1. 防火墙攻击防护
1.1 网络扫描攻击
通过扫描软件对目标进行相关信息的探测
- 探测主机是否存活
- 探测主机是否开放了高危端口或服务
- 探测主机的操作系统版本
- 探测服务器的指纹信息
1.2 拒绝服务攻击
1. 概念
向攻击目标发起大量的流量,使目标崩溃,掉线,从而中断服务的效果。
2. 攻击分类
- ICMP Flood 攻击——向目标发送大量的ping
- DNS Flood 攻击——向目标主机发送大量的DNS报文
- UDP Flood 攻击
- TCP SYN Flood 攻击 ——攻击者发起的STN请求,被攻击者回应请求后,攻击者不再继续发送后续消息,导致被攻击防的TCP连接需要等待的超时时间。
- CC攻击——攻击对象是Web页面
- 畸形报文攻击——TearDrop攻击
1.3 分布式拒绝服务攻击
黑客通过僵尸网络组织大量的肉鸡对目标进行的拒绝服务攻击
1.4 僵尸网络
黑客通过控制端和他所控制的大量肉鸡组成的网络
组成部分:控制端、肉鸡、C&C服务器
2. 防火墙病毒防护
2.1 计算机病毒概述
1. 定义
一种以破坏计算机数据信息,干扰计算机系统正常运行为目的的计算机程序。
2. 计算机病毒工作阶段
- 潜伏
- 传染
- 触发
- 发作
3. 防病毒的手段
杀毒软件:单机杀毒软件、网络版杀毒软件
防病毒网关
4. 杀毒技术发展趋势
基于AI的病毒检测
2.2 防火墙防病毒配置
1. 创建防病毒配置文件,配置防病毒的方案
2. 在安全策略中调用防病毒方案
源地址组是PC所在的网段,目的区域是any
2.3 防火墙安全策略生效方向
如果一条策略要保护的对象是终端PC,源区域是内网,目的区域是外网
如果一条策略要保护的对象是服务器,源区域是外网,目的区域是内网
3. 防火墙入侵检测/入侵防御
3.1 入侵的定义
以非法获得目标计算机的访问或控制权为目的的一种行为
3.2 安全漏洞
一种软件或硬件上的设计缺陷,或不正当的配置操作,从而导致可以被黑客利用来获得本地系统的访问控制权。入侵一定是通过安全漏洞来实现的。漏洞被发现到厂商推出补丁之间的时间,称为0 day漏洞。
3.3 常见的入侵方式
- 利用蠕虫病毒
- 利用缓冲区溢出攻击
- 利用间谍软件
- 暴力破解
3.4 入侵检测系统
只检测是否存在入侵特征,但不对入侵流量进行阻断,可以用于检测内部资产的安全风险,用于风险评估场景。
3.5 入侵防御系统
检测流量是否存在入侵特征,检测出入侵流量后进行阻断,无法检测出内部资产的安全风险,用于业务保护场景。
4. WAF
4.1 定义
Web应用防火墙,用于针对web入侵的安全检测与防御技术。
4.2 常见的web入侵方式
- SQL注入
- XSS(跨站脚本攻击)
- 命令注入
- CSRF
- webshell
- 暴力破解
- 文件包含
5. VPN
5.1 定义
虚拟专用网,通过构建隧道来实现在公网上传递私有数据流量
5.2 工作原理
为私网数据包发封装上公网IP头部,使其可以在公网上传递。
5.3 VPN分类
site-site VPN——用于对接两个固定场所,专用设备的分支结构
access VPN——用于把单个用户介入到企业局域网
5.4 常见的VPN类型
IPsec VPN —— 一种site-site VPN
SSL VPN —— 一种access VPN
6. GRE VPN
6.1 定义
GRE——通用路由封装
GRE VPN——使用公网IP头部来封装私网数据报文的技术
6.2 工作原理
- 私网数据包到达隧道源端后,匹配上到达对端私有网段的路由进入tunnel口
- 私网数据包在tunnel口进行传输
- 封装公网IP头部的数据包匹配上缺省路由,发往公网
- 隧道目的端设备收到后,拆除公网头部
- 隧道目的端使用私网头部的目的IP查询路由表,把私网报文转发至内网
7. 数据传输安全
7.1 数据传输安全的四要素
- 机密性
- 完整性
- 身份源验证
- 不可否认性
7.2 数据加密
- 明文——未经过加密的原始数据信息
- 密文——被加密处理后的数据信息
- 算法——加密的处理过程
- 密钥——加密和解密的关键信息
- 对称加密——通信双方使用同样的密钥进行加密和解密
- 非对称加密——通信双方使用不同的密钥进行加密和解密