前言
计算机病毒种类
蠕虫病毒--->具备蠕虫特性的病毒;1.繁殖性特别强(自我繁殖);2.破坏性
木马- -->木马屠城故事--->木马本身不具备任何破坏性。用于控制后门的一个程序(后门--->指的是测试人员在目标系统中植入的一种隐藏式访问途径,可以使得在未来未得到授权的情况下重新访问系统)
木马本身不具备破坏性。木马操作:1.植入后门;2.控制设备窃取信息
木马不是病毒,木马相当于后们
后门---是测试人员在目标系统中植入的一种隐蔽的访问途径;可以使其在未经授权的情况下访问系统。
网络安全--->已经不再局限于网络世界,而是提升到了工控安全、网络空间安全。
APT攻击--->高级可持续攻击;这种攻击行为,不是一次性就完成的,而是分多次来进行的。
华三--鹰视
锐捷--ISG
迪普--视频安全网关 ---针对前端摄像头做一个准入认证
安全防护做了,出了问题是产品防护不到位,你不会存在责任;但是如果没做,那么所有的责任都是你的。--- 做了是天灾,没做是人祸。
DDoS攻击:分布式拒绝服务攻击--->借助成千上万台被入侵后,且安装了攻击软件的主机同时发起的集团式攻击行为。一般都是大量的服务请求报文。大量的去消耗服务器的资源。最终导致服务器无法给正常的用户提供服务。
1、金融证券
2、政府
3、公安
4、国家电网、中国烟草
5、涉密单位
思科--防火墙(PIX)、AMP(高级恶意软件防护)、电子邮件安全、终端安全、云安全、身份验证-ACS思科,在安全方面的出货量,全世界第一;RFC标准
华为--五大业务群(3大BG+2大BU);防火墙、抗D、大数据分析、安全管理;
华三--H3C(换3次);宇视科技(监控);宏杉(存储);迪普(安全);-->安全、大数据、云计算
锐捷--- 安全网关VPN、审计类产品数据库审计、堡垒机、漏扫、应用防护类WAF
安全产品概述
防火墙--->在保证数据通讯的基础上,在去尽可能的考虑安全性。最基本的功能,就是可以实现网络区域之间的逻辑隔离。
以及VPN技术
虚拟化底层---Docker技术--->
IPS产品-->早期,存在IDS和IPS之分,IDS--入侵检测系统;IPS--入侵防御系统。在检测到攻击流量后,可以主动阻断该流量。
防火墙:
偏向于边界的安全管理,主要做的是边界隔离
IPS:
能够对内网的流量进行分析检测;一般部署是在核心交换机上旁挂,然后再核心交换机上做镜像,将全网的流量导入到IPS,从而进行分析检测。
LB---负载均衡设备;
优势:1.扩展网络设备和服务器的带宽;2.增加吞吐量,加强网络数据的处理能力;3.提高网络可用性
分类:服务器、链路、全局
0-day:补丁发布之前,已经被掌握或公开的漏洞
二层回退:指当IPS串行在网络中,如果检测引擎出现故障,会导致网络流量中断阻塞;而具备该功能后,可以直接跳过检测引擎,不进行数据检测,直接转发流量。----一般被称为bypass功能。
F5--提出ADN概念---应用交付网络。---利用相应的网络优化/网络加速设备,确保用户的业务应用能够快速、安全、可靠的交付给内部设备或者外部服务集群。
TCP连接复用技术 ---属于最常用的一种应用优化技术---将原本多个用户访问服务器的连接,迁移到LB设备身上,然后又LB设备与服务器建立连接,将原本的多个连接变为少量连接效果。--->进行了流量整合。
HTTP压缩---LB产品,就相当于是一个代理设备。压缩原因:降低网络传输的数据量,提高用户访问浏览器的速度。
健康检查---负载均衡器对后端设备提供实时的应用探测,一旦发现后端设备发生故障,立即将其从转发队列中剔除,同时将请求转发到正常的后端设备。
流控设备ACG---应用控制网关,实际上就是H3C的上网行为管理设备。
流控设备 ---一种专业的流量控制设备,用于实现基于应用层流量控制,属于对于七层流量的管控
作为网络优化设备--->在用网高峰期,限制用户通过迅雷下载文件速度,最高10Mbps;空闲时间随意--更偏向于网络的限速和优化
针对认证系统联动---实现用户按流量计费上网行为管理 ---指帮助互联网用户控制和管理对互联网的使用。对网页访问的过滤、限制、隐私保护行为;用户行为分析。
作为安全设备--->倾向于管理和控制
中小型企业
深信服、网康
总结:广义上来说,行为管理设备也算属于流控,但是主要用途是记录和控制网络中的用户行为,限制用户使用某些软件等,其流控能力较弱。狭义上来说,专用的流控设备的目的是优化带宽,通过限制带宽占用能力强的应用来保护关键应用;专用的流控设备,一般应用在大流量环境中。
ACG功能
业务快速部署,可以将某些APP提前下载到该设备上
行为管理、流量限速
业务可视化---对流量进行审计---你做了什么事情,都会被设备记录下来。--->上网行为管理有时候也可以做一些日志审计或行为审计的功能。
DPI---深度报文检测
一种基于应用层的流量检测和控制技术,通过深入读取IP报文载荷的内容来对应用层信息进行重组,得到整个应用程序内容--->按照实现设定好的规则,来对这个流量进行管理
这个技术,可以识别单个数据包的内容。
DFI---深度流检测
属于DPI的衍生技术,通过分析网络数据流的行为特征来识别使用类型。
区别:
1、范围不同
2、颗粒度不同--DPI针对数据报文进行深入分析,包括头部和载荷;DFI对整个流量进行分析
3、应用场景不同
包检测技术---传统的防火墙基于五元组来进行报文检测
网络安全行业--全周期的安全防护手段--日志---事后行为审计
事前--梳理资产;分析这些设备的风险
事中--是在网络层和应用层两个层面同时下手,阻断风险事件
事后--属于实时的检测内部的异常行为点,从而快速定位和隔离
很多安全产品,不仅仅是上网行为管理设备,都会保存有大量的日志报表,可以供事后网络安全人员排查问题点。并且,日志信息是非常精细化的。
在任何地点,都不要在网络上乱发消息。
WAF---Web应用防火墙
主要是部署在网站集群服务的前端,专门保护网站。
专业应用层防护产品有三种
web应用防火墙
视频安全网关
数据库审计
安全取证:指的是在网络攻击或数据泄露等安全事件中,收集、保全、分析电子证据,以重建攻击过程,并协助法律程序。
CC攻击---属于DDoS的一种,通过使用代理服务器,向受害服务器发送大量看起合理的请求,导致受害服务器资源耗尽,无法提供服务。---原理:黑客在全世界控制肉机,然后让肉机去发起攻击的行为,就是CC攻击。
WAF---三大核心价值
确保网站业务可用---保证所有用户都可以正常访问网页,不会出现故障
防范数据泄露/网页篡改---防止黑客修改网页,发表一些不正当言论
优化业务资源--->负载均衡
审计产品:1.内容审计;2.数据库审计;3.运维审计
数据库审计系统核心点---1.记录违规行为;2.漏洞扫描
逻辑:采集数据库流量进行解析还原,对流量行为进行分析,再通过规则和==报表==的手段,发现数据库的违规行为。---该系统一般也是在核心交换机旁挂
抗D--抗DDoS攻击产品,一般被称为异常流量清洗设备。---绿盟
异常流量--->来自于互联网的肉机、僵尸网络,在恶意操作人员的控制下,能产生大量的垃圾流量,致使目标资源耗尽,无法提供正常的对外服务。---不是病毒、也不是木马,这种异常流量,是一种正常的访问行为。
DDoS攻击,非常难以防护。一般的安全设备,防火墙是很难检测该流量的。
首包丢弃--->利用协议重传机制,丢弃首个报文,并记录请求信息,当再次来访时,则正常放行,从而过滤僵尸网络。
抗D产品部署方式:1.串行部署;2.旁挂部署;
堡垒机---运维审计系统
单点登录---运维人员需要对多台设备进行管理时,只需要登录到堡垒机上,由堡垒机代替填写具体的交换机或网络设备的登录信息,从而对设备进行管理
运维审计---会把管理人员任何的操作,全部记录下来。可以录屏。
堡垒机的运维审计,可以做到自主判断。
一旦,堡垒机发现了危险行为,会通过ACL进行阻断,并且切断用户登录会话,并且,通过邮件等方式通知管理人员。
在等保2.0政策中,三级以上都要求对运维操作进行审计,也就意味着三级以上等保项目中,都需要上堡垒机。
漏洞扫描产品逻辑:自己对自己进行扫描,从而在黑客真正扫描之前发现本身的漏洞,解决相关问题。
黑盒测试---测试人员,在不了解系统内部结构和源代码的情况下进行渗透测试。只能基于外部信息和系统接口进行攻击,目的是为了模仿真实的外部威胁
灰盒测试---测试人员,有部分系统内部结构和源代码的情况下进行渗透测试。介于两者之间;有针对性的一种测试行为
白盒测试---测试人员,在充分了解系统内部结构和源代码的情况下进行渗透测试。可以直接测出系统的所有信息。
绿盟极光,安恒明鉴,启明星辰天境
安全隔离与信息交换产品----网闸
网闸,是从物理层面进行网络隔离 。在默认情况下,拒绝任何一种跨网络访问。网闸的本质,是实现了物理层和数据链路层的断开。
网闸和防火墙的区别
防火墙用于逻辑隔离;网闸是在物理层面进行隔离。1、当内网用户需要将文件传输给外网时,用户通过某个安全加密协议进行数据传输,将文件传输给网闸
而网闸收到该数据后,首先查找本地的配置信息,来检测该文件的发送端是否是允许发送文件的用户,如果不是,则丢弃文件。如果是,则将文件进行整理2、网络隔离模块一般是定时与内外网处理单元进行连接
当网络隔离模块和内网处理单元连接时,将文件发送给隔离模块--->并非是"包交换"的逻辑--->意味着并非是执行的TCP/IP协议栈逻辑,而是某种私有协议的摆渡协议。
对于比较大的文件,在传输过程中,是被分为一个个小的片段传输。
经过多轮传输后,外网处理单元才能获取到完整的文件信息3、外网处理单元需要再一次对文件进行检查,当所有规则都符合后,会将文件放置在一个特殊的文件夹。--->该文件夹只允许外网某个经过授权的用户进行访问。
总结:网闸的特点包括没有通信连接、没有命令、没有协议、没有TCP/IP连接,没有应用连接,没有包交换,只有文件摆渡 。--->对固态介质只有读写两个操作。这种设计使得网闸可以在物理上实现隔离。可以实现真正的安全。
网闸架构---2+1架构模式;内网处理单元+外网处理单元+网络隔离模块 ;必须保障网络隔离模块与内外网处理单元之间的开关没有同时闭合 。-->实现了物理隔离。;至于数据链路层的隔离,是基于总线型读写技术。
防火墙的逻辑是保证连接联通的情况下尽可能的安全;而网闸的逻辑是如果不能保证安全的情况下则断开连接。
前置机
光闸--一种有网闸基础上发展而来的,是一种基于光的单向性的单向隔离软硬件系统
态势感知---感知安全,主动防御。
探针---流量采集器
加密机---网络加密算法服务器---一般在涉密单位--使用国密算法、使用国密芯片--所有的内容都属于国密标准
主要是为了保护通过互联网传输的一些高密或机密文件。---加解密
CIA角度
C---数据机密性
I---数据完整性
A---数据可用性NAC---网络准入控制系统
确保只有经过授权和符合安全策略的设备才能接入网络。
接入设备的身份认证--MAC、IP、用户名、密码、设备接入端口、所在VLAN、U盘认证、智能卡、数字证书...
接入设备的安全检查--下放某些指令数据备份和恢复产品---备份一体机
灾备的最后一道防线
等保从1级到4级,对备份都是由严格要求,从备份,到灾备,从本地到异地,从重要数据、到全量数据。零信任产品---默认情况下,不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。----持续验证,永不信任。
第一章,信息安全概述
什么是信息?--->信息是通过施加于数据上的某些约定而赋予这些数据的特殊含义。
什么是信息安全?
ISO--->数据处理系统建立和采取技术、管理的安全保护,用来保护计算机硬件、软件、数据不因为偶然的或恶意的原因遭受到破坏。
美国--->防止未经授权的访问、使用、披露、中断、记录、破坏等行为
作用对象:数据本身
国家网络安全法--->通过采用必要措施,防范对网络的攻击、入侵、干扰、破坏和非法使用以及以外事故,使得网络处于稳定可靠的运行状态。保证网络数据的完整性、保密性、可用性
信息安全保障---如何来实现信息安全
信息安全的根源及特征
1、信息系统本身的复杂性,导致漏洞的存在是不可避免的
2、人为因素系统性
动态性
无边界
非传统
信息安全是无法避免,且没有参考的新的安全问题。
信息安全发展过程
第一阶段:通讯安全阶段
主要关注传输过程中的数据保护;
核心思维--->加密;密码学技术--->《图解密码学》第二阶段:计算机安全阶段
主要关注数据处理和存储时的数据保护;
核心思想--->预防、检测计算机系统用户执行未授权的行为
访问控制技术第三阶段:信息系统安全阶段
主要关注信息系统整体安全;
核心思维--->重点在于保护比"数据"更精炼的信息第四阶段:信息安全保障阶段
标准
国际--ISO、IEC
国内--CITS(信息技术安全标准化技术委员会)、CCSA中国通信标准化协会
其他--国际电信联盟、IETF
规范
ISO27001---属于ISO27000信息安全管理体系中的一部分
GB等级保护制度
第一级--信息系统受到破坏,对民众的合法权益造成损害,但不危害国家安全、社会秩序和公共利益
第二级--信息系统受到破坏,对民众的合法权益造成严重损害,或者对社会秩序和公共利益造成损害,但是不危害国家安全
第三级--信息系统受到破坏,对社会秩序和公共利益造成严重损害,或者对国家安全造成损害
物理安全、应用安全、数据安全、网络安全、主机安全
第四级--信息系统受到破坏,对社会秩序和公共利益或国家安全造成严重损害
第五级--信息系统受到破坏,国家安全造成特别严重损害
网络安全的脆弱性和常见的安全攻击行为
为什么网络 会有这么多的安全问题?----本质在于网络的开放性。
网络的美妙之处在于,你可以跟世界上的每一个人互联。但是可怕之处在于,世界上的每一个人可以跟你互联。
协议栈的脆弱性
TCP/IP模型--->TCP/IP协议簇
缺乏数据源验证
缺乏完整性验证机制
缺乏机密性保障机制
主动威胁和被动威胁
网络攻击行为--- 截获---嗅探、监听---被动威胁
篡改---数据包篡改---完整性
中断---拒绝服务-----可用性
伪造---欺骗--------真实性
网络层攻击ICMP攻击:ICMP重定向攻击;ICMP不可达报文攻击
传输层攻击
拒绝服务攻击---洪水攻击Flood攻击---DoS攻击
TCP SYN Flood攻击-->特点:使用携带有SYN标志位的数据片段来启动握手过程,但不会回复ACK报文。从而耗尽服务器资源。此时服务器收到正常的用户访问请求时,会丢弃该正常报文。
解决方式:主动关闭处于半连接状态的TCP会话。
应用层---DNS欺骗攻击
服务器或终端的脆弱性
本质来说,就是指代的操作系统的脆弱性
服务器一般需要支持多种服务,所以,其需要开启的端口也就比较多,则被利用的风险也就比较大。
人为原因、客观原因、硬件原因
缓冲区溢出攻击-->通过向程序的缓冲区写入超过预定长度的数据,造成缓存的溢出,从而破坏程序的堆栈,导致程序执行流程的改变。
对于终端而言,面临的安全问题,更多来自于使用终端设备的人。
常见的终端威胁
普通病毒
木马病毒
蠕虫病毒
勒索病毒--通过调用加密算法,对各类文件或计算机信息等内容进行封锁。
挖矿病毒--占用CPU或GPU等计算资源,自动建立后门,创建进程,来进行挖矿
特洛伊木马--在正常的程序中,注入木马信息,在用户启动程序后,同时木马信息启动,并在任务管理器中隐藏,以"系统服务"的方式来欺骗操作系统。-->打开某种特殊的端口
蠕虫病毒---不依赖宿主机,利用漏洞主动攻击,通过蠕虫网络隐藏攻击者的位置
宏病毒--一种寄生在文件或模板的宏中的计算机病毒
第二章,防火墙概述
墙,始于防,忠于守。--->墙给人带来安全的含义。
防火墙--->阻挡火灾,从一个区域蔓延到另一个区域 。--->引入到通信领域。用于两个网络之间的隔离。
防火墙主要用于保护一个网络区域免受另一个网络区域的网络攻击和网络入侵行为。
防火墙的本质是控制,位于网络的边界,对进出网络的访问行为进行控制。而路由器或交换机的本质是转发数据。
防火墙分类
任何防火墙---都是基于预定义的安全策略规则来实现对设备的保护。
iptables是一个免费的包过滤防火墙。
UTM---统一威胁管理;将传统的防火墙、入侵检测、防病毒、URL过滤.....功能全部融合到一台防火墙上,实现全面的安全防护。
1.访问控制越来越精确。
2.防护能力越来越强
3.性能越来越高
包过滤:在网络层对==每一个数据包==进行检查,根据配置的安全策略转发或丢弃数据报文。
基本原理:通过配置访问控制列表 实施数据包的过滤。基于五元组信息进行检测。
默认,不会放通任何数据流。
缺陷:1.速度慢,因为每一个报文都需要检测。2.只检查五元组信息,不检查会话状态或数据信息。
本质---是吧内部网络和外部网络用户之间进行的业务,由代理接管。只要用户通过安全策略检查,该防火墙将代表用户与真正的服务器建立连接,转发外部用户请求,并将真正服务器返回的响应会送给外部用户。
防火墙--->完全控制网络信息的交换。
早期防火墙---逐包检测机制;---状态检测机制-是包过滤技术的扩展 。--->基于连接的包过滤机制。
状态检测机制---不仅将每一个数据包看做是独立的单元,还需要考虑数据流前后报文的关联性 。--TCP三次握手--->减少了对数据报文的检测次数,提高了防火墙的转发效率。以一条流量为单位 。即对一条流量的第一个报文进行包过滤规则的检查,并将检查结果作为该条流量的=="状态"==记录下来。--->会话表。
会话追踪技术--->是在包过滤的基础上添加了会话表机制,数据报文需要查看会话表来实现匹配信息。
当一条数据流量通过了防火墙规则的检查后,并且允许放通,才会生成对应的会话表项。而当一个数据报文来到防火墙后,会先对会话表进行匹配,如果会话表匹配成功,则直接放通数据;如果没有会话表,则在按照防火墙规则进行检查。
下一代防火墙,基本的安全功能:状态检测、IPS、AV、WAF等功能。
其他功能:
