网站快速盈利,怎么做hello官方网站,北京工商注册核名,360竞价推广怎么做就业概述
网络安全工程师/安全运维工程师/安全工程师 安全架构师/安全专员/研究院#xff08;数学要好#xff09; 厂商工程师#xff08;售前/售后#xff09; 系统集成工程师#xff08;所有计算机知识都要会一点#xff09; 学习目标 前言
网络安全事件 蠕虫病毒--数学要好 厂商工程师售前/售后 系统集成工程师所有计算机知识都要会一点 学习目标 前言
网络安全事件 蠕虫病毒--具备蠕虫特性的病毒;
1.繁殖性特别强(自我繁殖)
2.具备破坏性 木马--木马屠城故事--木马本身不具备任何破坏性.
用于控制后门的一个程序
后门:指的是测试人员在目标系统中植入的一种隐藏式访问途径,可以使得在未来得到未授权的情况下重新访问系统 网络安全--已经不在局限于网络世界,而是提升到了工控安全,网络空间安全.
启明星辰(工控安全,被国家收编)
APT攻击---高级可持续攻击,这种攻击行为,不是一次性就完成的,而是分多次来进行的. 供电通过网线 针对视像头做的安全防护措施 华三--鹰视 锐捷--ISG 迪普--视频安全网关 针对前端摄像头做的一个准入认证 安全防护做了,出了问题是产品防护不到位,你不会存在责任;但是如果没做,那么所有的责任都是你的
----做了是天灾,没做是人祸 DDos攻击:分布式拒绝服务攻击--借助成千上万台被入侵后,且安装了攻击软件的主机同时发起集团式攻击行为
(tcp请求报文) 网络安全比较重视的单位 1,金融证券 2,政府 3,公安 4,国家电网,中国烟草 5,涉密单位 网络安全厂商 吞吐量(安全设备性能的指标):向内向外发送接受流量的总和
带宽值要小于等于三分之一的吞吐量 网络兼安全厂商:
1.思科---防火墙,AMP(高级恶意软件防护),电子邮箱安全,终端安全,云安全,身份认证-ACS
Cisco在安全方面的出货量,全世界第一,RFC标准 2.华为---五大业务群(3大BG2大BU);防火墙(x86),抗D,大数据分析,安全管理 3.华三---H3C((换3次); 宇视科技(监控); 宏杉(存储); 迪普(安全)-----安全,大数据,云计算 4,锐捷----教育(中小学) ,无线 安全网关VPN,审计类产品数据库审计,堡垒机.漏扫,应用防护类WAF 5.迪普----(所有设备都是插卡型的),交换机看家本领安全无线 6.迈普-----OEM贴标 传统的安全厂商
1.奇安信----政法/军队/公安90% 看技术说话----被中电入股安全设备网闸判断一个安全公司是否厉害工资低但是管吃住 2.深信服----企业级安全/云计算/IT-----加班异地化工资高----WOC广域网优化 3.启明星辰 4.天融信--老牌安全公司----防火墙被OEM 5.绿盟---政府/运营商/能源/互联网/医院------抗D异常流量清洗业内顶尖----黑客起家 互联网厂商
甲方公司 安全产品的介绍 防火墙 最基本的功能实现网络区域之间的逻辑隔离。以及VPN技术。
NGFW下一代防火墙
虚拟化底层---Docher技术 IPS
早期存在IDS和IPS之分IDS--入侵检测系统IPS--入侵防御系统。在检测到攻击流量后可以主动阻断流量 防火墙 偏向于边界安全管理主要做的是边界隔离 IPS 能够对内网的流量进行分析检测一般部署是在核心交换机上做镜像将全网的流量导入到IPS从而进行分析检测。 IPS根据库来分析检测
0-day补丁发布之前已经被掌握或公开的漏洞
二层回退指的是当IPS串行在网络中如果检测引擎出现故障会导致网络流量中断阻塞而具备该功能后可以直接跳过检测引擎不进行数据检测直接转发流量。--bypass 负载均衡LB F5---提出ADN概念----应用交付网络。----利用相应的网络优化/网络加速设备确保用户的业务应用能够快速、安全、可靠的交付给内部设备或者外部服务集群。
应用优化 TCP连接复用技术---属于最常用的一种应用优化技术---将原本多个用户访问服务器的连接迁移到LB设备身上然后用LB设备与服务器建立连接将原本的多个连接变为少量连接的效果。-------》进行了流量整合。 HTTP压缩--LB产品相当于是一个代理设备。压缩原因降低网络传输的数据量提高用户访问浏览器的速度。 健康检查---负载均衡器对后端设备提供实时的应用探测一旦发现后端设备发生故障立即将其从转发队列中剔除同时将请求转发到正常的后端设备。 流控产品ACG
---应用控制网关实际上就是H3C的上网行为控制设备 流控设备 一种专业的流量控制设备用于实现基于应用层流量控制属于对于七层流量的管控 作为网络优化设备-------在用网高峰期限制用户通过迅雷下载文件最高10Mbs空闲时间随意--更倾向于网络的限速和优化 针对认证系统联动----实现用户按流量计费 万盛 上网行为管理 指的是帮助互联网用户控制和管理对互联网的使用。 作为安全设备---倾向于管理和控制------中小型企业 深信服、网康 总结广义上说行为管理设备也属于流控但是主要用途是记录和控制网络中的用户行为。限制用户使用某些软件等其流控能力较弱。狭义来说专用的流控设备的目的是优化带宽通过限制带宽占用能力强的应用来保护关键应用一般应用在大流量环境中。 ACG功能
业务快速部署可以将某些APP提前下载到该设备上行为管理、流量限速业务可视化---对流量进行审计--你做了什么事情都会被设备记录下来。--上网行为管理有时候也可以做一些日志审计或行为审计的功能。 上网行为管理底层技术 DPI---深度报文检测 一种基于应用层的流量检测和控制技术通过深入读取IP报文载荷的内容来对应用层进行重组得到整个应用程序内容---按照实现设定好的规则来对这个流量进行管理 这个技术可以识别单个数据包的内容 DFI---深度流检测 属于DPI的衍生技术通过分析网络数据流的行为特征来识别使用类型。 区别 1、范围不同 2、颗粒度不同--DPI针对数据报文进行深度分析包括头部和载荷DFI对整个流量进行分析 3、应用场景不同 包检测技术---传统的防火墙基于五元素来进行报文检测 日志---事后行为审计 事前--梳理资产分析这些设备的风险 事中--是在网络层和应用层两个层面同时下手阻断风险事件 事后--属于实时的检测内部的异常行为点从而快捷定位 很多安全产品不仅仅是上网行为管理设备都会保存有大量的日志报表可以供事后网络安全人员排查问题点。并且日志信息是非常精细化的。 WAF--web应用防火墙 专业应用层防护产品有三种 web应用防火墙 视频安全网关 数据库审计 安全取证指的是在网络攻击或数据泄露等安全事件中收集、保证、分析电子证据以重建攻击过程并协助法律程序。
cc攻击-----属于DDos的一种通过使用代理服务器向受害服务器发送大量看起来合理的请求导致服务器资源耗尽无法提供服务。---原理在全世界控制肉机然后让肉机去发起攻击的行为就是cc攻击 WAF---三大核心价值
确保网站业务可用----保证所有用户都可以正常访问网页不会出现故障防范数据泄露/网页篡改--防止黑客修改网页发表一些不正当言论优化业务资源--负载均衡 数据库审计 审计产品
1.内容审计
2.数据库审计
3.运维审计 数据库审计系统的核心点
1.记录违规行为
2.漏洞扫描 逻辑采集数据库流量进行解析还原对流量行为进行分析再通过规则和报表的手段发现数据库的违规行为。--该系统一般也是在核心交换机旁挂 异常流量清洗
抗D-抗DDos攻击产品一般被称为异常流量清洗设备--绿盟阿里巴巴
异常流量---来自于互联网的肉机、僵尸网络在恶意操作人员的控制下能产生大量的垃圾流量致使目标资源耗尽无法提供正常的对外服务。-----不是病毒、也不是木马这种异常流量是一种正常的访问行为。
DDos攻击非常难以防护。一般的安全设备防火墙是很难检测该流量的。 首包丢弃---利用协议重传机制丢弃首个报文并记录请求信息当再次来访时则正常放行从而过滤僵尸网络。 抗D产品部署方式1.串行部署2.旁挂部署 堡垒机
运维审计系统
单点登录--运维人员要对多台设备进行管理时只需要登录到堡垒机上由堡垒机代替填写具体的交换机或网络设备的登录信息从而对设备进行管理运维审计--会把管理人员任何的操作全部记录下来。可以录屏。1、堡垒机的运维审计可以做到自主判断。2、一但堡垒机发现了危险行为会通过ACL进行阻断并且1切断用户登录会话并且通过邮件等方式通知管理人员。 在等保2.0政策中三级以上都要求对运维操作进行审计也就意味着三级以上等保项目中都要上堡垒机。 漏扫产品 漏洞扫描产品逻辑自己对自己进行扫描从而在黑客真正扫描之前发现本身的漏洞解决相关问题。 黑盒测试---测试人员在不了解系统内部结构和源代码的情况下进行渗透测试。只能基于外部信息和系统接口进行攻击目的是为了模仿真实的外部威胁 灰盒测试---测试人员有部分系统内部结构和源代码的情况下进行渗透测试。介于两者之间有针对性的一种测试行为 白盒测试---测试人员在充分了解系统内部结构和源代码的情况下进行渗透测试。可以直接 测出系统的所有信息。 各厂商的漏扫产品
绿盟极光安恒明鉴启明星辰天镜 安全隔离与信息交换产品--网闸 网闸是从物理层面进行网络隔离。在默认情况下拒绝任何一种跨网络访问。网闸的本质是实现了物理层和数据链路层的断开。 网闸和防火墙的区别 防火墙基于逻辑隔离网闸是在物理层面进行隔离。 1.当内网用户需要将文件传输给外部时用户通过某个安全加密协议进行数据传输将文件传输给网闸而网闸收到该数据后首先查找本地的配置信息来检测该文件的发送端是否是允许发送文件的用户如果不是则丢弃文件。如果是则将文件进行整理
2.网络隔离模块一般是定时与内外网处理单元进行连接 当网络隔离模块和内网处理单元连接时将文件发送给隔离模块---并非是“包交换”的逻辑---意味着并非是执行的TCP/IP协议栈逻辑而是某种私有协议的摆渡协议。 对于比较大的文件在传输过程中是被分为一个个小的片段传输。 经过多轮传输后外网处理单元才能获取到完整的文件信息
3.外网处理单元需要再一次对文件进行检查当所有规则都符合后会将文件放置在一个特殊的文件夹。---该文件夹只允许外网某个经过授权的用户进行访问。 总结网闸的特点包括没有通信连接、没有命令、没有协议、没有TCP/IP连接没有应用连接没有包交换只有文件摆渡。--对固态介质只有读写两个操作。这种设计使得网闸可以在物理上实现隔离。 可以实现真正的安全。 网闸架构---21架构模式内网处理单元外网处理单元网络隔离模块必须保障网络隔离模块与内外网处理单元之间的开关没有同时闭合。---实现了物理层隔离至于数据链路层的隔离是基于总线型读写技术。 防火墙的逻辑是保证连接联通的情况下尽可能的安全而网闸的逻辑是如果不能保证安全的情况下则断开连接。 前置机 光闸---一种有网闸基础上发展而来的是一种基于光的单向性的单向隔离软硬件系统 态势感知---感知安全主动防御
探针---流量采集器 其他 加密机---网络加密算法服务器----一般在涉密单位---使用国密算法、使用国密芯片--所有的内容都属于国密标准 主要是为了保护通过互联网传输的一些高密或机密文件---加解密 CIA角度 C---数据机密性 I ---数据完整性 A---数据可靠性 NAC---网络准入控制系统 确保只有经过授权和符合安全策略的设备才能接入网络。 接入设备的身份认证--MAC、IP、用户名、密码、设备接入端口、所在VLAN、U盘认证、智能卡数字证书...... 接入设备的安全检查--下放某些指令 数据备份和恢复产品---备份一体机 灾备的最后一道防线 等保从1级到4级对备份都是有严格要求从备份到灾备从本地到异地从重要数据、到全量数据。 零信任产品---默认情况下不应该信任网络内部和外部的任何人/设备/系统需要基于认证和授权重构访问控制的信任基础。---持续验证永不信任。
