)支持通过 mppc（ microsoft 点对点压缩 )数

30、据压缩不提供消息完整性或数据源身份验证(GFG- 微软 )PPTP安全流程：PPTP通过 PPTP控制连接来创建、 维护、终止一条隧道， 并使用通用路由封装GRE（ Generic Routing Encapsulation）对 PPP帧进行封装。封装前， PPP帧的有效载荷首先必须经过加密、压缩或是两者的混合处理。 PPTP控制连接（ P217-218）：控制隧道中的会话建立、释放和维护逻辑连接 封装数据：建立控制连接后， PPP数据用 GRE 协议来封装,.6.2.5 SMB 签名SMB 签名（SMB, Server Message Block，也称为 CIFS）：使用带有密钥的哈希 （

31、keyed hash）来保护每个 SMB 数据包的完整性的数字签名方法，保护网络通信不受中间人攻击和 TCP/IP 会话劫持攻击，使用消息摘要（ MD5 ）算法对通信进行数字签名。SMB 签名的特点是：相互的身份验证消息完整性6.2.6 LDAP 签名LDAP签名：确保数据来自已知的来源数据未被篡改数据不以明文传输加密特点：双向身份验证消息完整性6.2.7 WEPWEP(wired equivalent privacy)： 802.11委员会为无线网络数据安全传输提出的一个协议，三种密钥长度：40位、 128位、 256位（ RC4），在工作站和无线路由器（或AP）间提供数据加密。特点：数据加

32、密数据完整性WEP 加密过程：客户端启动与无线接入点的连接客户端使用循环冗余校验 32（ CRC-32，Cyclic Redundancy Check-32）算法创建数据的校验和，并将该值附到数据帧的末尾数据包经过RC4 算法加密并在无线网络上传输无线接入点收到数据包并使用密钥将其解密无线接入点验证CRC-32 并在LAN上发送数据包,.6.2.8 WPAWPA （Wi-Fi protected Aceess, Wi-Fi 保护访问）：在 802.11i中对无线局域网安全性改进的一个协议。相对 WEP来说， WPA 通过 TKIP(Temporal key Integrity Potocol,

33、 临时密钥完整性协议)每发送10K 数据就动态改变加密密钥，而WEP 没提供安全交换加密密钥的机制，WPA 采用 Michael算法来生成消息完整性码（MIC,message integrity code）来保证数据完整性。特点数据加密数据完整性可防重放功击WPA 加密过程 (密钥动态变换 )：客户端启动与无线接入点的连接客户端使用 Michael 消息完整性代码（ MIC ）创建数据的校验和，并将该值附到数据帧的末尾数据包经过RC4 或 AES 算法加密并在无线网络上传输无线接入点收到数据包并使用密钥将其解密无线接入点验证MIC 并在LAN上发送数据包6.2.9 IPSecIPSec：Int

34、ernet Protocol Security(Internet 协议安全 )：工作在网络层以保护数据传输安全，它是一个开放的协议，可采用各种不同的算法来保证数据的保密性和完整性。通过ISAKMP（ Internet Security Association and Key Management Protocol ，Internet 安全关联和密钥管理协议）服务和 IKE （ Internet 密钥交换）来实现安全密钥交换，对上层协议和应用程序是透明的。IPSec 的功能：数据包筛选保护特定路径的主机到主机通信保护到服务器的通信VPN连接的L2TP/IPSec站点到站点隧道IPSEC特点：身份

35、验证保密性消息完整性,.不可抵赖性AH: Authentication Header, 身份验证头，提供了消息完整性和不可抵赖性保障，AH 可使用SHA-1 或 MD5 算法ESP:Encapsulation Security payload,封装安全有效负载，提供消息保密性、完整性检查和不可抵赖性保障，可使用 DES或 3DES等加密算法使用IPSec 进行身份验证的方法:身份验证方法用途Kerberos V5可以在同一个域或信任域中任何运行Kerberos V5 协议的计算机上使用安全协议Internet 访问对企业资源的远程访问公钥证书外部业务伙伴通信未运行Kerberos V5 安全通

36、信的计算机预共享密钥不需要客户端运行Kerberos V5 协议或拥有公钥证书IPSec 使用策略和规则来保障网络传输安全,规则基本组件：要匹配的通信类型（筛选器列表，也就是对于什么数据流）当通信匹配时做些什么（对选定的数据流要做的操作）身份验证方法隧道或传输模式规则应用的网络类型缺省策略包含：客户端（仅响应）、服务器（请求安全）、安全服务器（需要安全）自定义策略： Windows Server 2003 允许方便的构建并部署自定义 IPSec 策略以允许对计算机的公开程度和安全进行非常细致的控制每台计算机只能使用一条IPSEC策略1) 一条策略可包含多条规则，同一策略中的规则必须使用相同的身份验证方法。2)一条规则是由一个筛选器列表+ 操作 + 身份验证等组成,.3)一条筛选器列表可包含多个筛选器， 同一筛选器列表中的多个筛选器必须使用相同的筛选器操作。4),.