防火墙防护

1. 防火墙攻击防护

1.1 网络扫描攻击

通过扫描软件对目标进行相关信息的探测

• 探测主机是否存活
• 探测主机是否开放了高危端口或服务
• 探测主机的操作系统版本
• 探测服务器的指纹信息

1.2 拒绝服务攻击

1. 概念

向攻击目标发起大量的流量，使目标崩溃，掉线，从而中断服务的效果。

2. 攻击分类

• ICMP Flood 攻击——向目标发送大量的ping
• DNS Flood 攻击——向目标主机发送大量的DNS报文
• UDP Flood 攻击
• TCP SYN Flood 攻击 ——攻击者发起的STN请求，被攻击者回应请求后，攻击者不再继续发送后续消息，导致被攻击防的TCP连接需要等待的超时时间。
• CC攻击——攻击对象是Web页面
• 畸形报文攻击——TearDrop攻击

1.3 分布式拒绝服务攻击

黑客通过僵尸网络组织大量的肉鸡对目标进行的拒绝服务攻击

1.4 僵尸网络

黑客通过控制端和他所控制的大量肉鸡组成的网络

组成部分：控制端、肉鸡、C&C服务器

2. 防火墙病毒防护

2.1 计算机病毒概述

1. 定义

一种以破坏计算机数据信息，干扰计算机系统正常运行为目的的计算机程序。

2. 计算机病毒工作阶段

• 潜伏
• 传染
• 触发
• 发作

3. 防病毒的手段

杀毒软件：单机杀毒软件、网络版杀毒软件

防病毒网关

4. 杀毒技术发展趋势

基于AI的病毒检测

2.2 防火墙防病毒配置

1. 创建防病毒配置文件，配置防病毒的方案

2. 在安全策略中调用防病毒方案

源地址组是PC所在的网段，目的区域是any

2.3 防火墙安全策略生效方向

如果一条策略要保护的对象是终端PC，源区域是内网，目的区域是外网

如果一条策略要保护的对象是服务器，源区域是外网，目的区域是内网

3. 防火墙入侵检测/入侵防御

3.1 入侵的定义

以非法获得目标计算机的访问或控制权为目的的一种行为

3.2 安全漏洞

一种软件或硬件上的设计缺陷，或不正当的配置操作，从而导致可以被黑客利用来获得本地系统的访问控制权。入侵一定是通过安全漏洞来实现的。漏洞被发现到厂商推出补丁之间的时间，称为0 day漏洞。

3.3 常见的入侵方式

• 利用蠕虫病毒
• 利用缓冲区溢出攻击
• 利用间谍软件
• 暴力破解

3.4 入侵检测系统

只检测是否存在入侵特征，但不对入侵流量进行阻断，可以用于检测内部资产的安全风险，用于风险评估场景。

3.5 入侵防御系统

检测流量是否存在入侵特征，检测出入侵流量后进行阻断，无法检测出内部资产的安全风险，用于业务保护场景。

4. WAF

4.1 定义

Web应用防火墙，用于针对web入侵的安全检测与防御技术。

4.2 常见的web入侵方式

• SQL注入
• XSS（跨站脚本攻击）
• 命令注入
• CSRF
• webshell
• 暴力破解
• 文件包含

5. VPN 

5.1 定义

虚拟专用网，通过构建隧道来实现在公网上传递私有数据流量

5.2 工作原理

为私网数据包发封装上公网IP头部，使其可以在公网上传递。

5.3 VPN分类

site-site VPN——用于对接两个固定场所，专用设备的分支结构

access VPN——用于把单个用户介入到企业局域网

5.4 常见的VPN类型

IPsec VPN —— 一种site-site VPN

SSL VPN —— 一种access VPN

6. GRE VPN

6.1 定义

GRE——通用路由封装

GRE VPN——使用公网IP头部来封装私网数据报文的技术

6.2 工作原理

• 私网数据包到达隧道源端后，匹配上到达对端私有网段的路由进入tunnel口
• 私网数据包在tunnel口进行传输
• 封装公网IP头部的数据包匹配上缺省路由，发往公网
• 隧道目的端设备收到后，拆除公网头部
• 隧道目的端使用私网头部的目的IP查询路由表，把私网报文转发至内网

7. 数据传输安全

7.1 数据传输安全的四要素

• 机密性
• 完整性
• 身份源验证
• 不可否认性

7.2 数据加密

• 明文——未经过加密的原始数据信息
• 密文——被加密处理后的数据信息
• 算法——加密的处理过程
• 密钥——加密和解密的关键信息
• 对称加密——通信双方使用同样的密钥进行加密和解密
• 非对称加密——通信双方使用不同的密钥进行加密和解密