小梁的博客

AIO和OSG的内容我都反复学习了三遍左右，对两本资料的内容按照官方考纲8个域进行了整理。

备考半年多，终于通过华为HCIE安全，今天把心得贴出来，供大家参考。

第二步，将商品加入到购物车中时，你会调用/cart接口，但是注意，这个行为是和第一步是有关联关系的，是谁将什么物品加入到购物车中了？存在的问题：所以我们说涉及到交互时，情形就完全不一样了，因为这三步是有依赖关系的，第一步验证登录者是一个合法用户，验证通过给你返回200/OK，但是只要服务器给返回了响应，那么一个http的请求和响应就结束了。在点击一个纯的html网页，请求获取服务器的html文件资源时，每次http请求都会返回同样的信息，因为这个是没有交互的，每一次的请求都是相互独立的。

然后通过在安全策略里面引用应用行为控制配置文件、用户和时间段（工作时间、非工作时间）等对象，可以达到对内网用户的HTTP行为、FTP行为和IM行为差异化、精细化管理的目的。在企业内部通常需要对内网用户的HTTP行为和FTP行为进行管理，不同的用户使用HTTP和FTP访问网络资源需要不同的权限，同一用户在不同的时间段具有的权限往往也不同。FW作为企业的出口网关部署在内网出口处，通过在FW上配置应用行为控制功能，当内网用户访问外网时，能够有效管理内网用户的HTTP行为、FTP行为和IM行为。

电子邮件是一种通过网络提供信息交换的通信方式。完整的电子邮件一般包括邮件地址、主题、正文和附件。电子邮件的格式有：SMTP、POP3、IMAP、MUA、MTA垃圾邮件：收件人事前没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件收件人无法拒收的电子邮件隐藏发件人身份、地址、标题等信息的电子邮件含有虚假的信息源、发件人、路由等信息的电子邮件。携带病毒和木马的邮件（以附件形式）

2、如果文件的属性与规则的匹配条件全部匹配，则此文件成功匹配文件过滤配置文件的规则。文件过滤全局配置定义了文件类型识别结果异常时的处理动作，并可对压缩文件的解压层数、文件大小、超过解压层数和文件大小时的处理动作进行设置，通常采用默认值即可。1、如果需要进行文件过滤规则匹配，则NGFW会将识别出的文件属性（应用、方向、文件类型、文件拓展名）与管理员定义的文件过滤配置文件的规则进行匹配。承载文件的应用：文件是承载在应用协议上传输的，例如HTTP、FTP、SMTP、POP3、NFS、SMB、IMAP。

关键字是内容过滤时设备需要识别的内容，如果在文件或应用中识别出关键字，设备会对此文件或者应用执行响应动作，关键字通常为机密信息（公司商业机密、用户个人信息的报告）或者违规信息（敏感或公司规定的违规信息等）。如果内容成功匹配一条内容过滤规则，则设备会对此内容进行关键字检测，检测内容中是否存在内容过滤规则定义的关键字。文件内容过滤是对用户上传和下载的文件内容中包含的关键字进行过滤。如果是应用内容则识别出应用的类型和应用内容传输的方向，如果是文件内容则识别出承载文件的应用类型、文件的类型和文件传输的方向。

是否有授权是否升级库是否加入白名单URL配置文件是否正确是否提交安全策略是否调用URL配置文件是否加入白名单URL配置文件是否正确是否提交安全策略是否调用URL配置文件。

传统电脑病毒等网络威胁，向由利益驱动的，全面的网络威胁发展变化。主要有：黑客入侵、拒绝服务攻击、病毒及恶意软件、个人安全意识薄弱。指未经授权而尝试访问信息系统资源、篡改信息系统中的数据、使信息系统不可靠或者不能使用的行为，入侵企图破坏信息系统的完整性，机密性以及可用性、可控性。在发现入侵行为时能实时阻断的入侵检测系统。IPS使得IDS和防火墙走向统一，IPS在网络种一般有两种部署方式。入侵防御是种既能发现又能阻止入侵行为的新安全防御技术。

恶意代码，感染或附着在应用程序或文件中，一般通过邮件或者文件共享等协议传播，威胁用户主机和网络安全。有些会耗尽主机资源，占用网络带宽。有些会控制主机权限，窃取用户数据有些会对主机硬件造成破坏。

相比防火墙，anti-ddos设备是专门做anti-ddos的，所以很多功能都是防火墙没有的。

华为Anti-DDoS方案包括三大组件：检测中心、清洗中心和管理中心（ATIC）。我们可以将他们形象地比喻成侦察机、战斗机和指挥部。检测中心是方案中的“侦察机”，主要负责对流量进行检测，发现流量异常后上报管理中心，由管理中心下发引流策略至清洗中心，指挥清洗中心进行引流清洗。清洗中心是方案中的“战斗机”，主要负责根据管理中心下发的策略进行引流、并对流量进行清洗（过滤），并把清洗后的正常流量回注，同时将这些动作记录在日志中上报管理中心。管理中心（ATIC）是方案中的“指挥部”，负责检测中心和清洗中心的统一管理和

一旦FW收到这个RST报文，就可以判断这个客户端是真实的，就会将这个客户端的源地址加入白名单，白名单老化前，这个源发出的报文都认为是合法的报文，FW直接放行，不再做验证。针对http慢速攻击的特点，anti-ddos设备对每秒钟http并发连接数进行检查，当每秒钟http并发连接数超过设定值时，会触发http报文检测，检测出slow post和slow headers的任意一种情况，都认定受到http慢速连接攻击，则将该源IP地址判定为攻击源，加入动态黑名单，同时断开此IP地址与http服务器的连接。

通过向目标系统发送有缺陷的ip报文，使得目标系统在处理这样的IP报文时发生错误，或者造成系统崩溃，影响目标系统的正常运行，主要的畸形报文攻击有ping of death，teardrop等。

针对计算机信息系统、基础设施、计算机网络或个人计算机设备等的任何类型的进攻动作。

通过在路由器或交换机上配置重定向或者策略路由，将Untrust区域的终端设备访问Trust区域的业务系统的流量从路由器或交换机转发到SACG上，由SACG对其进行处理。通过在SACG上配置AC联动功能，将SACG上的acl3099-3999作为接纳controller下发控制策略的容器，这901条acl分别对应ID号为0-900的901种角色，每种角色对应controller系统中的一个受控域。如果勾选只允许访问列表中的受控域资源，禁止访问其他，就会下发给认证后域，即通过认证的设备以下acl内容。

第六十三条 违反本法第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具，或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具，情节严重的，依照前款的规定处罚。

通过2016年中国网络服务器安全报告中服务器安全健康状况报告显示，只有8%的服务器是健康的，还有66%的服务器特别不健康。处于亚健康的服务器如果不去采取措施，也会变成不健康的服务器。