网络安全(四)--Linux 主机防火墙

7.1. 介绍

防火墙(Firewall),也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。

它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统。按照给定的规则,允许或者限制网络报文通过

本次课程重点介绍通过iptables工具添加“规则”, (主机防火墙由用户态iptables工具+内核态netfilter模块实现)

TcpWrapper 也可以达到“允许或是限制网络报文通过”的目标。一般称作轻量级防火墙,应用简单。

7.2. Iptables 主机防火墙

先看几个概念

7.2.1. 4表5链N规则

  • 基本概念

我们先看, 当客户端浏览器访问web服务器时, 一个客户端的数据报文和服务器的交互流程可简单如下图所示:

为了使防火墙达到“防火”(包过滤)的目的, 我们需要在数据报文流经的路径上,设置一下关卡: 所有进出的报文都流经这些关卡, 在“关卡”上设置“条件”, 报文经检查后,符合放行条件的才放行, 符合阻拦条件的报文被阻止。

这些关卡,在iptables中称之为, 这些条件,我们称之为规则, 所谓的配置防火墙,就是在相应的中添加规则

  • 5链

    所谓5链, 就是linux系统设置了5道关卡,分别对应于: “输入”(INPUT)、“输出”(OUTPUT)、“路由前”(PREROUTING)、“转发”(FORWARD)、“路由后”(POSTROUTING)

    一个数据报文的完整场景如下图所示:

    根据实际的场景,数据报文的流向:

    (外网)到本机的报文: PREROUTING -> INPUT

    由本机(路由器)转发的报文: PREROUTING -> FORWARD -> POSTROUTING

    本机进程发出的报文: OUTPUT -> POSTROUTING

  • 链和规则的关系

    我们把“关卡”称之为, 在关卡中我们设置规则, 还可以设置多条规则, 当我们把多条规则串到一起的时候,就形成了

    防火墙的作用呢,就是对经过的报文匹配“规则”, 然后执行对应的操作(放行、阻拦)

  • 4表

    , 为了实现特定的功能,需要在几个不同的关卡中配置相应的规则,这几个不同关卡就合称

    系统内置4个表:

    filer: 数据包过滤, INPUT、FORWARD、OUTPUT

    nat: 网络地址转换(映射),PREROUTING、INPUT、OUTPUT、POSTROUTING

    managle: 报文拆解,修改报文并重新封装:PREROUTING、INPUT、FORWARD、OUTPUT、POSTROUTING

    raw:关闭链接追踪机制等:PREROUTING、INPUT、OUTPUT

    (新版内核中增加内置表 security)

  • 4表-5链-规则总结

表、链、 规则之间的关系,见下图

7.2.2. iptables基本用法

添加一条规则的写法

格式: iptables [-t table] COMMAND chain CRETERIA -j TARGET

  • -t table : 4表, 默认filter

    • filter
    • nat
    • ...
  • COMMAND:定义如何对规则进行管理

    • ...
  • chain: 指定

    • PREROUTING
    • INPUT
    • FORWARD
    • OUTPUT
    • POSTROUTING
  • CRETERIA: 指定匹配准则(ip、协议、端口)

    • ...
  • -j TARGET :指定如何进行处理 (DROP or ACCEPT)

    • ACCEPT 允许防火墙接收数据包
    • DROP 防火墙丢弃包

实例:不允许192.168.16.35 访问我的主机

itcast@itcast $iptables -t filter -A INPUT -s 192.168.16.35  -j DROP
7.2.2.1. COMMAND详解
  • 规则查看 -L

    • 基本格式: iptables [-t table] -L
itcast@itcast $ sudo iptables -t filter -L -n  # -n, 以点分10进制显示filter表的IP地址itcast@itcast $ sudo iptables -t filter -L --line-numbers # --line-numbers, 显示filter表中规则的行号
  • 配置默认策略 -P

    • 基本格式:`iptables [-t table] -P chain (DROP|ACCEPT)`
itcast@itcast $ sudo iptables -t filter -P INPUT DROP  #配置filter表,INPUT链默认规则为DROP
  • 追加规则

    • 基本格式: iptables [-t table] -A chain CRETIRIA -j ACTION

    以禁止访问外网web界面为列

# 添加规则
itcast@itcast $ sudo iptables -t filter -A OUTPUT  -p tcp  --dport 80 -j DROP 
  • 删除规则

    • 基本格式: iptables [-t table] -D chain NUM

# 删除规则
itcast@itcast $ sudo iptables -t filter -L OUTPUT  --line-number #获取num
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
1    DROP       tcp  --  anywhere             anywhere             tcp dpt:httpitcast@itcast $ sudo iptables -t filter -D OUTPUT 1  #删除
itcast@itcast $ sudo iptables -t filter -D OUTPUT  -p tcp --dport 80 -j DROP # 也是删除itcast@itcast $ sudo iptables -t filter -L OUTPUT --line-number  #查看
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination
  • 插入规则
    • 基本格式: iptables [-t table] -R NUM chain CRETIRIA -j ACTION

# 插入规则itcast@itcast $ sudo iptables -t filter -A OUTPUT -p tcp --dport 81 -j DROPitcast@itcast $ sudo iptables -t filter -L  OUTPUT  --line-number 
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       tcp  --  anywhere             anywhere             tcp dpt:81itcast@itcast $ sudo iptables -t filter -I OUTPUT 1 -p tcp --dport 82 -j DROP  #插入
itcast@itcast $ sudo iptables -t filter -L  OUTPUT  --line-number 
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       tcp  --  anywhere             anywhere             tcp dpt:82   # 82在前
2    DROP       tcp  --  anywhere             anywhere             tcp dpt:81itcast@itcast $ sudo iptables -t filter -A OUTPUT  -p tcp --dport 83 -j DROP  ##追加
itcast@itcast $ sudo iptables -t filter -L  OUTPUT  --line-number 
Chain OUTPUT (policy ACCEPT)
num  target     prot opt source               destination         
1    DROP       tcp  --  anywhere             anywhere             tcp dpt:82
2    DROP       tcp  --  anywhere             anywhere             tcp dpt:81
3    DROP       tcp  --  anywhere             anywhere             tcp dpt:83  ##83在后
  • 清空规则 -F
    • 基本格式: iptables [-t table] -F chain
 #清空filter表中的OUTPUT链
itcast@itcast $ sudo iptables -t filter -F OUTPUT# 清空filter中的所有链
itcast@itcast $ sudo iptables -t filter -F
7.2.2.2. CRETERIA详解

“条件”的匹配模式很多,我们介绍两类,一类是基于IP的匹配条件,一类是基于协议的匹配条件

  • 基于IP的匹配

    基于IP匹配,就是以源地址、目标地址为匹配条件的匹配

    • -s 指定作为源地址匹配

      • IP : 192.168.16.35
      • IP/MASK: 192.168.16.0/24
    • -d 表示匹配目标地址

  • 基于协议匹配

    • -p tcp :TCP协议, 可带三种扩展

      • --dport XX-XX:指定目标端口,
      • --dport 21 指定单个端口,
      • --dport 21-23 (此时表示21,22,23)   --sport:指定源端口
    • -p udpUDP协议, 支持两种扩展

      • --dport
      • --sport
    • -p icmp: icmp数据报文, 支持一种扩展

      • --icmp-type: 指定icmp类型
      • --icmp-type echo-request : 也可以用 --icmp-type 8
  • 基于网络设备接口的匹配

    • -i eth0:从这块网卡流入的数据

      • 流入一般用在INPUT和PREROUTING上
    • -o eth0:从这块网卡流出的数据

      • 流出一般在OUTPUT和POSTROUTING上
  • 综合实例: 只要是来自于172.16.0.0/16网段的都允许访问我本机的172.16.100.1的SSHD服务
 #定义进来的:
iptables -t filter -A INPUT -s 172.16.0.0/16 -d 172.16.100.1 -p tcp --dport 22 -j ACCEPT#定义出去的:
iptables -t filter -A OUTPUT -s 172.16.100.1 -d 172.16.0.0/16 -p tcp --dport 22 -j ACCEPT
`

7.2.3. 牛刀小试

7.2.3.1. ssh远程登录实战

ssh服务端

 #  允许接受ssh客户请求
itcast@itcast $ sudo iptables -t filter -A INPUT  -p tcp  -dport 22 -j ACCEPT# 允许发送本地主机的SSH相应
itcast@itcast $ sudo iptables -t filter -A OUTPUT  -p tcp  -sport 22 -j ACCEPT# 禁止接受ssh客户请求
itcast@itcast $ sudo iptables -t filter -A INPUT  -p tcp  -dport 22 -j DROP

ssh客户端 (禁止通过ssh访问某主机, 是防止成为“跳板机”)

 # 允许发送向远程主机的SSH请求
iptables -A OUTPUT -i eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT# 禁止发送向远程主机的SSH请求
iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j DROP# 接收的数据包源端口为22
$ iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT

-m state: 启用状态匹配模块(state matching module)

–-state: 状态匹配模块的参数。 当SSH客户端第一个数据包到达服务器时,状态字段为NEW;建立连接后数据包的状态字段都是ESTABLISHED

7.2.3.2. Web服务实战

服务端

  # 允许接收远程主机的HTTP请求
$ iptables -A INPUT -i eth0 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT# 允许发送本地主机的HTTP响应
$ iptables -A OUTPUT -o eth0 -p tcp --sport 80 -m state --state ESTABLISHED -j ACCEPT# 允许特定IP访问iptables -A INPUT -s 172.16.100.1 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT

浏览器端

禁止当前主机访问IP为xxx的web服务

    iptables -A OUTPUT -d 10.01.10.23 -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j DROP
7.2.3.3. ping attack防护

ping attack 一般两种类型, 一种是向目标主机发送ping命令测试数据包时,目标主机都需要耗费一定的系统资源进行应答回复(DOS), 还有一种是通过把报文分割成片段,向目标主机发送大于65536字节的ICMP包,而后在目标主机上重组, 最终导致目标主机缓冲区溢出,发生瘫痪故障。

简单而有效的防护措施,在防火墙过滤到ICMP报文。

ping 发送echo-request (ICMP type 8), 如目标主机在线存活, 则接受到echo-replay (icmp type 0)

服务器端

禁止其他主机,ping 当前主机

iptables -A INPUT -p icmp --icmp-type 8 -j DROPiptables -A OUTPUT -p icmp --icmp-type 0 -j DROP

允许其他主机ping当前主机

        iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPTiptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

客户端

禁止ping其他主机

iptables -A OUTPUT -p icmp --icmp-type echo-request -j DROPiptables -A INPUT -p icmp --icmp-type echo-reply -j DROP

小扩展:对于127.0.0.1比较特殊,我们需要明确定义它

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPTiptables -A OUTPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

7.2.4. 拓展知识

7.2.4.1. 规则保存和恢复

我们之前添加的防火墙规则, 当系统重启的时候都会失效。 因此系统重启后,需要有个防火墙规则恢复的操作。

  • 关机前,保存当前防火墙规则
itcast@itcast $ pwd
/home/itcast
itcast@itcast $ sudo iptables-save > ./iptables.rules
  • 开机后,恢复之前保存的防火墙规则
itcast@itcast $ sudo iptables-restore < /home/itcast/iptables.rules
7.2.4.2. 规则的生效顺序

规则的次序非常关键,谁的规则越严格,应该放的越靠前,而检查规则的时候,是按照从上往下的方式进行检查的。

  • 牢记以下三点式理解iptables规则的关键:

    • Rules包括一个条件和一个目标(target)
    • 如果满足条件,就执行目标(target)中的规则或者特定值。
    • 如果不满足条件,就判断下一条Rules。
    • 如果全部Rules都不匹配, 则执行默认Target (系统默认ACCEPT)
  • 将默认策略改成DROP:

 $ iptables -P INPUT DROP$ iptables -P OUTPUT DROP$ iptables -P FORWARD DROP
7.2.4.3. 帮助
  • Iptables 帮助

    • man iptables
    • man iptables-externsion

7.3. TCP Wrapper: 轻量级的防火墙应用

tcp wrappers为那些链接libwrap.so库的服务,提供了 由xinetd这支superdaemon管理的服务提供了安全性。由xinetd super daemon管理的服务以及支持libwrap模块的服务都可以使用它tcp wrappers进行安全控制。

可以通过使用tcp wrappers结合防火墙(iptables)提供更加安全的系统保护。

7.3.1. tcp wrappers的配置

7.3.1.1. 配置文件

tcp wrappers的配置文件有两个,一个是/etc/hosts.allow,一个是/etc/hosts.deny。

  • /etc/hosts.allow:允许指定的客户端对指定的服务访问。

  • /etc/hosts.deny:拒绝指定的客户端对指定的服务访问。

修改完成之后,不需要重新启动服务,就会立即生效。

配置规则的有效次序

  1. 默认策略是允许 (即没有在hosts.allow和hosts.deny中出现的,允许通过。)
  2. 先查看hosts.allow
  3. 再查看hosts.deny。
7.3.1.2. 文件配置规则

每一个控制文件都可以包含多行,按照定义的顺序处理每一行,找到匹配后就跳出该规则。

以#开始的表示注释,

如果一行写不完可以使用反斜线(\),进行续行,表示上一行的延续。

hosts.allow和hosts.deny定义格式如下:

     daemon_list : client_list [ : shell_command ]
  • daemon_list: 指定由TCP wrappers需要控制的服务名称。比如 sshd, 如果该服务是由xinetd管理的服务,要写启动脚本的名称,如/etc/xinetd.d/telnet。

下述为tftp服务的配置文件:/etc/xinetd.d/tftp

如果要想使用tcp wrappers控制tftp的话,需要在hosts.allow或hosts.deny文件中,写上tftp的启动脚本:/use/sbin/in.tftpd

service tftp
{socket_type         = dgramprotocol               = udpwait                    = yesuser                    = rootserver                  = /usr/sbin/in.tftpdserver_args             = -s /tftpbootdisable                 = noper_source              = 11cps                     = 100 2flags                   = IPv4
}
    • client_list:指定tcpwrappers需要控制哪些客户端对哪些服务的访问。

可以用如下方法表示:

  • 单一主机:192.168.0.1,表示的是192.168.0.1这台主机。

  • 指定网段:192.168.0.或者是192.168.0.0/255.255.255.0表示的是192.168.0.0/24整个网段。

  • 指定DNS后缀:.frame.com,所有DNS后缀为.frame.com的主机。

  • 指定FQDN:server.frame.com ,表示的是FQDN为server.frame.com的主机。

  • 所有客户端:ALL

7.3.2. 牛刀小试

一般就是通过"白名单制度", 就是在hosts.deny中禁止所有的client访问,在hosts.allow中,开启允许访问的client

7.3.2.1. ssh防护实战
  • 允许 192.168.16.3访问

$ cat /etc/hosts.allow sshd:192.168.16.3$ cat /etc/hosts.deny ALL: ALL
  • 允许172.16.0.0/16 网段访问sshd服务(放行sshd服务)

$ cat /etc/hosts.allow sshd:172.16.0.0/16$ cat /etc/hosts.deny ALL: ALL
###  确认服务是否支持tcp wrappers ###> 不是所有的服务,都支持tcp wapper, 只有链接了libwrap.so库的服务,才可以通过tcpwrapper防护。确认ssh是否支持tcp warpper```bash
$ ldd /usr/sbin/sshd | grep "wrap"libwrap.so.0 => /lib/x86_64-linux-gnu/libwrap.so.0 (0x00007fe251bed000)

上述表明sshd这个服务是支持tcp wrappers的。如果没有libwrap,则表示该服务不支持tcp wrappers。

确认xinet是否支持tcp warpper

[root@test01 ~]# ldd $(which sshd) | grep libwraplibwrap.so.0 => /lib64/libwrap.so.0 (0x00007fa039d12000)

确认inetd是否支持tcp warpper

$ ldd /usr/sbin/tcpd  | grep wraplibwrap.so.0 => /lib/x86_64-linux-gnu/libwrap.so.0 (0x00007f23d5f4b000)
`

7.3.3. 帮助

  • TcpWrappers帮助

    • man hosts_access (or man hosts.allow)
    • man hosts_options
    • man tcpd

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/203443.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

人工智能-编译器和解释器

编译器和解释器 命令式编程使用诸如print、“”和if之类的语句来更改程序的状态。 考虑下面这段简单的命令式程序&#xff1a; def add(a, b):return a bdef fancy_func(a, b, c, d):e add(a, b)f add(c, d)g add(e, f)return gprint(fancy_func(1, 2, 3, 4)) 10 Python…

课题学习(十五)----阅读《测斜仪旋转姿态测量信号处理方法》论文

一、 论文内容 1.1 摘要 为准确测量旋转钻井时的钻具姿态&#xff0c;提出了一种新的信号处理方法。测斜仪旋转时&#xff0c;垂直于其旋转轴方向加速度计的输出信号中重力加速度信号分量具有周期性特征&#xff0c;以及非周期性离心加速度分量频率低于重力加速度信号分量频率…

三、jvm中的对象及引用

一、对象在jvm的创建过程 检查加载-->分配内存-->内存空间初始化-->设置-->对象初始化 1) 检查加载 首先检查这个指令的参数是否能在常量池中定位到一个类的符号引用&#xff0c;并且检查类是否已经被加载、解析和初始化过。 虚拟机遇到一条 new 指令时&#xf…

mybatis的分页插件

在mybatis核心配置文件中&#xff1a; 这时已经用了SSM整合&#xff0c;好多像是mapper或者数据源等都移出去了 <?xml version"1.0" encoding"UTF-8" ?> <!DOCTYPE configurationPUBLIC "-//mybatis.org//DTD Config 3.0//EN""…

Zabbix自定义飞书webhook告警媒介2

说明:适用于7.0及以上版本,低版本可能会有问题。 参数如下: 名称 值EVENT.DURATION{EVENT.DURATION}EVENTDATE

当使用RSA加密,从手机前端到服务器后端的请求数据存在+

将转成了空格&#xff0c;导致解密出错 将空格转成了

Unity中Batching优化的GPU实例化(1)

文章目录 前言一、GPU实例化的规则1、必须满足 Mesh 网格一样2、只有OpenGL es 3.0及以上才支持&#xff08;3.0及以上有部分硬件可能也不支持&#xff09; 二、GPU实例化的应用场景1、公开几个成员属性&#xff0c;用于存放可以调整的数据2、用Random.insideUnitCircle随机生成…

AWS re:Invent 2023-亚马逊云科技全球年度技术盛会

一:会议地址 2023 re:Invent 全球大会主题演讲 - 亚马逊云科技从基础设施和人工智能/机器学习创新,到云计算领域的最新趋势与突破,倾听亚马逊云科技领导者谈论他们最关心的方面。https://webinar.amazoncloud.cn/reInvent2023/keynotes.html北京时间2023年12月1日00:30-02:…

VSCode之C++ CUDA入门:reduce的N+1重境界

背景 Reduce是几乎所有多线程技术的基础和关键&#xff0c;同样也是诸如深度学习等领域的核心&#xff0c;简单如卷积运算&#xff0c;复杂如梯度聚合、分布式训练等&#xff0c;了解CUDA实现reduce&#xff0c;以及优化reduce是理解CUDA软硬件连接点的很好切入点。 硬件环境&…

HarmonyOS4.0从零开始的开发教程03初识ArkTS开发语言(中)

HarmonyOS&#xff08;二&#xff09;初识ArkTS开发语言&#xff08;中&#xff09;之TypeScript入门 浅析ArkTS的起源和演进 1 引言 Mozilla创造了JS&#xff0c;Microsoft创建了TS&#xff0c;Huawei进一步推出了ArkTS。 从最初的基础的逻辑交互能力&#xff0c;到具备类…

http和https的区别有哪些

目录 HTTP&#xff08;HyperText Transfer Protocol&#xff09; HTTPS&#xff08;HyperText Transfer Protocol Secure&#xff09; 区别与优势 应用场景 未来趋势 当我们浏览互联网时&#xff0c;我们经常听到两个常用的协议&#xff1a;HTTP&#xff08;HyperText Tra…

Excel 动态拼接表头实现导出

public class Column {//单元格内容private String content;//字段名称&#xff0c;用户导出表格时反射调用private String fieldName;//这个单元格的集合private List<Column> listTpamscolumn new ArrayList<Column>();int totalRow;int totalCol;int row;//exc…

易宝OA 两处任意文件上传漏洞复现

0x01 产品简介 易宝OA系统是一种专门为企业和机构的日常办公工作提供服务的综合性软件平台,具有信息管理、 流程管理 、知识管理(档案和业务管理)、协同办公等多种功能。 0x02 漏洞概述 易宝OA系统UploadFile、BasicService.asmx等接口处存在文件上传漏洞,未授权的攻击者可…

记录 | vscode pyhton c++调试launch.json配置

下面提供 vscode 中 python 和 c 调试配置的 launch.json (好用&#xff0c;已用好几年&#xff0c;建议收藏) {// 使用 IntelliSense 了解相关属性。 // 悬停以查看现有属性的描述。// 欲了解更多信息&#xff0c;请访问: https://go.microsoft.com/fwlink/?linkid830387&qu…

【Spring】依赖注入之属性注入详解

前言&#xff1a; 我们在进行web开发时&#xff0c;基本上一个接口对应一个实现类&#xff0c;比如IOrderService接口对应一个OrderServiceImpl实现类&#xff0c;给OrderServiceImpl标注Service注解后&#xff0c;Spring在启动时就会将其注册成bean进行统一管理。在Co…

WireShark监控浏览器登录过程网络请求

软件开发中经常前后端扯皮。一种是用Chrome浏览器的开发者工具 来看网络交互&#xff0c;但是前提是 网络端口的确是通的。 WireShark工作在更低层。 这个工具最大的好处&#xff0c;大家别扯皮&#xff0c;看网络底层的log&#xff0c;到底 你的端口开没开&#xff0c; 数据…

计算机图形图像技术(OpenCV核心功能、图像变换与图像平滑处理)

一、实验原理&#xff1a; 1、显示图像 void imshow(const string &name, InputArray image); ①功能&#xff1a;在指定窗口中显示图像。 ②参数&#xff1a;name为窗口的名字&#xff1b;image为待显示的图像。 ③说明&#xff1a;可显示彩色或灰度的字节图像和浮点数图…

Threejs项目实战之一:汽车外观换肤效果三维展示

目录 最终效果1 创建项目2 安装插件3 编写代码3.1 准备工作3.2 代码编写3.2.1 在template标签中构建html页面3.2.2 在style标签中构建页面样式文件3.2.3 在script标签中编写js代码 最终效果 先看下最终实现的效果 接下来&#xff0c;我们就从创建项目开始&#xff0c;一步一步…

自主并不等于智能

自主不等于智能&#xff0c;也不是自动化的简单升级。自主性和智能性是两个不同的概念。自主性指物体或系统具有独立决策和行动的能力&#xff0c;不需要人为干预。而智能性指物体或系统具有类似人类的智慧、学习和适应能力。 虽然自主性通常与智能性相关&#xff0c;但并非所有…

李宏毅bert记录

一、自监督学习&#xff08;Self-supervised Learning&#xff09; 在监督学习中&#xff0c;模型的输入为x&#xff0c;若期望输出是y&#xff0c;则在训练的时候需要给模型的期望输出y以判断其误差——有输入和输出标签才能训练监督学习的模型。 自监督学习在没有标注的训练…