上一篇:网工面试题(数通)
防火墙
防火墙的应用场景
防火墙:部署在网络出口处/服务器区(数据中心)/广域网接入,用于防止外界黑客攻击、保护内网安全硬件。
传统防火墙和下一代防火墙的区别
传统防火墙的功能有包过滤、状态检测、应用网关;工作模式有路由模式、透明模式、混合模式三种
下一代防火墙是基于传统防火墙基础上增加了一些功能:增强的应用识别和控制、web攻击防护、信息泄密防护、恶意代码防护、入侵检测等;工作模式有路由模式、透明/网桥模式、混合模式以及旁路模式
防火墙的功能,以及区别
包过滤防火墙
是最基本的防火墙类型,它基于预设的规则检查经过网络的数据包头部信息(如IP地址、端口号等)。如果数据包符合规则,就允许通过;否则,就拒绝或丢弃。工作在网络层,处理速度快,但只能进行简单的安全控制
状态检测防火墙
在包过滤的基础上增加了对数据包状态信息的跟踪。它不仅检查数据包头部信息,还维护一个状态表来跟踪连接的状态(如TCP序列号、确认号等)。能更准确地判断数据包是否属于合法的会话,从而提高安全性。性能略低于包过滤,但能更有效地防止伪装攻击
应用网关防火墙
也称代理服务器,工作在应用层,完全接管了客户端和服务器之间的通信。作为中间人,对通信内容进行深度检查和控制。能够处理应用层协议(如HTTP、SMTP等),从而提供更精细的安全策略。然而,由于需要处理所有应用层数据,可能会对网络性能产生较大影响
区别
功能 包过滤 状态检测 应用网关 工作层次 网络层和传输层 网络层和传输层(增加状态跟踪) 应用层 过滤依据 数据包头部信息(如IP地址、端口号) 数据包头部信息 + 状态信息 应用层协议内容 安全性 中等 高 最高 性能影响 较小 适中 较大(可能成为瓶颈) 灵活性 较高(可设置复杂规则) 较高(支持状态跟踪) 较低(受限于应用层协议) 应用场景 对性能要求较高、安全需求适中的场景 需要较高安全性的场景 需要深度应用层控制和用户认证的场景
防火墙的工作模式,以及区别
路由模式
防火墙作为路由器进行IP包过滤和转换。防火墙的接口配置有IP地址,并位于内部网络与外部网络之间,接入需要重新规划原有的网络拓扑。能够实现ACL包过滤、NAT转换等功能
透明/网桥模式
防火墙像网桥一样工作,对网络拓扑无影响。所有接口都不配置IP地址,工作在数据链路层。防火墙根据报文的MAC地址来转发数据,同时进行相关的过滤检查
混合模式
结合了路由模式和透明模式的特点,部分接口配置IP地址(工作在路由模式),其他接口不配置IP地址(工作在透明模式)。这种模式常用于双机热备等场景
旁路模式
旁路模式下,防火墙通过连接到交换机的特定镜像端口(SPAN或Mirror Port)获取网络流量的副本。防火墙仅对流量进行监控和分析,而不影响正常流量的传输
区别总结
模式 工作层次 接口配置 对网络拓扑影响 主要功能 路由模式 网络层 配置IP地址 需要修改 ACL包过滤、NAT转换、防攻击检查等 透明/网桥模式 数据链路层 不配置IP地址 无影响 MAC地址转发、ACL规则检查等 混合模式 网络层+数据链路层 部分配置IP地址 部分影响 结合路由和透明模式的优点 旁路模式 网络层 不配置IP地址 无影响 流量监控和分析
防火墙各个区域的作用是什么?
Local区域
防火墙自身的区域,用于处理防火墙自身产生的或接收到的流量。例如,当其他网络尝试通过ping、HTTPS、telnet等方式访问防火墙时,这些报文将由Local区域接收并处理。同样,防火墙主动发起的报文也是从Local区域发送出去的
Trust区域
用来定义内部用户所在的网络,这些网络被认为是受信任的。在Trust区域中,用户可以自由访问内部资源,并且防火墙会放宽对来自该区域流量的安全限制。
DMZ(Demilitarized Zone,非军事区)区域
用来定义内部服务器(如公司OA系统、ERP系统等)所在的网络。这些服务器对外部用户提供服务,但同时又需要受到一定程度的保护。
Untrust区域
不受信任的网络,通常用来定义Internet等不安全的网络。在Untrust区域中,流量被认为是潜在的危险源,防火墙会对来自该区域的流量进行严格的检查和过滤。
防火墙的一般配置步骤是什么?
登录配置界面:这一步是配置的基础,需要登录到防火墙的管理界面
修改初始密码:出于安全考虑,首次配置时应修改防火墙的初始密码
配置接口:在管理的接口处配置IP地址,这是网络通信的基础
配置区域:创建不同的安全区域(如信任区域、非信任区域等),并为每个区域配置优先级。不同区域间的数据流动将触发不同的安全检查
接口加入区域:将防火墙的接口划分到不同的安全区域中,以便进行精细化的访问控制
配置安全策略:根据实际需求配置安全策略,如允许或拒绝特定类型的数据包通过防火墙
下一代防火墙(NGFW)相比传统防火墙,可以配置哪些什么策略?
应用层控制:能够识别和管理具体应用程序的流量,如社交媒体、文件共享等。阻止不必要的应用程序,减少潜在的安全风险。
用户身份验证:基于用户身份的访问控制策略。允许基于用户身份而非IP的精细化控制
深度包检测(DPI):分析数据包内容,识别和阻止隐匿在合法流量中的攻击
入侵防御系统(IPS):实时检测,防止已知和未知的网络攻击。
基于内容的过滤:检查和过滤内容,如URL和文件类型。阻止恶意网站和有害内容
流量分析与行为监测:监控流量模式和用户行为。检测异常行为,预防潜在威胁
内网有一台DNS服务器,网络出口处部署一台防火墙,外网对内网服务器的访问,如何配置?
1.在防火墙上配置到内网服务器的路由,实现网络连通性(回程有状态表)
2.在防火墙配置ACL,允许外网主机访问内网服务器
3.在防火墙上配置静态NAT映射,映射内网服务器
内网有一台DNS服务器,网络出口处部署一台防火墙,内部主机要访问外网需要,如何配置?
1.在防火墙上配置到内网服务器的路由,实现网络连通性(回程有状态表)
2.配置ACL策略,把DNS的53端口打开,其他端口不用放开。
3.配置NAT,将服务器映射到公网区。
4.如果要保证安全,可以在下一代防火墙上配置一些安全防护策略
网站服务器区域边界的防火墙配置应包括哪些方面?
安全区域划分:明确区分untrust、dmz、trust网络区域
访问控制策略:设定明确的允许或拒绝规则,基于源IP、目的IP、协议和端口号等
NAT与端口转发:为需要外部访问的内部服务器配置NAT和端口转发规则
远程管理安全:限制远程管理访问的IP地址和端口,使用加密协议如HTTPS或SSH
入侵防御与日志:启用入侵防御系统,记录并分析流量日志,检测和响应潜在威胁
定期更新与维护:保持防火墙固件和配置的最新状态,定期审查和测试配置。
AV是如何实现杀毒的?
AV是防毒墙
检查通信中所带的文件是否含有特定的病毒特征,防止病毒的扩散,即防病毒网关。有代理扫描、流扫描两种方式。用在互联网出口、服务器区
代理扫描
所有经过网关的需要进行病毒检测的数据报文,透明的转交给网关自身的协议栈,协议栈将文件全部缓存下来后,再送入病毒检测引擎进行检测
流扫描
简单的提取文件特征与本地的病毒库进行匹配,依赖于状态检测技术以及协议解析技术
IDS和IPS的区别和作用?
**IDS入侵检测系统:**监控网络或系统,检测潜在的安全威胁并发出警报,但不主动阻止攻击
**IPS入侵防御系统:**检测威胁,自动采取措施阻止攻击,直接干预流量以防止攻击发生
对数据包应用层里的数据内容进行威胁特征检查,并与IPS规则库(入侵行为特征:蠕虫、木马后门、系统漏洞、网络设备漏洞、口令破解)进行比对,匹配到了则丢弃
安全防护UTM(统一威胁管理)
**定义:**UTM是一种集成传统FW、AV、IPS、WAF等模块的安全设备。可以简化安全管理,提高整体安全
特点:
①多功能假集成 ②解决了管理问题 ③多次拆包检测,效率较低
加密算法
介绍加密算法和HASH算法、及两者区别
加密算法
用于保护数据,使得未经授权的用户无法读取或修改信息。
对称加密算法:对称加密算法使用相同的密钥进行加密和解密。例如AES、DES、3DES等;优点是加密和解密速度较快,适用于大规模数据加密;缺点是密钥管理复杂,密钥泄露可能导致数据安全问题。
非对称加密算法:使用一对密钥(公钥和私钥)进行加密和解密。公钥用于加密,私钥用于解密。例如RSA、ECC、DSA等优点是提供更高的安全性,尤其在密钥交换和数字签名中表现突出。缺点是加密和解密速度较慢,计算资源消耗较大。
哈希算法
哈希算法用于生成固定长度的散列值(哈希值),通常用于数据完整性校验和验证。哈希算法的主要特点是不可逆,即无法从哈希值恢复原始数据。
常用哈希算法:MD5、SHA-1、SHA-2、SHA-3
哈希算法特点:无论输入数据大小如何,哈希值的长度是固定的;难以找到两个不同的输入数据生成相同的哈希值(抗碰撞性);无法从哈希值恢复原始数据。
算法区别
|----|-------------------------|---------------|--------------------|
| | 功能 | 输出 | 用途 |
| 加密 | 保护数据的机密性,确保只有授权用户才能访问数据 | 生成加密数据,长度可以变化 | 数据加密、密钥交换、数字签名等 |
| 哈希 | 确保数据的完整性和一致性,不涉及数据的机密性 | 生成固定长度的哈希值 | 数据完整性检查、密码存储、数字指纹等 |
PSK认证 RSA签名认证的区别?
PSK认证
在PSK(Pre-Shared Key)认证中,通信双方事先共享一个秘密密钥。在连接建立时,双方使用这个预共享的密钥进行身份验证和加密通信。密钥在协商过程中并未公开传输,而是通过安全的方式事先分发给双方
RSA签名认证
RSA 签名认证使用公钥基础设施(PKI),其中每个通信方都有公钥和私钥。在认证过程中,通信方使用私钥对数据进行签名,另一方使用公钥验证签名的有效性。这样可以确保消息的真实性和完整性
区别
**PSK 认证:**适合简单、低风险的环境,易于配置,但安全性相对较低
**RSA 签名认证:**适用于要求更高安全性和灵活性的环境,具有较强的安全性和管理能力,但配置较为复杂
IPSec VPN
VPN的作用以及如何部署?
作用
在公用网络(Internet)上,通过隧道技术虚拟出来的一条企业内部专线;具有安全、加密、身份认证、便宜、完整性校验、防重放等优点
设备选型
公司已经部署好局域网,申请公网出口,购买两台VPN设备,分别放在总部和分部,如果需要不改变原有网络,选择旁挂模式。
技术选型
IPsecVPN和SSLVPN,IPsecVPN对于出差用户需要安装VPN软件,对于一些非专业人氏,选择SSL VPN更加方便
IPsce VPN工作简介
IPsec VPN通过加密和认证确保网络通信安全;有两种工作模式:传输模式(仅加密数据负载)和隧道模式(加密整个IP包);有两种通信保护协议:AH协议验证数据的完整性和来源,ESP协议在AH协议基础上还可以加解密数据并提供认证
用IPSec保护一个IP包之前,必须先建立SA(安全联盟),可以手工配置建立,也可以使用IKE自动建立。IKE第一阶段,通信方之间建立一个通过身份验证和安全保护的通道IKE SA;IKE第二阶段,用已经建立的IKE SA为IPSec协商具体的安全联盟(IPSec SA),产生加密数据流的密钥
IPSec的两种工作模式
**传输模式:**不改变原有的IP包头,在原数据包头后面插入IPSec包头,将原来的数据封装成被保护的数据。(主机和主机之间端到端通信的数据保护)
**隧道模式:**增加新的IP(外网IP)头,其后是IPSec包头,之后再将原来的整个数据包封装。(私网与私网之间通过公网进行通信)
AH/ESP在不同工作模式下的封装
传输模式
AH封装
ESP封装
隧道模式
AH封装
ESP封装
IPSec中的AH和ESP协议
AH(协议号51):(报文头验证协议)支持数据验证不支持数据加密。将整个数据进行哈希计算生成一个摘要
ESP(协议号50):(封装安全载荷协议)支持数据验证和加密。先将数据部分使用DES、3DES、AES等加密算法进行加密,然后将ESP头部和加密的数据还有填充的数据一起进行哈希运算得到一个摘要
协议区别
AH提供的安全服务:数据完整性、数据源认证、抗重放服务
ESP提供的安全服务:在AH的服务上增加数据保密、有限的数据流保护
|---------|-----|------------|
| 安全特性 | AH | ESP |
| 协议号 | 51 | 50 |
| 数据完整性校验 | 支持 | 支持(不验证IP头) |
| 数据源验证 | 支持 | 支持 |
| 数据加解密 | 不支持 | 支持 |
| 抗重放服务 | 支持 | 支持 |
| NAT-T | 不支持 | 支持 |
IPSec中的IKE协议
**第一阶段交换:**通信方彼此间建立了一个已通过身份验证和安全保护的通道,此阶段建立了一个安全联盟,即ISAKMP SA(也可称为IKE SA)。第一阶段交换有两种协商模式:主模式协商、野蛮模式协商
**第二阶段交换:**用已经建立的安全联盟(IKE SA)为IPSec协商安全服务,即为IPSec协商具体的安全联盟,建立IPSec SA,产生用来加密数据流的密钥,IPSec SA用于最终的IP数据安全传送
主模式、野蛮模式、快速模式的区别?
**主模式(一阶段):**发送6条报文,第1、2条报文进行加密参数的协商。第3、4条报文交换DH值,生成密钥。第5、6条信息是加密的。进行验证身份信息(加密)。IKE的主模式适用于两设备的公网IP固定、且要实现设备之间点对点的环境
特点:严谨,安全
**野蛮模式(一阶段):**野蛮模式发送3条报文,第1、2条报文发送身份信息和协商加密算法(明文),在第3条信息进行哈希验证。由此可知在第一条信息就发送身份ID,所以安全性低,但是发送三条报文,速度快
主模式用IP地址作为身份ID,野蛮模式可以手动设置ID。所以主模式不支持NAT穿越,野蛮模式支持NAT穿越。ADSL拨号用户,其获得的公网IP不是固定的,且可能存在NAT设备的情况下,采用野蛮模式做NAT穿越
**快速模式(二阶段):**发送3条加密报文,使用IKE SA(第一阶段协商的安全联盟)进行加密。用于协商安全参数,建立IPSec SA,周期性的对数据连接更新密钥信息
NAT-T是什么
运用在IPSec VPN中,支持多个IPSec VPN同时连接。为ESP增加了UDP头部,从而解决了数据传输过程经过防火墙后无法进行端口复用的问题。在IKE协商和VPN连接时,允许源端口为非UDP 500端口,使用目的端口是UDP4500端口。
分析IPSec VPN建立不成功的原因
1.物理层原因,对端设备坏了;
2.不同厂商的VPN设备会存在兼容性问题;
3.公网不通,所以VPN隧道建立失败
4.没有购买VPN的许可证,或者VPN允许的隧道数已经达到许可上限
5.用户的网关设备需要开放AH、ESP协议,单臂部署模式需要放通udp的500和4500端口;
6.两端内网IP在同一个网段,定义感兴趣流量错误;
7.IKE协商不一致,一边配置主模式,一边配置野蛮模式导致IKE SA协商失败;
8.IPSEC变换集使用的算法不一致,导致IPSEC SA协商失败;
9.加密图不一致map1,map2,或者配置的加密图未绑定到接口上;
SSL VPN
SSL VPN概述
SSL VPN(安全套接层虚拟专用网络),采用SSL协议而得名。因为Web浏览器都内嵌支持SSL协议,使得SSL VPN可以做到"无客户端"部署,SSL VPN一般采用插件系统来支持各种TCP和UDP的非Web应用
SSL的主要协议有哪些
**握手协议:**负责在客户端和服务器之间建立安全连接,协商加密算法、生成密钥等。
**记录协议:**负责数据的加密和解密,确保数据在传输过程中保密和完整。
**修改密文协议:**用于在会话期间更改加密密钥。
**报警协议:**在通信过程中,某一方发现任何异常,需要给对方发送一条警示消息
SSL VPN的建立过程
1.pc和server双方建立443端口的TCP连接
2.pc发送hello包(包内含加密算法、hash、压缩方法、随机数)
3.server发送hello包(包内含确认加密、hash、压缩方法、随机数)
4.server发送证书报文
5.pc信任网关证书,保存证书
6.pc产生key,用服务器公钥对其加密,发送密钥交换报文,把key给ssl server
7.双方本地计算密码,协商完成,发送finished报文,后续开始加密传输
IPsec VPN 和SSL VPN的工作过程和两者的区别?
**工作层级:**IPsec VPN主要提供网络层连通性,哪个IP能访问,就是指哪个IP上面的所有服务都能访问;SSL VPN是应用层控制,力度会更细,直接到服务,哪些服务能访问,哪些服务不能访问
**安装客户端:**IPsec VPN需要安装客户端,SSL VPN可以有客户端,也可以没有客户端。如果访问基于浏览器的web应用,只需要浏览器就可;如果对TCP或者L3VPN资源进行访问就需要安装插件或者虚拟网卡
**支持NAT:**IPsec VPN只能在ESP+隧道模式下支持NAT穿越;可以用NAT-T技术,为ESP增加UDP头部,实现端口复用(源端口不用固定500,只需要目的端口固定4500)。SSL VPN不需要考虑穿越问题,因为SSL数据本身是基于TCP的443,本身就是TCP,支持NAT穿越
分析SSL VPN建立不成功的原因
SSL VPN建立不成功
**网络问题:**路由不可达、网络延迟或不稳定。
**认证失败:**用户名密码错误、证书问题。
**配置不当:**网关或客户端配置错误。
**安全策略:**防火墙规则阻止、安全策略限制。
渗透测试
渗透测试是什么?过程?
定义
通过模拟黑客的技术与方法,挫败目标系统安全控制措施并发现安全隐患的一种安全测试与评估的方法。全面找出安全隐患问题,为信息安全解决方案提供有效的依据。
过程
**前期交互:**与客户进行交互讨论,确定渗透测试范围、目标、限制条件以及服务合同、授权函等细节
**情报收集:**利用各种信息来源与搜索技术方法,尝试获取更多关于目标组织网络拓扑、系统配置与安全防御措施的信息
**漏洞分析:**找出可以渗透攻击的攻击点,或针对系统与服务进行安全漏洞探测与挖掘
**渗透攻击:**进行攻击行为,获取访问控制权
**后渗透攻击:**寻找客户组织的信息和资产,拖库、提权、上传木马后门、做跳板并横向攻击、参考日志并清除日志等
**报告生成:**渗透测试的过程详细描述;修补与升级技术方案
信息安全
终端面临的威胁以及防护方法
威胁
恶意软件:如病毒、木马、间谍软件等,可能窃取数据或破坏系统。
网络钓鱼:通过伪造的邮件或网站诱使用户泄露敏感信息。
勒索软件:加密文件并要求赎金才能恢复访问。
零日攻击:利用尚未修补的漏洞进行攻击。
数据泄露:通过不安全的应用程序或存储介质暴露敏感信息。
身份盗用:盗取用户身份信息进行欺诈或未经授权的操作。
网络嗅探:拦截和监听网络流量以获取敏感数据。
防护
防火墙:配置和维护本地防火墙,限制不必要的入站和出站流量。
IDS/IPS:部署入侵检测和防御系统,监控并响应异常行为。
杀毒软件:安装并定期更新杀毒软件,以防止恶意软件感染。
访问控制:使用强密码策略,实施多因素认证,限制用户权限。
操作系统和应用程序更新:及时安装操作系统和软件的安全更新和补丁。
基于TCP/IP风险有哪里?
缺乏数据源和完整性验证、身份验证不足、设计缺陷和漏洞
应用层: 漏洞,缓冲区溢出攻击,WEB应用的攻击,病毒及木马
**传输层:**TCP欺骗,TCP拒绝服务,UDP拒绝服务,端口扫描
**网络层:**IP欺骗,Smurf攻击,ICMP攻击,地址扫描
**链路层:**MAC欺骗,MAC泛洪,ARP欺骗
**物理层:**设备破坏,线路监听
MAC洪范、ARP欺骗
**MAC洪泛:**攻击者发送大量伪造MAC地址的数据包给交换机,使MAC地址表快速填满,导致交换机采取洪泛方式转发数据,攻击者可监听到洪泛流量获取敏感信息
防范:配置过滤规则,只允许特定MAC通过。设置交换机端口学习MAC地址的上限。
**ARP欺骗:**攻击者伪造ARP数据包,欺骗网络设备更新ARP缓存,导致网络通信被重定向或中断,实现中间人攻击(引导到错误的MAC地址)或资源耗尽(大量ARP请求包)
防范:设置静态ARP(手工绑定主机的arp表);DHCP snooping技术;部署下一代防火墙
防御DOS攻击有哪些方法?
带宽扩展:增加带宽以应对流量峰值
流量过滤:清除恶意流量,允许正常流量通过
流量限制:限制每个IP地址的流量速率,防止单一来源过载
负载均衡:将流量分配到多个服务器,减轻单一服务器负担
反向代理:使用代理服务器处理流量,隐藏和保护真实服务器
内容分发网络(CDN):通过缓存和分发内容,分散流量负载
入侵检测和防御系统(IDS/IPS):监控流量并检测异常行为
基于ICMP攻击有哪些
**Ping of Death攻击:**通过构造过大的ICMP Echo请求报文,导致接收方缓冲区溢出或系统崩溃(Bomb)
**ICMP重定向:**攻击者伪造ICMP重定向报文,诱使受害主机修改路由,将数据包重定向到攻击者的地址
**Smurf攻击:**通过向广播地址发送大量ICMP Echo请求报文,并将源IP地址伪造为受害者的地址,导致大量主机响应这些请求,使受害者遭受大量回应报文的攻击(Flood、DoS)
防范措施
限制ICMP流量:通过配置防火墙规则,限制ICMP报文的流入和流出,尤其是针对那些大量、频繁的ICMP请求。
启用ICMP速率限制:许多网络设备支持ICMP速率限制功能,可以设置单位时间内允许的ICMP请求数,从而防止攻击者发送大量ICMP报文。
部署入侵检测系统(IDS):IDS能够实时监测网络流量,发现异常行为并及时报警,对于ICMP洪水攻击等网络攻击具有很好的检测效果。
基于TCP攻击有哪些
**SYN洪泛:**SYN Flood通过发送大量伪造的TCP SYN请求而不完成三次握手,使服务器资源耗尽于保持大量半连接状态,导致拒绝服务。
防范:设置SYN Cookie,快速识别并丢弃重复的SYN请求;缩短SYN-ACK的超时时间,快速释放半连接;使用防火墙过滤异常SYN请求。
**RST攻击:**已建立正常连接,攻击方伪造其中一个IP地址向对方发送RST置位报文,断开连接,前提是得知IP地址与端口号
防范:加强访问控制,使用加密通信,部署入侵检测系统(IDS)和入侵防御系统(IPS)
**会话劫持:**会话劫持是指攻击者通过某种方式获取到通信双方的会话信息(如会话ID),然后伪装成其中一方进行通信,窃取或篡改传输的数据。
防范:使用加密通信协议(SSL/TLS);强化身份验证机制;确保通信双方的身份真实可靠。定期更换会话密钥和会话ID
缓冲区攻击是什么
向固定长度的缓冲区填入适量的恶意代码,使指针溢出,从而指向恶意代码,并执行
防范:严格输入验证,确保输入数据长度不超出缓冲区大小;修补系统和软件的已知漏洞
信息安全五要素
机密性:也称保密性,确保信息不暴露给未授权的实体或进程。
完整性:确保信息在传输、存储或处理过程中不被非法篡改
可用性:确保得到授权的实体在需要时能够访问和使用所要求的数据或服务
可控性:对信息流向及行为方式的控制能力
不可否认性:确保信息发送方和接收方不能否认自己曾进行过的操作(数字签名、时间戳、审计日志等)
介绍勒索病毒和僵尸病毒
**勒索病毒:**勒索病毒加密用户文件或锁定系统,要求支付赎金以恢复数据。通过邮件、网站、软件漏洞等方式传播,对个人和企业造成经济损失。
**僵尸病毒:**僵尸病毒感染大量计算机形成僵尸网络,黑客控制这些计算机进行非法活动,如DDoS攻击、数据窃取、非法牟利等。通过扫描、复制和隐蔽传播感染计算机。
介绍僵尸网络形成的原理、危害、防范
原理
①攻击者通过各种途径传播僵尸程序,如利用系统漏洞、发送携带病毒的邮件、在恶意网站上植入病毒等,以感染互联网上的主机;
②当主机被僵尸程序感染后,它们会变成"肉鸡"。这些被感染的主机将通过一个控制信道接收攻击者的指令,从而感染更多主机。
③随着越来越多的主机被感染,攻击者可以通过控制信道对这些主机进行远程操控,形成一个庞大的僵尸网络。
危害:发起DDoS攻击;发送垃圾邮件,传播恶意软件;窃取用户数据,进行欺诈活动。
防范:安装并定期更新安全软件;及时修补系统漏洞;谨慎处理邮件和链接
FW是如何防范僵尸网络的
流量监控:监控和分析流量模式,识别异常流量或通信行为。
IP过滤:阻止已知僵尸网络控制服务器和恶意IP地址。
端口和协议控制:关闭不必要的端口,限制异常协议,减少攻击面。
流量速率限制:限制每个IP的连接数和流量速率,防止DDoS攻击。
深度包检查:检查数据包内容,识别并拦截恶意负载。
行为分析:检测应用层的异常行为,如异常登录尝试。
更新与补丁管理:定期更新防火墙规则和补丁,以应对新兴威胁。
内网主机上不了网,分析原因
配置错误:检查IP地址、子网掩码、网关和DNS设置是否正确。
设备问题:确保路由器、交换机、DHCP服务器、DNS域名解析器正常工作。
安全设置:防火墙或ACL规则过严,阻止访问。
网络攻击:DDoS攻击、ARP欺骗、恶意软件、DNS劫持
等级保护
等级保护是什么?
**定义:**等保就是对信息和信息载体按照重要性等级,分级别进行保护的一种工作
**流程:**定级备案、建设整改、等级测评、监督检查
分级保护
**一级:**自主建设,可能会有少量的产品
**二级:**指导保护,如市级信息系统,非核心业务系统,与核心业务无关(两年检查一次)
**三级:**监督保护,如省级信息系统,核心业务系统等,与业务密切相关(一年检查一次)
**四级:**强制保护,如中央核心系统,重要行业核心业务系统(半年检查一次)
**五级:**涉密
建设整改
**管理要求:**安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理
**技术要求:**物理安全、网络安全、主机安全、应用安全、数据安全
等保2.0
2019年《网络安全等级保护基本要求》新国标发布,等级保护建设正式进入 2.0时代
**管理要求:**安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理
技术要求
**安全物理环境:**防水、防电、防潮等
**安全通信网络:**网络架构、通信传输检验完整性、可信认证
**安全区域边界:**入侵防范、安全审计、边界防护、访问控制、可信验证
**安全计算环境:**身份鉴别、访问控制、入侵防范、数据备份、数据完整性
**安全管理中心:**系统管理、安全管理、审计管理、集中管控
上网行为
上网行为管理是什么?
用于控制内网用户的上网行为,一般用于互联网出口的用户认证、URL过滤、应用控制、流量管理、内容审计,其中用户认证分为本地认证和外部(AAA认证<认证、计费、审计>)可以防止员工占用正常业务带宽,防止用户访问恶意网站,防止信息泄露。
内网有个网站服务器,外网用户网页访问不了,如何排错?
底层:边界部署防火墙一般默认禁止所有,没有ACL放通或者配置错误;外网访问私网需要做静态NAT;路由没有或者写错。
应用层:用户做过特殊的SQL注入字符/扫描/XSS,违背了WAF的规则,把该用户IP禁用;
网站被渗透,把主页修改或者删除了
为了使网络更加安全,应该做些什么?
网络安全法:打击网络诈骗、黑客攻击等网络犯罪行为。
等级保护:根据敏感性和重要性,将信息系统分为不同的等级,实施相应的保护措施
部署安全硬件和技术
下一代防火墙(NGFW)、防毒墙(Anti-Virus Gateway)、入侵检测系统/入侵防御系统(IDS/IPS)、上网行为管理(URL Filtering/ Web Filtering)、虚拟专用网络(VPN)
移动接入
接入身份认证类型及原理
本地账户
根据终端用户认证的账户信息存储位置,可以将认证分为本地认证和外部认证
本地认证:认证的账户信息保存在设备本地;
外部认证:认证的账户信息保存在外部系统(AAA认证)
数字证书
数字证书包含用户身份信息、用户公钥信息、身份验证机构数字签名的数据;数字证书可分为签名证书和加密证书。
签名证书:主要用于对用户信息进行签名,以保证信息的真实性和不可否认性。
加密证书:主要用于对用户传送的信息进行加密,以保证信息的机密性和完整性。
LDAP认证
LDAP是存储了账户信息数据库的系统,可以通过标准的LDAP协议与该系统进行交互,实现验证终端身份的需求。
HTTP/HTTPS主/辅助认证
根据对端的接口要求构造请求发送到HTTP/HTTPS认证服务上,由HTTP/HTTPS进行响应并返回,然后根据他们返回的结果来判断是否认证成功。
硬件特征码认证
实现帐号和电脑硬件特征信息的绑定,某账号只能通过指定的电脑登录。
短信验证码认证
与运营商的短信网关对接,输入运营商提供的相关信息,即可对接
**介绍AC,以及它对URL、认证、**应用的控制原理
AC(访问控制器)
用于集中管理网络接入点(AP),实现网络访问的集中控制、认证、授权和计费等功能,提高网络的安全性和管理效率。
控制原理
URL控制:识别和过滤网络请求的URL,与预设规则匹配,阻止访问不安全或禁止的网站
认证控制:验证用户身份和权限,如密码认证、IP/MAC绑定等,确保合法用户才能访问网络
应用控制:制定应用控制策略,限制或允许特定应用程序的访问,保护网络资源和敏感信息
法律法规
介绍一下《网络安全法》
**时间:**2017.6.1实施
**组长:**主席
**中央网络安全与信息化领导小组:**网信办
作用
明确了运营者的身份:网络运营者、关键信息基础设施运营者
明确了监督部门:网信办负责统筹和监督网络安全工作的机构
明确了责任人:IT负责人、企业的法人
明确了相关的安全义务或要求:实施网络安全等级保护制度
明确了法律责任:(针对个人)不要做黑客,不做危害网络安全的活动
内容
总则;网络安全战略、规划与促进;网络运行安全;网络信息安全;监测预警与应急处置;法律责任;附则;共七章79条,注意第27、63条
Web安全
Web防护作用是什么?如何防护?
**作用:**保护网站/web服务器免受网络攻击;
如何防护
WAF(Web Application Firewall),主要功能有事前web防护、事后web信息泄露防护;
**工作原理:**对HTTP请求进行异常检测、增强输入验证、基于规则/异常的保护、状态管理。防止常见的Web攻击,如SQL注入、跨站脚本(XSS)、跨站请求伪造(CRSF)、文件上传、文件包含等
常见的web漏洞,原理及其防范是什么?
上传漏洞
攻击者上传恶意文件(如脚本),在服务器上执行不安全的操作。
防范:验证上传文件类型和内容;存储上传文件在隔离目录中,限制执行权限;使用文件名白名单或正则表达式验证文件名解析漏洞
攻击者利用解析过程中存在的漏洞(如路径穿越),访问未授权的文件或目录。
防范:对输入路径进行严格验证和规范化处理;避免在文件路径中使用用户输入;实施最小权限原则,只授予必要的文件访问权限SQL注入漏洞
SQL注入的原理是利用网站动态生成的SQL查询,通过在输入字段中插入恶意SQL代码,改变查询逻辑并获取或操控数据库中的数据
防范:使用参数化查询或预处理语句;对用户输入进行过滤和转义;实施最小权限原则,只授予必要的数据库权限8 不能命令执行漏洞
攻击者通过注入恶意命令,在服务器上执行不安全的操作
防范:避免在系统命令中直接使用用户输入;使用安全的库和API来处理系统命令;对用户输入进行严格验证和过滤文件包含漏洞
攻击者利用文件包含功能,访问或执行服务器上的敏感文件
防范:避免在包含路径中使用用户输入;使用白名单来限制可包含的文件路径;实施访问控制,限制敏感文件的访问权限XSS(跨站脚本)漏洞
攻击者将恶意脚本注入到网页中,窃取用户数据或劫持会话
防范:对所有用户输入进行转义和编码;使用内容安全策略(CSP)来限制脚本源;实施输入验证和输出过滤跨站请求伪造(CSRF)
攻击者诱导用户执行不安全的操作,例如提交伪造的表单
防范:使用CSRF令牌来验证请求的合法性;确保敏感操作需要用户身份验证
HTTP的工作过程?
工作过程
先URL地址解析http://www.baidu.com:80/index.html?name=tom\&age=1
可以解析出协议类型,主机名,端口号,对象路径等,在这一步可以将主机名进行DNS域名解析,等到主机的IP地址,封装HTTP数据包,客户端发起TCP3次握手建立连接。客户端发送HTTP请求,服务器端响应,服务器端收到请求之后,发给客户端请求的消息,将网站返回的网页展示给用户,关闭连接
无连接
因为HTTP协议是无连接的,所以完成一次响应以后就需要断开连接,而且他是无状态的,对事务处理没记忆力,如果后续需要处理前面的信息就得进行重传(可以使用Cookie和Session解决这个问题)
报文内容
HTTP请求Request、响应Response
请求报文里面有请求行(请求方法,具体资源,HTTP类型)、请求头(域名)、User-Agent/客服端信息、Cookie 保持会话、由服务器分配(唯一);空白行,代表请求头结束 后面就是请求正文。
请求方法
get 方法:发送一个请求来取得服务器上的某一资源
post 方法:向 url 指定的资源提交数据或附加新的数据
put 方法:put 方法跟 post 方法很像,也是向服务器提交数据,但是 put 方法指向了资源在服务器上的位置,而 post 方法没有
head 方法:只请求页面的首部
HTTP 状态码
1xx:请求已被成功接收,继续处理。
2xx:请求被成功提交,200客服端请求成功
3xx:客户端被重定向到其他资源,302重定向
4xx:客服端错误状态码,格式错误或者不存在资源。403服务器收到请求,但是拒绝提供服务、401请求未经授权、400客服端语法错误、404资源不存在
5xx:服务器内部错误,500服务器内部错误、服务器当前不能处理
HTTP 状态管理
Session:存储在服务器,http会话状态保存在服务器端的技术,使用session维持会话,每个session分配一个session-id,借助cookie来传递session-id
Cookie:在服务端产生,存储在客户端,一种在客户端保持HTTP状态信息的技术。 由http响应报文中set-cookie字段发给客户端,客户端通过http请求包中cookie字段回送给服务器,一个WEB站点可以给一个WEB浏览器发送多个Cookie,一个WEB浏览 器也可以存储多个WEB站点提供的Cookie。识别属于哪个session,身份权限的依据/凭证
网页防篡改如何实现?
使用文件保护系统和下一代防火墙
文件监控
在服务端上安装驱动级的文件监控软件,监控服务器上的程序进程对网站目录文件进行的操作,不允许的程序无法修改网站目录内的内容.
二次认证
管理员认证流程:
访问网站后台http://www.xxx.com/dede/
AF重定向到 提交管理员邮箱地址的认证页面
提交接收验证码的管理员邮箱man@sina.com
发送带有验证码的邮件至man@sina.com
管理员登录邮箱获取验证码
管理员提交验证码通过认证
通过验证后自动跳转到后台页面
黑客认证流程:
第3步时,黑客无法提交正确的管理员邮箱 则无法正常登录网站后台,此过程除非黑客通过社工手段获取管理员邮箱地址,并且破解管理员邮箱后才可破解后台登录。
Cookie的作用?可能遇到的危害?如何防范?
**Cookie的作用:**跟踪用户的登录状态;存储用户的偏好设置;记录用户行为
**可能的危害:**未加密的Cookie可能暴露用户的个人信息和浏览习惯;攻击者可能利用用户的Cookie来伪造请求;利用恶意脚本可以窃取存储在Cookie中的敏感信息。
防范措施: 减少Cookie的有效期;限制Cookie仅在指定的域名下发送,防止跨站点请求;使用
Secure和HttpOnly标志加密Cookie,防止泄露
SQL注入漏洞的原理?分类和防范?
原理
未对用户提交的数据进行过滤,直接进行SQL语句的拼接,改变了原有SQL语句的语义,传进数据库引擎中执行;一切用户可控参数的地方都可能存在,如:URL路径、GET/POST请求参数 、HTTP请求头
分类
按数据类型分类:数字型/字符型注入 select * from table where id = 1/'test'
按返回结果分类:显错注入,返回错误信息来判断结果;
盲注:基于时间的盲注,查看时间延迟语句是否执行,页面返回时间增加了
基于布尔的盲注:返回页面来判断条件的真假(order by exists)
其他分类:POST注入、Cookie注入、搜索注入、联合查询型注入.
防范
数据库信息加密;使用安全参数;
用户进行分级管理,严格控制用户的权限;
通过专业的扫描工具,可以及时的扫描到系统存在的相应漏洞;
禁止将变量直接写入到SQL语句,必须通过设置相应的参数来传递相关的变量;
在具体检查输入或提交的变量时,对于单引号、双引号、冒号等字符进行转换或者过滤。
SQL注入过程是什么?
发现注入点:攻击者识别输入字段或参数(如登录表单、搜索框)可能未经过滤。
构造恶意输入:攻击者在输入字段中注入恶意SQL代码(如
'OR '1'='1),改变原始语义执行注入:应用程序将恶意代码与原始SQL查询一起发送到数据库服务器执行
获取结果:数据库执行注入的SQL代码并返回结果,攻击者可能会获取敏感信息、修改数据或执行其他恶意操作
利用漏洞:根据获得的结果进一步操控数据库,如获取用户数据、修改权限或删除记录。