网络安全

常见的网络安全产品

1.防火墙：建立网络防护屏障，实现网络边界隔离，检测并阻断安全风险。

2.WAF：Web应用防火墙。保护Web应用免收攻击，过滤非法请求，增强网站安全。

3.防病毒网关：检测并清除进出网络的数据中的病毒和恶意内容，保障网络安全。

4.上网行为管理：主要用在内网的用户去访问互联网的场景，监控和管理员工网络行为，比如哪些页面可以访问，哪些页面不能访问；优化带宽使用；防止信息泄露。一般部署在网络出口。

5.IPS：入侵防御系统。实时检测并主动防御网络攻击。

6.IDS：监视网络传输，发现可疑活动并发出警报。

7.网闸：实现内外网物理隔离，数据转发采用摆渡的方式，安全检查与过滤。就安全性而言，网闸比防火墙更高。

8.4A系统：管理网络用户认证、授权、审计、计费，确保网络资源的合法使用。主要用在网络中，接入、管控的。一般在系统中都会部署。

9.蜜罐系统：吸引并捕获攻击者，收集攻击信息，分析攻击者的行为和手段。

10.态势感知平台：在大型网络中一般会去部署。实时分析网络安全态势，提供决策支持，及时应对威胁。

常见的安全威胁（1）--DDOS攻击

DDOS（分布式拒绝服务）攻击，是指攻击者通过控制大量僵尸主机，向攻击目标发送大量攻击报文(泛洪)，导致被攻击目标所在网络的链路拥塞，系统资源耗尽，从而无法向正常用户提供服务。

DDOS攻击种类

根据攻击报文类型的不同，可以分为TCP Flood、UDP Flood、ICMP Flood、HTTP Flood和GRE Flood等。

（1）TCP Flood:

利用TCP协议发起的DDOS攻击，常见的攻击有SYN Flood、SYN+ACK Flood、ACK Flood、FIN/RST Flood等。

（2）UDP Flood:

使用UDP协议发起的攻击，常见攻击有UDP Flood,UDP分片攻击等。

（3）ICMP Flood:

利用ICMP协议在短时间内发送大量的ICMP报文，导致网络瘫痪，或采用超大报文攻击导致网络链路拥塞。

1. HTTP Flood:

利用HTTP协议交互，发动HTTP Flood,或者HTTP慢速攻击等。

1. GRE Flood:

利用GRE报文发动的DDOS攻击，利用GRE报文的解封装消耗攻击目标的计算资源。

DDOS攻击安全防范

1.使用专业抗DDOS防火墙

2.使用高防CDN：“CDN”即内容分发网络。一般在部署服务的时候，都会使用CDN，即可以把某资源镜像的到很多结点去，结点数量多，那么带宽就可能越多，比较分散，攻击方就不太好攻击。

补充：“CDN”正常情况下用于大流量访问。

3.流量清洗：需要购买第三方服务，把一些攻击流量清洗掉。

4.增加网络带宽：是一种比较被动的方式。

5.配置流量限制策略

6.使用高性能网络设备和服务器

常见的安全威胁（2）--单包攻击

单包攻击不像DDOS攻击通过使网络拥塞，或消耗系统资源的方式进行攻击，而是通过发送有缺陷的报文，使主机或服务器在处理这类报文时系统崩溃，（比如，可能没有打补丁、升级等，那么在处理一些畸形报文的时候，可能会溢出、报错等导致系统崩溃）；或发送特殊控制报文、扫描类报文探测网络结构，为真正的攻击做准备。

1.扫描型攻击：攻击者运用ICMP报文探测目标地址，以确定哪些目标系统确实存活着并且连接在目标网络上；或攻击者对端口进行扫描探测，探寻被攻击对象目前开放的端口，从而确定攻击方式。

2.畸形报文攻击：攻击者通过发送大量有缺陷的报文，从而造成主机或服务器在处理这类报文时系统崩溃。典型的有：Teardrop攻击、Smurf攻击、Land攻击等。

3.特殊报文控制类攻击：一种潜在的攻击行为，不具备直接的破坏行为，攻击者通过发送特殊控制报文探测网络结构，为后续发起真正的攻击做准备。典型的有超大ICMP报文控制攻击、ip报文控制攻击等。

单包攻击安全防范

1.防火墙：在出口或边界部署。

2.IPS

3.在设备或平台上启用“深度包检测(DPI)”:用来检测这种包是有问题的，然后把它丢弃掉不处理它。

常见的安全威胁（3）--病毒入侵

一种可感染或附着在应用程序或文件中的恶意代码，一般通过邮件或文件共享等协议进行传播，威胁用户主机和网络的安全。病毒能够自我复制，但需要通过打开受感染的文件，启用宏等手动操作才能激活。

病毒入侵安全防范

1.使用防病毒网关：防止进出口的流量存在病毒，如果有病毒，流量就会被阻断。

2.使用专业的防火墙和防病毒软件

3.及时安装操作系统和应用程序的补丁和安全更新

4.备份重要数据：比如，可以防止或减缓勒索病毒带来的危害。

5.谨慎访问网站和下载文件

6.下心处理电子邮件

常见的安全威胁（4）--SQL注入

通过构建特殊的输入作为参数传入Web应用程序，而这些输入大都是SQL语法里的一些组合，通过破坏SQL语句的原始逻辑，进而执行攻击者所希望的操作。SQL注入漏洞属于高危型Web漏洞。

SQL注入安全防范

1.使用Web应用程序防火墙(WAF)

2.在Web站点，使用参数化查询：用户提交的数据不会直接转换为SQL语句，而是通过参数，做数据过滤

3.输入验证和过滤:比如一些特殊的关键字或标点符号等，把它过滤掉。

4.最小权限原则

常见的安全威胁（5）--XSS跨站脚本攻击

动态站点会受到一种名为“跨站脚本攻击”的威胁，而静态站点则完全不受其影响。

场景：

黑客首先在目标服务器上构建一个XSS恶意脚本，用户访问到了目标服务器，并且用户执行到了这个恶意脚本，目标服务器把XSS的一些相关信息包括正常页面返回给用户，用户就会被重定向到一台恶意服务器上，这台恶意服务器上部署了很多黑客软件，可以把用户的数据截获掉，将用户数据送到黑客。

XSS跨站脚本攻击安全防范

1.使用Web应用程序防火墙（WAF）

2.输入验证和过滤

3.输出编码

4.内容安全策略(CSP)

其他网络安全威胁

1. APT攻击：是一种非常隐蔽且复杂的网络攻击形式，其目标性强、持续时间长。主要包括以下阶段：侦察和策划、入侵、横向渗透、获取权限、数据窃取和控制。

防御：IPS、恶意代码检测、主机应用保护、大数据分析检测、安装安全补丁以防止漏洞、禁用不必要的服务和端口、威胁情报技术。

1. 一句话木马：是一种短小的、通常只有一行代码的恶意软件，用于在目标系统中执行攻击者的命令或代码。关键词“eval”。

防御：防火墙、WAF、IPS、反病毒软件、及时安装安全补丁、限制文件上传功能。

     3.0day漏洞：尚未被官方发现或尚未开发出安全补丁的漏洞。