第一篇有关于BYOD论文POISE架构的汇报，里面一些涉及到的小知识点🌈

较为散乱的TIPs

1.BYOD：自带设备

自带设备会带来的安全问题：从各种平台接入企业网络的笔记本电脑、智能手机、平板电脑以及其它设备都成了恶意软件侵入的渠道，以及企业数据外泄的路径。

2.

终端节点问题：企业基础设施可以相对容易地进行更新来修补安全问题，但要确保所有byod设备都正确修补就困难很多。

3.

超出范围的问题：如果客户端的TSL库不是最新版本就会拒绝授予访问权限，只有当客户端是位于服务器机房，或者是和另一个管理设备联机时。

4.

一些BYOD政策，例如将某些服务列入黑名单，可以得到传统企业的支持，但是其实很多问题都超出了现有解决方案的范围。这些策略指的是特定于设备的上下文，例如传感器读数、库版本和活动应用程序，而这些不是从请求的数据包头直接可见。这种文本意识也使得政策相当多样化-企业可能需要对其设备类型和服务，甚至对同一企业可能需要动态更新其策略，以应对新的安全问题。

5.

客户端解决方案：比如只有在另一个管理设备在线时才授予对设备的访问权，因为客户端只有设备本地信息。

6.

poise不修改服务器端软件;它只需要客户机偶尔发送上下文信息，并且它将整个策略实施逻辑移动到网络内部。poise仍然依赖于终端设备来收集它们的上下文信息，但是策略对客户机是私有的，并在受到良好保护的企业基础设施内部执行，这大大降低了授予终端的信任量。这种体系结构还保留了服务器端解决方案中策略维护和更新的便利性。

7.

上下文信息：微型驱动程序可以选择性地利用专用上下文来存储特定于设备的信息。 此设备特定的上下文可以减少微型驱动程序必须调用设备以获取设备信息的次数。 特定微型驱动程序的每个驱动程序项只能有一个设备特定的上下文。

8.

路由器仅仅转发特定地址的数据包，不传送不支持路由协议的数据包传送和未知目标网络数据包的传送，从而可以防止广播风暴。 交换机一般用于LAN-LAN的连接，交换机归于网桥，是数据链路层的设备，有些交换机也可实现第三层的交换。 路由器用于WAN-WAN之间的连接，可以解决异性网络之间转发分组，作用于网络层。

9.

访问控制列表ACL是由一条或多条规则组成的集合。 所谓规则，是指描述报文匹配条件的判断语句，这些条件可以是报文的源地址、目的地址、端口号等。 ACL通过规则对数据包进行分类，这些规则应用到WLAN设备上，WLAN设备根据这些规则判断哪些数据包可以接收，哪些数据包需要拒绝。

10.

IP数据包由报头和数据两部分组成。报头的前一部分是固定长度，共20字节。在报头的固定部分的后面是可选部分——IP选项和填充域。

11.

软件定义网络（SDN）是一种将网络资源抽象到虚拟化系统中的 IT 基础架构方法。SDN 将网络转发功能与网络控制功能分开，其目标是创建可集中管理和可编程的网络。SDN 允许 IT 运维团队通过集中化面板来控制复杂网络拓扑中的网络流量，而无需手动处理每个网络设备。

12.

单播（Unicast）是在一个单个的发送者和一个接受者之间通过网络进行的通信。多播是指一个发送者和多个接受者之间的通信，或者任意播，是任何发送者和网络中最近的接受者群之间的通信。

13.

Netfilter框架为多种协议提供了一套钩子（hooks），用一个
struct list_head nf_hooks[NPROTO][NF_MAX_HOOKS]
二维数组结构存储，一维为协议族，二维为hook点
netfilter提供5个hook点：

1. NF_IP_PRE_ROUTING：刚刚进入网络层的数据包通过此点（刚刚进行完版本号，校验和等检测）， 源地址转换在此点进行；
2. NF_IP_LOCAL_IN：经路由查找后，送往本机的通过此检查点，INPUT包过滤在此点进行；
3. NF_IP_FORWARD：要转发的包通过此检测点，FORWARD包过滤在此点进行；
4. NF_IP_POST_ROUTING：所有马上要通过NIC出去的包通过此检测点，内置的目的地址转换功能（包括地址伪装）在此点进行；
5. NF_IP_LOCAL_OUT：本机进程发出的包通过此检测点，OUTPUT包过滤在此点进行。

通过这些hook点，注册回调函数，可以进行包过滤, NAT, 以及细粒度的安全监控。

继续加油------噜噜噜噜噜-------咕噜咕噜咕噜咕噜咕噜-----------