网络安全基础知识

Python栈_基

已于 2024-01-11 11:03:38 修改

阅读量168

点赞数

文章标签： web安全安全

于 2023-09-05 14:45:25 首次发布

本文链接：https://blog.csdn.net/Java_Joker/article/details/132691908

版权

一、网络安全概述

1.1 定义

信息安全:
为数据处理系统建立和采用的技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。

网络安全：

防止未授权的用户访问信息
防止未授权而试图破坏与修改信息

1.2 信息安全特性

可用性：确保授权用户在需要时可以访问信息并使用相关信息资产
完整性：保护信息和信息的处理方法准确而完整
机密性：确保只有经过授权的人才能访问信息

1.3 网络安全的威胁

主动攻击
以各种方式有选择地破坏信息
添加、修改、删除、伪造、重放、乱序、冒充、病毒等
被动攻击
不干扰网络信息系统正常工作
侦听、截获、窃取、破译和业务流量分析及电磁泄露等

恶意攻击：特洛伊木马、黑客攻击、后门、计算机病毒、拒绝服务攻击、内外部泄密、蠕虫、逻辑炸弹、信息丢失篡改销毁

黑客攻击：黑客使用计算机作为攻击主体，发送请求，被攻击主机成为攻击对象的远程系统，进而被窃取信息。
特洛伊木马：特洛伊木马通过电子邮件或注入免费游戏一类的软件进行传播，当软件或电子邮件附件被执行后，特洛伊木马被激活。特洛伊密码释放他的有效负载，监视计算机活动，安装后门程序，或者向黑客传输信息。
拒绝服务攻击DoS：指故意的攻击网络协议实现的缺陷或直接通过暴力手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统停止响应甚至崩溃。这些服务资源包括网络带宽，文件系统空间容量，开放的进程或者允许的连接。
最常见的DoS攻击有对计算机网络的带宽攻击和连通性攻击。
（1）带宽攻击指以极大的通信量冲击网络，使得所有可用网络资源都被消耗殆尽，最后导致合法的用户请求无法通过。
（2）连通性攻击指用大量的连接请求冲击计算机，使得所有可用的操作系统资源都被消耗殆尽，最终计算机无法再处理合法用户的请求。
分布式拒绝服务攻击 DDoS：
（1）被攻击主机上有大量等待的TCP连接;
（2）网络中充斥着大量的无用的数据包;
（3）源地址为假,制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯;
（4）利用受害主机提供的传输协议上的缺陷反复高速的发出特定的服务请求，使主机无法处理所有正常请求;
（5）严重时会造成系统死机。
病毒：寄生在宿主文件中，将病毒代码嵌入到宿主文件中，针对本地程序或文件，宿主程序运行时被触发进传染。防治的关键是将病毒代码从宿主文件中摘除。
蠕虫：独立存在的程序个体，通过自身拷贝进行传染。针对网络上的其他计算机，通过系统漏洞进行传染。防治的关键是为系统打补丁。
漏洞：指硬件、软件或策略上的缺陷，这种缺陷导致非法用户未经授权而获得访问系统的权限或提高其访问权限。有了这种访问权限，非法用户就可以为所欲为，从而造成对网络安全的威胁。
区别于后门。后门：是软硬件制造者为了进行非授权访问而在程序中故意设置的万能访问口令，这些口令无论是被攻破，还是只掌握在制造者手中，都对使用者的系统安全构成严重的威胁。
漏洞与后门是不同的，漏洞是难以预知的，后门则是人为故意设置的。
TCP劫持攻击： A尝试和B建立加密会话，黑客劫持通讯，假装是B，然后和A交换密钥，然后假装是A和B建立会话。
IP欺骗：黑客更改原地址欺骗防火墙，防火墙允许数据包通过，将其误认为合法的通信，欺骗后的数据包进入内联网进行破坏。

1.4 网络安全的特征

保密性
网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。
保密性是在可靠性和可用性基础之上，保障网络信息安全的重要手段
常用的保密技术
(1) 物理保密:利用各种物理方法，如限制、隔离、掩蔽、控制等措施，保护信息不被泄露(锁好柜、关好门、看好人)
(2) 防窃听:使对手侦收不到有用的信息
(3) 防辐射:防止有用信息以各种途径辐射出去,例:防窥。
(4) 信息加密:在密钥的控制下，用加密算法对信息进行加密处理。即使对手得到了加密后的信息也会因为没有密钥而无法读懂有效信息
完整性
网络信息在存储或传输过程中保持不被偶然或蓄意地添加、删除、修改、伪造、乱序、重放等破坏和丢失的特性
完整性是一种面向信息的安全性，它要求保持信息的原样，即信息的正确生成、正确存储和正确传输
保障完整性的方法：
（1）良好的协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段
（2）密码校验和方法: 它是抗窜改和传输失败的重要手段
（3）数字签名:保障信息的真实性，保证信息的不可否认性
（4）公证:请求网络管理或中介机构证明信息的真实性
可靠性
（1）系统能够在规定条件和时间内完成规定功能的特性，是所有网络信息系统的运行和建设的基本目标。
（2）通过抗毁性，生存性与有效性进行衡量。
（3）可靠性是在给定的时间间隔和给定条件下，系统能正确执行其功能的概率。
（4）提高可靠性需要强调减少系统中断(故障)的次数。
可用性
（1）网络信息可被授权实体访问并按需求使用的特性。即网络信息服务在需要时，允许授权用户或实体使用的特性，或者是网络部分受损或需要降级使用时，仍能为授权用户提供有效服务的特性
（2）可用性是系统在执行任务的任意时刻能正常工作的概率，一般用系统正常使用时间和整个工作时间之比来度量
（3）提高可用性需要强调减少从灾难中恢复的时间
（4）是产品可靠性、维修性和维修保障性的综合反映。
不可否认性
（1）也称作不可抵赖性，在网络信息系统的信息交互过程中，确信参与者的真实同一性
（2）所有参与者都不可能否认或抵赖曾经完成的操作和承诺
保证不可否认性的方法：
（1）利用信息源证据可以防止发信方不真实地否认已发送信息，利用递交接收证据可以防止收信方事后否认已经接收的信息
（2）数字签名技术是解决不可否认性的手段之一
可控性
对信息的传播及内容具有控制能力
防止不良内容的传播

二、入侵方式

2.1 黑客

黑客(hacker) :指技术上的行家或热衷于解决问题, 克服限制的人
骇客(cracker):是那些喜欢进入其他人系统的人
骇客和黑客之间最主要的不同是:黑客们创造新东西，骇客们破坏东西。

2.1.1 入侵方法

（1）物理侵入:侵入者绕过物理控制而获得对系统的访问。对主有物理进入权限 (比如他们能使用键盘) 。方法包括控制台特权一直到物理参与系统并且移走磁盘(在另外的机器读/写)。
（2）系统侵入: 已经拥有在系统用户的较低权限。如果系统没有打最新的漏洞补丁，就会给侵入者提供一个利用漏洞获得系统管理员权限的机会
（3）远程侵入: 通过网络远程进入系统。侵入者从无特权开始这种侵入方式，包括多种形式。如果在他和受害主机之间有防火墙存在，侵入就复杂得多

2.1.2 系统的威胁

软件bug
软件bug存在于服务器后台程序, 客户程序，操作系统，网络协议栈。
系统配置
（1）缺省配置:许多系统交付给客户的时候采用的缺省的易用的配置
（2）懒惰的系统管理员:惊人数量的主机被配置成没有系统管理员口令
（3）生成的漏洞:事实上所有的程序可能被配置成一个非安全的模式
（4）信任的关系:侵入者常用“跳板”的方法利用信任关系攻击网络。一个互相信任主机的网络和他们最脆弱的环节一样安全。
口令解密
字典攻击:字典攻击可以利用重复的登陆或者收集加密的口令并且试图同加密后的字典中单词匹配
暴力破解(Brute Force Attacks): 同字典攻击类似，侵入者可能尝试所有的字符组合方式
监听不安全的通信
（1）共享媒体: 传统的以太网中, 你只要在线上启动 Sniffer就可以看到在一个网段的所有通信
（2）服务器监听: 在一个交换的网络里，如果入侵者可以在一个服务器(特别是做路由器的)安装sniffer程序，入侵者就可以使用得到的信息来攻击客户主机和信任主机。比如，你可能不知道某个用户的口令，通过在他登陆的时候监听Telnet会话，就可以得到他的口令
（3）远程监听: 大量的主机可以远端网络监控，且使用缺省的community
设计的缺点
TCP/IP 协议缺点
系统设计缺点

2.2 IP欺骗与防范

IP欺骗就是伪造数据包源IP地址的攻击，

它基于两个前提:

TCP/IP网络在路由数据包时，不对源IP地址进行判断— 可以伪造待发送数据包的源IP地址。目前黑客入侵攻击的重要手段之一。
主机之间有信任关系存在—基于IP地址认证，不再需要用户账户和口令。

2.2.1 TCP等IP欺骗基础知识

1. TCP数据报首部标志域

 URG:紧急数据标志，指明数据流中已经放置紧急数据，紧急指针有效;
 ACK:确认标志，用于对报文的确认;
 PSH:推标志，通知接收端尽可能的将数据传递给应用层，在telnet登陆时，会使用到这个标志;
 RST:复位标志，用于复位TCP连接;
 SYN:同步标志，用于三次握手的建立，提示接收TCP连接的服务端检查序号;
 FIN:结束标志，表示发送端已经没有数据再传输了，希望释放连接，但接收端仍然可以继续发送数据。

2. TCP三次握手过程

A发送带有SYN标志的数据段通知B需要建立TCP连接。并将TCP报头中的sequence number 设置成自己本次连接的初始值ISN。
B回传给A一个带有SYS+ACK标志的数据段，并告诉A自己的ISN，并确认A发送来的第一个数据段，将acknowledge number设置成A的ISN+1。
A确认收到的B的数据段，将acknowledge number设置成B的ISN+1。

3. 信任与认证
1 基于口令的认证:如SMTP(TCP 25)和远程登录 Telnet(TCP 23)，只通过帐号/口令认证用户;
2 基于IP地址的认证(即信任):登录主机的地址受到被登录服务器信任，则从该主机登录不要口令;如远程登录rlogin(TCP 513)，首先是基于信任关系的认证，其次才进行口令认证。

2.2.2 IP欺骗可行的原因

在TCP/IP协议组中，IP协议是非面向连接，非可靠传输的协议，IP数据包是进行松散发送的，并不是连续发送的，所以可以在源地址和目的地址中间放入满足要求的IP地址，(也就是说可以进行虚假IP 地址的提供)
在TCP/IP协议簇中， TCP是面向连接，提供可靠传输。
面向连接是两个主机首先必须建立连接，然后才能进行数据交换。
可靠性是有数据包中的多位控制字来提供，其中有两个是SYN和ACK

2.2.3 IP欺骗过程

IP欺骗步骤

选定目标主机
利用端口扫描，网络监听工具
看有哪些机器和目标主机进行TCP/IP连接
寻找目标主机信任的主机
选择好进攻的目标主机后，必须寻找到目标主机信任的主机
可以尝试显示目标主机的文件系统在哪里被export, 或者使用rpcinfo来分析有用信息
或者尝试目标主机的相邻IP地址，获取有价值信息
控制被信任的主机
黑客向被信任的主机的TCPA发送大量SYN请求，使得被信任主机的TCP/IP链接达到队列的最上限，从而无法响应目标主机的SYN请求
采样目标主机的TCP序列号，猜测数据包序列号，尝试建立连接
在此期间，黑客就有机会伪装成被信任主机的IP地址，将SYN请求返回给目标主机，
黑客利用网络监听和抓包软件，采样目标主机的 TCP序列号，并猜测目标主机的数据包序列号，尝试建立与目标主机的基于地址验证的应用连接。
建立连接，种植后门
一旦与目标主机建立TCP/IP连接，黑客就会使用命令，通过目标主机的安全性较弱的端口，种植后门程序
进行远程控制和非法操作
后门种植成功后，黑客一般会断开与目标主机的连接，并且停止对被信任主机的攻击，全身而退。黑客推出后，找寻合理时机，对目标主机进行远程控制和非法操作。

2.2.4 IP欺骗原理

序列号猜测
序列号猜测的重要性

攻击者X冒充受攻击目标A信任的对象B，远程连接A 的rlogin端口，如果能连接成功，不再需要口令就能登录A。
因为A对X请求的响应包返回给B，X不可能知道其中A的序列号，要想在图中的第5步完成三次握手并连接成功，他必须“猜”到A的序列号(ISN)。

序列号猜测的过程

X首先连接A的SMTP端口(X是A的合法的邮件用户，但不是它所信任的rlogin用户，因为邮件应用的安全级别相对不高 )，试探其ISN变化规律，以估算下一次连接时A的ISN值。
X必须马上按照图中3—5步的方法假冒B来与A建立rlogin连接。
1 X必须立刻进行欺骗攻击，否则其他主机有可能与A建立了新的连接，X所猜测的序列号就不准了。
2 当然就这样也不一定能一次猜测成功。

不同网络环境下的序列号猜测
1)若X和A及B在同一局域网中，从理论上说很容易实现IP欺骗攻击。因为攻击者X甚至于不用猜测A发送给B的数据包中包含的序列号——用嗅探技术即可。
2)若X来自于外网，要想猜测到A和B所在的局域网中传送的数据包中的序列号非常困难——理论可行。
3)美国头号电脑黑客米特尼克是第一个在广域网成功实现IP欺骗攻击的人。但当时的序列号相对现在非常容易猜测。

关于被冒充对象B
1)X首先必须对B进行DoS攻击，否则在图中第4步中B 收到A发送来的它未请求过的请求应答包，将向A返回RST报文而终止连接，黑客不能冒充连接成功。
2)X发送到A的rlogin端口的伪造数据包的源IP地址是 “假冒”了B的IP地址。
3)为何X不能直接将自己的IP地址修改为B的IP地址来连接到A的rlogin端口?
1 IP地址产生冲突; 2 外网X不能这样修改。

2.2.5 IP欺骗防范

使用较强壮的随机序列号生成器，要准确猜测TCP连接的ISN几乎不可能。
在边界路由器上进行源地址过滤，也就是说，对进入本网络的IP包，要检查其源IP地址，禁止外来的却使用本地IP的数据包进入，这也是大多数路由器的缺省配置。
禁止r-类型的服务，用SSH(专为远程登录会话和其他网络服务提供安全性的协议,传输的数据均加密) 代替rlogin这样的不安全的网络服务。
在通信时要求加密传输和验证。
分割序列号空间。Bellovin提出一种弥补TCP序列号随机性不足的方法，就是分割序列号空间，每一个连接都将有自己独立的序列号空间。连接之间序列号没有明显的关联。

2.3 Sniffer 探测与防范

2.3.1 Sniffer原理

广播类网络上，可以将某一网络适配器(NIC)设为接收相应广播域上传输的所有帧
sniffer属第二层次(数据链路层)的攻击。通常是攻击者已经进入了目标系统
如果sniffer运行在路由器，或有路由器功能的主机上，则可同时监视多个广播域，危害更大
通常，sniffer程序只需看到一个数据包的前200-300个字节的数据，就能发现用户名和口令等信息

2.3.2 Sniffer防范

设法保证系统不被入侵
Sniffer往往是攻击者在侵入系统后使用
加密传输
传输前加密，使收集的信息无法解读
采用安全拓扑结构
采用交换技术，分割广播域。
管理员应使各计算机之间的信任关系最小，如lan要和internet相连，仅有firewall是不行的，要考虑一旦入侵成功后他能得到什么，保证一旦出现sniffer他只对最小范围有效

现代网络常常采用交换机作为网络连接设备枢纽
交换机不会让网络中每一台主机侦听到其他主机的通讯，因此Sniffer技术在这时必须结合网络端口镜像技术进行配合。
而衍生的安全技术则通过ARP欺骗来变相达到交换网络中的侦听。

网络端口镜像技术: 在交换机或路由器上，将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听
ARP欺骗: ARP欺骗的运作原理是由攻击者发送假的ARP数据包到网上，尤其是送到网关上。其目的是要让送至特定的IP地址的流量被错误送到攻击者所取代的地方。

回顾知识：交换机、路由器、集线器

路由器(Router): 是连接因特网中各局域网、广域网的设备。在路由器中记录着路由表，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号。发生在网络层。提供了防火墙的服务，只转发特定地址的数据包，不传送不支持路由协议的数据包传送和求知目标网络数据包的传送，从而可以防止广播风暴。
交换机(Switch): 是一种用于电(光)信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路，把传输的信息送到符合要求的相应路由上。发生在数据链路层。
集线器(Hub): 是指将多条以太网双绞线或光纤集合连接在同一段物理介质下的设备。发生在物理层。

2.4 端口扫描技术

2.4.1 原理

端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型(这些网络服务均与端口号相关);

扫描器(工作原理):
自动检测远端或本机安全性弱点的程序，用户可不留痕迹的发现远端机器各端口的分配及运行的服务及软件版本

功能

发现一个主机或网络;
发现该主机运行何种服务;
测试这些服务发现漏洞

2.4.2 分类

常见的端口扫描类型

TCPconnect(): 入侵者无须任何权限，速度快，但是其易被发现，也易被过滤;
TCPSYN: 扫描器发送syn数据包，如果返回ack/syn同时需要再发送 RST关闭连接过程，表示端口处监听状态;如果返回RST，则不在侦听，不会留下入侵记录，但需要有root权限才能建立自己的syn数据包
TCPFIN: 一般防火墙或过滤器会过掉syn包，但FIN可以没有麻烦的通过，于是可能存在关闭的端口会用RST来响应FIN,而打开的端口则不会响应，但有的系统不管打开与否都响应回复RST包

2.4.3 ping命令

Ping的原理
通过向目标主机传送一个小数据包，目标主机接收并将该包返送回来，如果返回的数据包和发送的数据包一致，则Ping命令成功。根据返回的信息，可以推断TCP/IP参数是否设置正确，以及运行是否正常、网络是否通畅等。

作用和特点

用来判断目标是否活动;
最常用、最简单的探测手段;
Ping 程序一般是直接实现在系统内核中的，而不是一个用户进程

Ping命令可以进行以下操作 :

通过将ICMP(Internet控制消息协议)回显数据包发送到计算机并侦听回显回复数据包来验证与一台或多台远程计算机的连接。
每个发送的数据包最多等待一秒。
打印已传输和接收的数据包数。

2.5 特洛伊木马

2.5.1 木马与病毒的区别

载体
- 一般情况下，病毒是依据其能够进行自我复制即传染性的特点而定义的
- 木马主要是根据它的有效载体，或者是其功能来定义的，更多情况下是根据其意图来定义的
自我复制和传播
- 木马一般不进行自我复制，但具有寄生性，如捆绑在合法程序中得到安装、启动木马的权限，DLL木马甚至采用动态嵌入技术寄生在合法程序的进程中
- 木马一般不具有普通病毒所具有的自我繁殖、主动感染传播等特性，但我们习惯上将其纳入广义病毒，也就是说，木马也是广义病毒的一个子类
意图
- 木马的最终意图是窃取信息、实施远程监控
- 木马与合法远程控制软件(如pcAnyWhere)的主要区别在于是否具有隐蔽性、是否具有非授权性

2.5.2 木马的组成

木马系统软件一般由木马配置程序、控制程序和木马程序(服务器程序) 三部分组成。

2.5.3 木马攻击过程

木马通道与远程控制

木马连接建立后，控制端端口和服务端木马端口之间将会出现一条通道;
控制端上的控制端程序可借助这条通道与服务端上的木马程序取得联系，并通过木马程序对服务端进行远程控制，实现的远程控制就如同本地操作

2.5.4 传播方式

捆绑欺骗
- 把木马服务端和某个游戏/软件捆绑成一个文件
- 通过即时通讯工具、邮件、下载工具等渠道发送出去
钓鱼欺骗(Phishing)
- 构造一个链接或者一个网页
- 利用社会工程学欺骗方法
- 欺骗用户输入某些个人，隐私信息，然后窃取个人隐私
漏洞攻击
- 利用操作系统和应用软件的漏洞进行的攻击
网页挂马
- 网页挂马就是攻击者通过在正常的页面中(通常是网站的主页)插入一段代码。
- 浏览者在打开该页面的时候，这段代码被执行，然后下载并运行某木马的服务器端程序，进而控制浏览者的主机

三、防火墙技术

3.1 防火墙基础

3.1.1 基本概念

防火墙：过滤！
实现一个机构的安全策略
创建一个阻塞点
记录internet 活动
限制网络暴露

什么是防火墙?

防火墙是设置在用户网络和外界之间的一道屏障，防止不可预料的、潜在的破坏侵入用户网络;
防火墙在开放和封闭的界面上构造一个保护层，属于内部范围的业务，依照协议在授权许可下进行;外部对内部网络的访问受到防火墙的限制

防火墙功能

过滤进出网络的数据
管理进出网络的访问行为
封堵某些禁止的访问行为
记录通过防火墙的信息内容和活动
对网络攻击进行检测和告警

防火墙分类

3.1.2 访问控制机制

访问控制机制的演变
1、路由器—>ACL 访问控制列表
2、包过滤防火墙—>根据IP五元组判断能否通过
3、状态监测防火墙—>根据应用判断能否通过
4、应用代理防火墙—>根据应用判断能否通过
5、多检测机制防火墙—>根据多个IP包判断整体应用后判断能否通过
6、多功能集成网关(下一代防火墙 )—>嵌入多种防护功能，经过多层过滤后判断能否通过

1. 包过滤防火墙

数据包过滤(Packet Filtering)技术在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，即访问控制表(Access Control List，ACL)

包过滤防火墙分为静态包过滤、动态包过滤防火墙
包检查器并不是检查数据包的所有内容，只检查报头(IP、TCP头部)

优点

逻辑简单
有较强的透明性
网络性能的影响较小
开销较小，设备便宜

缺点

无法对数据包的内容进行过滤审核
在传输层或则是网络层上检测数据，不能在更高一层检测数据，比如能禁止和通过一个向内的HTTP请求，但不能判断这个请求是非法的还是合法的。
防止欺骗攻击很难，特别是容易受到IP 欺骗攻击(允许来自网络外部的流量，包过滤防火墙只能检测数据包中的源IP，无法确定是否是真正的源地址)
所有可能用到的端口(尤其是>1024的端口)都必需放开,增加了被攻击的可能性
在复杂的网络中很难管理
通常来说包过滤技术是防火墙技术中最低的。

2. 状态检测防火墙

状态检测防火墙由动态包过滤防火墙演变而来，工作在传输层，使用各种状态表(state tables)来追踪活跃的TCP会话，它能够根据连接状态信息动态地建立和维持一个连接状态表，并且把这个连接状态表用于后续报文的处理。

状态检测技术一般的检查点有:

检查数据包是否是一个已经建立并且正在使用的通信流的一部分。
如果数据包和连接表的各项都不匹配，那么防火墙就会检测数据包是否与它所配置的规则集相匹配。
在检测完毕后，防火墙会根据路由转发数据包，并且会在连接表中为此次对话创建或者更新一个连接项
防火墙通常对TCP包中被设置的FIN位进行检测、通过会话超时设置决定何时从连接表中删除某连接项。

优点

更高的安全性
高效性
应用范围广

缺点

不能对应用层数据进行控制
不能产生高层日志
配置复杂

3. 应用代理防火墙

应用代理(Application Proxy)也称为应用层网关(Application Gateway)

工作在应用层，其核心是代理进程
每一种应用对应一个代理进程，实现监视和控制应用层通信流
自适应代理防火墙:在每个连接通信的开始仍然需要在应用层接受检测，而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理

优点

可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强
代理完全控制会话，可以提供很详细的日志和安全审计功能
可以隐藏内部网的IP地址，保护内部主机免受外部主机的进攻
可以集成认证机制

缺点

最大缺点是要求用户改变自己的行为，或者在访问代理服务的每个系统上安装特殊的软件
分析困难，实现困难，每一种应用服务必须设计一个代理软件模块进行安全控制，并且应用升级时，一半代理服务程序也要升级
影响用户网络速度(命令解释)
不能防止SYN攻击

如何学习网络安全

给你一个忠告，如果你完全没有基础的话，前期最好不要盲目去找资料学习，因为大部分人把资料收集好之后，基本上都是放在收藏夹吃灰，同时资料收集的多了，学起来就会迷茫，也会让自己很有压力。

磨刀不误砍柴工，如果你是准备自学的话，要分步骤去进行：

第一步：搭建自学知识框架，具体怎么搭建学习框架，在后面我会讲；
第二步：按照学习框架给自己定制阶段性的学习计划和目标，最好是按周自我反馈和调整；
第三步：针对每周的学习计划寻找合适的自学资源，注意，只找当前需要的，不要贪多
第四步：找几个懂得人，和他们处理好关系，后面学习过程中遇到问题还能有人给你解答；

这些都要一步一步来，不要想着一口气吃成一个大胖子。

搭建学习框架也是有诀窍的，比如我常用的三种方式：

1.和牛人成为朋友，身边的朋友或公司的同事都可以，但要注意，记得请人家吃饭联络好感情，不然到关键时刻，很少有人会去帮你； 2.从各个博客网站上面搜索想了解的知识点路线图，然后找高赞的博文，基本上不会差，但要注意辨别真伪； 3.多找几个培训机构，看他们整理的课程大纲是什么样的，涉及哪些知识点，然后做归类汇总，具体的我就不说了，免得让大家认为我在给培训机构打广告；

废话不多说，先上一张图镇楼，看看网络安全有哪些方向，它们之间有什么关系和区别，各自需要学习哪些东西

在这个圈子技术门类中，工作岗位主要有以下三个方向：

安全研发安全研究：二进制方向安全研究：网络渗透方向

怎么入门？

聊完宏观的，我们再落到具体的技术点上来，给你看看我给团队小伙伴制定的网络安全学习路线，整体大概半年左右，具体视每个人的情况而定。

如果你把每周要学的内容精细化到这种程度，你还会担心学不会，入不了门吗，其实说到底就是学了两个月，但都是东学一下，西学一下，什么内容都是浅尝辄止，没有深入进去，所以才会有学了2个月，入不了门这种感受。（友情提示：觉得有帮助的话可以收藏一下本篇文章，免得后续找不到）

1、网络安全理论知识（2天） ①了解行业相关背景，前景，确定发展方向。 ②学习网络安全相关法律法规。 ③网络安全运营的概念。 ④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周） ①渗透测试的流程、分类、标准 ②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking ③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察 ④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周） ①Windows系统常见功能和命令 ②Kali Linux系统常见功能和命令 ③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周） ①计算机网络基础、协议和架构 ②网络通信原理、OSI模型、数据转发流程 ③常见协议解析（HTTP、TCP/IP、ARP等） ④网络攻击技术与网络安全防御技术 ⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天） ①数据库基础 ②SQL语言基础 ③数据库安全加固

6、Web渗透（1周） ①HTML、CSS和JavaScript简介 ②OWASP Top10 ③Web漏洞扫描工具 ④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。

CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

7、脚本编程（初级/中级/高级） 在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级黑客 这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。