网工面试题（安全）

上一篇：网工面试题（数通）

防火墙

防火墙的应用场景

防火墙：部署在网络出口处/服务器区(数据中心）/广域网接入，用于防止外界黑客攻击、保护内网安全硬件。

传统防火墙和下一代防火墙的区别

传统防火墙的功能有包过滤、状态检测、应用网关；工作模式有路由模式、透明模式、混合模式三种

下一代防火墙是基于传统防火墙基础上增加了一些功能，比如入侵检测、web攻击防护、信息泄密防护、恶意代码防护等；工作模式增加了旁路模式

防火墙的功能，以及区别 

包过滤防火墙

检查数据包头部信息（如IP地址、端口号等）。如果数据包符合规则，就允许通过；否则，就拒绝或丢弃。工作在网络层，处理速度快，但只能进行简单的安全控制

状态检测防火墙

在包过滤的基础上增加了对数据包状态信息的跟踪。它不仅检查数据包头部信息，还维护一个状态表，记录连接的状态（如TCP序列号、确认号等），更准确地判断数据包是否合法。性能略低于包过滤，但能更有效地防止伪装攻击

应用网关防火墙

也称代理服务器，工作在应用层，接管了客户端和服务器之间的通信。作为中间人，对通信内容进行深度检查和控制。能够处理应用层协议（如HTTP、SMTP等），从而提供更精细的安全策略。然而，由于需要处理所有应用层数据，会对网络性能产生较大影响

区别

功能	包过滤	状态检测	应用网关
工作层次	网络层和传输层	网络层和传输层（增加状态跟踪）	应用层
过滤依据	数据包头部信息（如IP地址、端口号）	数据包头部信息 + 状态信息	应用层协议内容
安全性	中等	高	最高
性能影响	较小	适中	较大（可能成为瓶颈）
灵活性	较高（可设置复杂规则）	较高（支持状态跟踪）	较低（受限于应用层协议）
应用场景	对性能要求较高、安全需求适中的场景	需要较高安全性的场景	需要深度应用层控制和用户认证的场景

防火墙的工作模式，以及区别

路由模式
防火墙作为路由器进行IP包过滤和转换。防火墙的接口配置有IP地址，并位于内部网络与外部网络之间，接入需要重新规划原有的网络拓扑。能够实现ACL包过滤、NAT转换等功能

透明/网桥模式
防火墙像网桥一样工作，对网络拓扑无影响。所有接口都不配置IP地址，工作在数据链路层。防火墙根据报文的MAC地址来转发数据，同时进行相关的过滤检查

混合模式
结合了路由模式和透明模式的特点，部分接口配置IP地址（工作在路由模式），其他接口不配置IP地址（工作在透明模式）。这种模式常用于双机热备等场景

旁路模式
防火墙通过连接到交换机的镜像端口（SPAN或Mirror Port）获取流量的副本。防火墙仅对流量进行监控和分析，不影响正常流量的传输

区别总结

模式	工作层次	接口配置	对网络拓扑影响	主要功能
路由模式	网络层	配置IP地址	需要修改	ACL包过滤、NAT转换、防攻击检查等
透明/网桥模式	数据链路层	不配置IP地址	无影响	MAC地址转发、ACL规则检查等
混合模式	网络层+数据链路层	部分配置IP地址	部分影响	结合路由和透明模式的优点
旁路模式	网络层	不配置IP地址	无影响	流量监控和分析

防火墙各个区域的作用是什么？

Local区域

防火墙自身的区域，用于处理防火墙自身产生的或接收到的流量。例如，当其他网络尝试通过ping、telnet等方式访问防火墙时，这些报文将由Local区域接收并处理。

Trust区域

用来定义内部网络，这些网络是受信任的，用户可以自由访问内部资源，并且防火墙会放宽来自该区域流量的安全限制

DMZ（Demilitarized Zone，非军事区）区域

用来定义内部服务器（如公司OA系统、ERP系统等）所在的网络，这些服务器对外部用户提供服务，但同时又需要受到一定程度的保护

Untrust区域

不受信任的网络，用来定义Internet等不安全的网络，流量存在潜在的危险，防火墙会对来自该区域的流量进行严格的过滤

防火墙的一般配置步骤是什么？

登录配置界面：是配置的基础，需要登录到防火墙的管理界面

修改初始密码：出于安全考虑，首次配置时应修改防火墙的初始密码

配置接口：在管理的接口处配置IP地址，这是网络通信的基础

配置路由：配置到内网和外网的路由，保证网络连通性

配置区域：创建不同的安全区域（如信任区域、非信任区域等），并为每个区域配置优先级。不同区域间的数据流将触发不同的安全检查

接口加入区域：将防火墙的接口划分到不同的安全区域中，以便进行精细化的访问控制

配置安全策略：根据实际需求配置安全策略，如允许或拒绝特定类型的数据包通过防火墙

下一代防火墙（NGFW）相比传统防火墙，可以配置哪些什么策略？

应用层控制：能够识别具体应用程序的流量，如社交媒体、文件共享等。阻止不必要的应用程序，减少潜在的安全风险

用户身份验证：基于用户身份的访问控制策略。允许基于用户身份而非IP的精细化控制

深度包检测（DPI）：分析数据包内容，识别和阻止隐匿在合法流量中的攻击

入侵防御系统（IPS）：实时检测，防止已知和未知的网络攻击。

基于内容的过滤：检查和过滤内容，如URL和文件类型。阻止恶意网站和有害内容

流量分析与行为监测：监控流量模式和用户行为。检测异常行为，预防潜在威胁

内网有一台DNS服务器，网络出口处部署一台防火墙，外网对内网服务器的访问，如何配置？

1.在防火墙上配置到内网服务器的路由，实现网络连通性（回程有状态表）

2.在防火墙配置ACL，允许外网主机访问内网服务器

3.在防火墙上配置静态NAT映射，映射内网服务器

内网有一台DNS服务器，网络出口处部署一台防火墙，内部主机要访问外网需要，如何配置？

1.在防火墙上配置到内网服务器的路由，实现网络连通性（回程有状态表）

2.配置ACL策略，把DNS的53端口打开，其他端口不用放开。

3.配置NAT，将服务器映射到公网区。

4.如果要保证安全，可以在下一代防火墙上配置一些安全防护策略

网站服务器区域边界的防火墙配置应包括哪些方面？

安全区域划分：明确区分untrust、dmz、trust网络区域

访问控制策略：设定明确的允许或拒绝规则，基于源IP、目的IP、协议和端口号等

NAT与端口转发：为需要外部访问的内部服务器配置NAT和端口转发规则

远程管理安全：限制远程管理访问的IP地址和端口，使用加密协议如HTTPS或SSH

入侵防御与日志：启用入侵防御系统，记录并分析流量日志，检测和响应潜在威胁

定期更新与维护：保持防火墙固件和配置的最新状态，定期审查和测试配置。

AV是如何实现杀毒的？

AV是防毒墙

检查通信中所带的文件是否含有病毒特征，防止病毒的扩散，即防病毒网关。有代理扫描、流扫描两种方式。用在互联网出口、服务器区

代理扫描

将需要进行病毒检测的数据报文，透明的转交给网关自身的协议栈，协议栈将文件全部缓存下来后，再送入病毒检测引擎进行检测

流扫描

简单的提取文件特征与本地的病毒库进行匹配，依赖于状态检测技术以及协议解析技术

IDS和IPS的区别和作用？

IDS入侵检测系统：检测安全威胁并发出警报，只能发送RST置位包阻断TCP连接

IPS入侵防御系统：检测安全威胁，自动采取措施阻止攻击，直接干预流量以防止攻击

对数据包应用层里的数据进行检查，并与IPS规则库（入侵行为特征：蠕虫、木马后门、系统漏洞、网络设备漏洞、口令破解）进行比对，匹配到了则丢弃

安全防护UTM（统一威胁管理）

定义：UTM是一种集成传统FW、AV、IPS、WAF等模块的安全设备。可以简化管理，提高整体安全

特点：

①多功能假集成        ②解决了管理问题        ③多次拆包检测，效率较低

加密算法

介绍加密算法和HASH算法、及两者区别

加密算法

用于保护数据，使得未经授权的用户无法读取或修改信息

对称加密算法：对称加密算法使用相同的密钥进行加密和解密。例如AES、DES、3DES等；优点是加密和解密速度较快；缺点是密钥泄露可能导致数据安全问题

非对称加密算法：使用一对密钥（公钥和私钥）进行加密和解密。公钥用于加密，私钥用于解密。例如RSA、ECC、DSA等；优点是提供更高的安全性，尤其在密钥交换和数字签名中表现突出。缺点是加密和解密速度较慢，计算资源消耗较大

哈希算法

哈希算法可以生成固定长度的哈希值，用于数据完整性校验和验证

常用哈希算法：MD5、SHA-1、SHA-2、SHA-3

哈希算法特点：无论输入数据大小如何，哈希值的长度是固定的；难以找到两个不同的输入数据生成相同的哈希值（抗碰撞性）；无法从哈希值恢复原始数据（不可逆）

算法区别

	功能	输出	用途
加密	保护数据的机密性，确保只有授权用户才能访问数据	生成加密数据，长度可以变化	数据加密、密钥交换、数字签名等
哈希	确保数据的完整性和一致性，不涉及数据的机密性	生成固定长度的哈希值	数据完整性检查、密码存储、数字指纹等

PSK认证RSA签名认证的区别？

PSK认证

在PSK（Pre-Shared Key）认证中，通信双方事先共享一个秘密密钥。在连接建立时，双方使用这个预共享的密钥进行身份验证和加密通信。密钥在协商过程中并未公开传输，而是通过安全的方式事先分发给双方

RSA签名认证

RSA 签名认证使用公钥基础设施（PKI），其中每个通信方都有公钥和私钥。在认证过程中，通信方使用私钥对数据进行签名，另一方使用公钥验证签名的有效性。这样可以确保消息的真实性和完整性

区别

PSK 认证：适合简单、低风险的环境，易于配置，但安全性相对较低

RSA 签名认证：适用于要求更高安全性和灵活性的环境，具有较强的安全性和管理能力，但配置较为复杂

IPSec VPN

VPN的作用以及如何部署？

简介

在公用网络（Internet）上，通过隧道技术虚拟出来的一条企业内部专线；具有安全、加密、身份认证、便宜、完整性校验、防重放等优点

设备选型

公司已经部署好局域网，申请公网出口，购买两台VPN设备，分别放在总部和分部，如果需要不改变原有网络，选择旁挂模式。

技术选型

IPsecVPN和SSLVPN，IPsecVPN对于出差用户需要安装VPN软件，对于一些非专业人氏，选择SSL VPN更加方便

VPN的常用技术

隧道技术

通过封装以及解封装技术在公网上建立一条数据通道，使用这条通道对数据报文进行传输

加解密技术

保护VPN传输中的数据不被窃取或篡改。通过加密技术将明文数据转换为密文，解密技术则恢复数据为明文

对称加密算法：使用相同的密钥进行加密和解密。加解密速度快

非对称加密算法：使用公钥和私钥进行加密和解密。公钥用于加密，私钥用于解密

身份认证技术

身份认证技术用于验证VPN用户的身份，确保只有授权用户才能访问VPN网络。常见的认证方式包括预共享密钥、数字证书和多因素认证等

数字证书

含有：用户身份信息、用户公钥信息、身份验证机构数字签名的数据，数字证书可分为签名证书和加密证书

签名证书：主要用于对用户信息进行签名，以保证信息的真实性和不可否认性

加密证书：主要用于对用户传送的信息进行加密，以保证信息的机密性和完整性

IPsce VPN工作简介

IPsec VPN通过加密和认证确保网络通信安全；有两种工作模式：传输模式（仅加密数据负载）和隧道模式（加密整个IP包）；有两种通信保护协议：AH协议验证数据的完整性和来源，ESP协议在AH协议基础上还可以数据加解密和认证

用IPSec保护一个IP包之前，必须先建立SA（安全联盟），可以手工配置建立，也可以使用IKE自动建立。IKE第一阶段，通信方之间建立一个通过身份验证和保护的通道IKE SA；第二阶段，利用IKE SA为IPSec协商具体的安全联盟（IPSec SA），产生数据加密的密钥

IPSec的两种工作模式

传输模式：不改变原有的IP包头，在IP包头后面插入IPSec包头，仅加密数据负载（主机和主机之间端到端通信的数据保护）

隧道模式：增加新的IP（外网IP）头，在新的IP头后面插入IPSec包头，之后再加密整个原来的IP包（私网与私网之间通过公网进行通信）

 AH/ESP在不同工作模式下的封装

传输模式

AH封装

ESP封装

隧道模式

 AH封装

ESP封装

IPSec中的AH和ESP协议

AH(协议号51)：（报文头验证协议）支持数据验证不支持数据加密。将整个IP数据包进行哈希计算生成一个摘要

ESP(协议号50)：（封装安全载荷协议）支持数据验证和加密。先将数据部分使用DES、3DES、AES等加密算法进行加密，然后将ESP头部和加密的数据还有填充的数据一起进行哈希运算得到一个摘要

协议区别

AH提供的安全服务：数据完整性、数据源认证、抗重放服务

ESP提供的安全服务：在AH的服务上增加数据保密、有限的数据流保护

安全特性	AH	ESP
协议号	51	50
数据完整性校验	支持	支持（不验证IP头）
数据源验证	支持	支持
数据加解密	不支持	支持
抗重放服务	支持	支持
NAT-T	不支持	支持

ESP在隧道模式不验证外部IP头，因此ESP在隧道模式下可以在NAT环境中运行

ESP在传输模式下会验证外部IP头部，将导致校验失败

而AH因为提供数据来源确认（源IP地址一旦改变，AH校验失败），所以无法穿越NAT

IPSec中的IKE协议

第一阶段交换：通信方彼此间建立了一个已通过身份验证和安全保护的通道，此阶段建立了一个安全联盟，即ISAKMP SA（也可称为IKE SA）。第一阶段交换有两种协商模式：主模式协商、野蛮模式协商

第二阶段交换：用已经建立的安全联盟（IKE SA）为IPSec协商安全服务，即为IPSec协商具体的安全联盟，建立IPSec SA，产生用来加密数据流的密钥，IPSec SA用于最终的IP数据安全传送

主模式、野蛮模式、快速模式的区别？

主模式(一阶段)：发送6条报文，第1、2条报文进行加密参数的协商。第3、4条报文交换DH值，生成密钥。第5、6条报文进行验证身份信息（加密）。IKE的主模式适用于两设备的公网IP固定、且要实现设备之间点对点的环境

特点：严谨，安全

野蛮模式（一阶段）：野蛮模式发送3条报文，第1、2条报文发送身份信息和协商加密算法（明文），在第3条信息进行哈希验证。由此可知在第一条信息就发送身份ID，所以安全性低，但是发送三条报文，速度快

                                                                

主模式用IP地址作为身份ID，野蛮模式可以手动设置ID。所以主模式不支持NAT穿越，野蛮模式支持NAT穿越。ADSL拨号用户，其获得的公网IP不是固定的，且可能存在NAT设备的情况下，采用野蛮模式做NAT穿越

快速模式（二阶段）：发送3条加密报文，使用IKE SA（第一阶段协商的安全联盟）进行加密。用于协商安全参数，建立IPSec SA，周期性的对数据连接更新密钥信息             

NAT-T是什么

支持多个IPSec VPN同时连接。为ESP增加了UDP头部，从而解决了数据传输过程经过防火墙后无法进行端口复用的问题。在IKE协商和VPN连接时，允许源端口为非UDP 500端口，使用目的端口是UDP4500端口

分析IPSec VPN建立不成功的原因

1.物理层原因，对端设备坏了

2.不同厂商的VPN设备会存在兼容性问题

3.公网不通，所以VPN隧道建立失败

4.没有购买VPN的许可证，或者VPN允许的隧道数已经达到许可上限

5.用户的网关设备需要开放AH、ESP协议，单臂部署模式需要放通udp的500和4500端口

6.两端内网IP在同一个网段，定义感兴趣流量错误

7.IKE协商不一致，一边配置主模式，一边配置野蛮模式导致IKE SA协商失败

8.IPSEC变换集使用的算法不一致，导致IPSEC SA协商失败

9.加密图不一致map1，map2，或者配置的加密图未绑定到接口上

VPN通了访问不了的原因

1.单臂部署没有写指向路由

2.访问地址配置错误，不在感兴趣流的范围内；

3.没有把需要做VPN的流量排除NAT转换，这个地址转换为公网地址，导致冲突

4. 防火墙禁ping；

SSL VPN

SSL VPN概述

SSL VPN（安全套接层虚拟专用网络），采用SSL协议而得名。因为Web浏览器都内嵌支持SSL协议，使得SSL VPN可以做到“无客户端”部署，SSL VPN一般采用插件系统来支持各种TCP和UDP的非Web应用

SSL的主要协议有哪些

握手协议：负责在客户端和服务器之间建立安全连接，协商加密算法、生成密钥等。

记录协议：负责数据的加密和解密，确保数据在传输过程中保密和完整。

修改密文协议：用于在会话期间更改数据加密的密钥。

报警协议：在通信过程中，某一方发现任何异常，需要给对方发送一条警示消息

SSL VPN的建立过程

1.pc和server双方建立443端口的TCP连接

2.pc发送hello包（包含SSL版本号、加密套件、压缩算法、随机数、sessionid=0）

3.server发送hello包（包含SSL版本号、加密套件、压缩算法、随机数、sessionid）

4.server发送证书报文

5.pc信任网关证书，保存证书

6.pc产生key，用服务器公钥对其加密，发送密钥交换报文，把key给ssl server

7.双方本地计算密码，协商完成，发送finished报文，后续开始加密传输

IPsec VPN 和SSL VPN的工作过程和两者的区别？

工作层级：IPsec VPN主要提供网络层连通性，哪个IP能访问，就是指哪个IP上面的所有服务都能访问；SSL VPN是应用层控制，力度会更细，直接到服务，哪些服务能访问，哪些服务不能访问

安装客户端：IPsec VPN需要安装客户端，SSL VPN可以有客户端，也可以没有客户端。如果访问基于浏览器的web应用，只需要浏览器就可；如果对TCP或者L3VPN资源进行访问就需要安装插件或者虚拟网卡

支持NAT：IPsec VPN只能在ESP+隧道模式下支持NAT穿越；可以用NAT-T技术，为ESP增加UDP头部，实现端口复用（源端口不用固定500，只需要目的端口固定4500）。SSL VPN本身是基于TCP的443端口，支持NAT穿越

分析SSL VPN建立不成功的原因

SSL VPN建立不成功

网络问题：路由不可达、网络延迟或不稳定

认证失败：用户名密码错误、证书问题

配置不当：网关或客户端配置错误

安全策略：防火墙规则阻止、安全策略限制

渗透测试

渗透测试是什么？过程？

定义

模拟黑客的攻击手段，挫败目标系统安全措施并发现安全隐患，为信息安全解决方案提供依据

过程

前期交互：与客户进行交互讨论，确定渗透测试范围、目标、限制条件以及授权函等

情报收集：利用信息收集技术，获取目标组织的网络拓扑、系统配置、安全防御措施等信息

威胁建模：在收集到充分的信息进行威胁建模与攻击策划，确定出最可行的攻击通道

漏洞分析：找出可以渗透攻击的攻击点，或针对系统与服务进行安全漏洞探测与挖掘

渗透攻击：进行攻击行为，获取访问控制权

后渗透攻击：寻找客户组织的信息和资产，拖库、提权、上传木马后门、做跳板并横向攻击、参考日志并清除日志等

报告生成：渗透测试的过程详细描述；修补与升级技术方案

分类

黑盒测试：对客户组织信息一无所知，进行的渗透攻击。包括使用扫描器和模糊测试工具等

白盒测试：渗透测试者在拥有客户组织所有信息的情况下所进行的渗透测试

灰盒测试：介于黑盒白盒两者之间，是能够同时发挥两种基本类型渗透测试的各自优势

信息安全

终端面临的威胁以及防护方法

威胁

恶意软件：如病毒、木马、间谍软件等，可能窃取数据或破坏系统

网络钓鱼：通过伪造的邮件或网站诱使用户泄露敏感信息

勒索软件：加密文件并要求赎金才能恢复访问

零日攻击：利用尚未修补的漏洞进行攻击

数据泄露：通过不安全的应用程序或存储介质暴露敏感信息

身份盗用：盗取用户身份信息进行欺诈或未经授权的操作

网络嗅探：拦截和监听网络流量以获取敏感数据

防护

防火墙：配置和维护本地防火墙，限制不必要的入站和出站流量

IDS/IPS：部署入侵检测和防御系统，监控并响应异常行为

杀毒软件：安装并定期更新杀毒软件，以防止恶意软件感染

访问控制：使用强密码策略，实施多因素认证，限制用户权限

操作系统和应用程序更新：及时安装操作系统和软件的安全更新和补丁

基于TCP/IP风险有哪里？

缺乏数据源和完整性验证、身份验证不足、设计缺陷和漏洞

应用层：漏洞，缓冲区溢出攻击，WEB应用的攻击，病毒及木马
传输层：TCP欺骗，TCP拒绝服务，UDP拒绝服务，端口扫描
网络层：IP欺骗，Smurf攻击，ICMP攻击，地址扫描
链路层：MAC欺骗，MAC泛洪，ARP欺骗
物理层：设备破坏，线路监听

MAC洪范、ARP欺骗

MAC洪泛：攻击者发送大量伪造MAC地址的数据包给交换机，使MAC地址表快速填满，导致交换机采取洪泛方式转发数据，攻击者可监听到洪泛流量获取敏感信息

防范：配置过滤规则，只允许特定MAC通过。设置交换机端口学习MAC地址的上限。

ARP欺骗：攻击者伪造ARP数据包，欺骗网络设备更新ARP缓存，导致网络通信被重定向或中断，实现中间人攻击（引导到错误的MAC地址）或资源耗尽（大量ARP请求包）

防范：设置静态ARP（手工绑定主机的arp表）；DHCP snooping技术；部署下一代防火墙

防御DOS攻击有哪些方法？

带宽扩展：增加带宽以应对流量峰值

流量过滤：清除恶意流量，允许正常流量通过

流量限制：限制每个IP地址的流量速率，防止单一来源过载

负载均衡：将流量分配到多个服务器，减轻单一服务器负担

反向代理：使用代理服务器处理流量，隐藏和保护真实服务器

内容分发网络（CDN）：通过缓存和分发内容，分散流量负载

入侵检测和防御系统（IDS/IPS）：监控流量并检测异常行为

基于ICMP攻击有哪些

Ping of Death攻击：通过构造过大的ICMP Echo请求报文，导致接收方缓冲区溢出或系统崩溃（Bomb）

ICMP重定向：攻击者伪造ICMP重定向报文，诱使受害主机修改路由，将数据包重定向到攻击者的地址

Smurf攻击：通过向广播地址发送大量ICMP Echo请求报文，并将源IP地址伪造为受害者的地址，导致大量主机响应这些请求，使受害者遭受大量回应报文的攻击（Flood、DoS）

防范措施

限制ICMP流量：通过配置防火墙规则，限制ICMP报文的流入和流出，尤其是针对那些大量、频繁的ICMP请求。

启用ICMP速率限制：许多网络设备支持ICMP速率限制功能，可以设置单位时间内允许的ICMP请求数，从而防止攻击者发送大量ICMP报文。

部署入侵检测系统（IDS）：IDS能够实时监测网络流量，发现异常行为并及时报警，对于ICMP洪水攻击等网络攻击具有很好的检测效果。

基于TCP攻击有哪些

SYN洪泛：SYN Flood通过发送大量伪造的TCP SYN请求而不完成三次握手，使服务器资源耗尽于保持大量半连接状态，导致拒绝服务

防范：设置SYN Cookie，快速识别并丢弃重复的SYN请求；缩短SYN-ACK的超时时间，快速释放半连接；使用防火墙过滤异常SYN请求。

RST攻击：已建立正常连接，攻击方伪造其中一个IP地址向对方发送RST置位报文，断开连接，前提是得知IP地址与端口号

防范：加强访问控制，使用加密通信，部署入侵检测系统（IDS）和入侵防御系统（IPS）

会话劫持：攻击者通过某种方式获取到通信双方的会话信息（如会话ID），然后伪装成其中一方进行通信，窃取或篡改传输的数据。

防范：使用加密通信协议（SSL/TLS）；强化身份验证机制；确保通信双方的身份真实可靠。定期更换会话密钥和会话ID

缓冲区攻击是什么 

向固定长度的缓冲区填入适量的恶意代码，使指针溢出，从而指向恶意代码，并执行

防范：严格输入验证，确保输入数据长度不超出缓冲区大小；修补系统和软件的已知漏洞

信息安全五要素 

机密性：（保密性）确保信息不暴露给未授权的实体或进程。

完整性：确保信息在传输、存储或处理过程中不被非法篡改

可用性：确保得到授权的实体在需要时能够访问和使用所要求的数据或服务

可控性：对信息流向及行为方式的控制能力

不可否认性：确保信息发送方和接收方不能否认自己曾进行过的操作（数字签名、时间戳、审计日志等）

介绍勒索病毒和僵尸病毒 

勒索病毒：勒索病毒加密用户文件或锁定系统，要求支付赎金以恢复数据。通过邮件、网站、软件漏洞等方式传播

僵尸病毒：僵尸病毒感染大量计算机形成僵尸网络，黑客控制这些计算机进行非法活动，如DDoS攻击、数据窃取、非法牟利等

介绍僵尸网络形成的原理、危害、防范

原理

①攻击者通过各种途径传播僵尸程序，如利用系统漏洞、发送携带病毒的邮件、在恶意网站上植入病毒等，以感染互联网上的主机；

②当主机被僵尸程序感染后，它们会变成“肉鸡”。这些被感染的主机将通过一个控制信道接收攻击者的指令，从而感染更多主机；

③随着越来越多的主机被感染，攻击者可以通过控制信道对这些主机进行远程操控，形成一个庞大的僵尸网络

危害：发起DDoS攻击；发送垃圾邮件，传播恶意软件；窃取用户数据，进行欺诈活动

防范：安装并定期更新安全软件；及时修补系统漏洞；谨慎处理邮件和链接

FW是如何防范僵尸网络的

流量监控：监控和分析流量模式，识别异常流量或通信行为

IP过滤：阻止已知僵尸网络控制服务器和恶意IP地址

端口和协议控制：关闭不必要的端口，限制异常协议，减少攻击面

流量速率限制：限制每个IP的连接数和流量速率，防止DDoS攻击

深度包检查：检查数据包内容，识别并拦截恶意负载

行为分析：检测应用层的异常行为，如异常登录尝试

更新与补丁管理：定期更新防火墙规则和补丁，以应对新兴威胁

内网主机上不了网，分析原因

配置错误：检查IP地址、子网掩码、网关和DNS设置是否正确

设备问题：确保路由器、交换机、DHCP服务器、DNS域名解析器正常工作

安全设置：防火墙或ACL规则过严，阻止访问

网络攻击：DDoS攻击、ARP欺骗、恶意软件、DNS劫持

等级保护

等级保护是什么？

定义：等保就是对信息和信息载体按照重要性等级，分级别进行保护的一种工作

流程：定级备案、建设整改、等级测评、监督检查

分级保护

一级：自主建设，可能会有少量的产品

二级：指导保护，如市级信息系统，非核心业务系统，与核心业务无关（两年检查一次）

三级：监督保护，如省级信息系统，核心业务系统等，与业务密切相关（一年检查一次）

四级：强制保护，如中央核心系统，重要行业核心业务系统（半年检查一次）

五级：涉密

建设整改

管理要求：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理

技术要求：物理安全、网络安全、主机安全、应用安全、数据安全

等保2.0 

2019年《网络安全等级保护基本要求》新国标发布，等级保护建设正式进入 2.0时代

管理要求：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理

技术要求

安全物理环境：防水、防电、防潮等

安全通信网络：网络架构、通信传输检验完整性、可信认证

安全区域边界：入侵防范、安全审计、边界防护、访问控制、可信验证

安全计算环境：身份鉴别、访问控制、入侵防范、数据备份、数据完整性

安全管理中心：系统管理、安全管理、审计管理、集中管控

上网行为

上网行为管理（AC）是什么？

带宽滥用、上网难监管、信息泄露、网络违法、安全威胁。上网行为管理是控制与管理内网用户对互联网的使用的硬件平台。可以实现对内网用户的精细化管理，三要素：用户、流量、行为。用在互联网出口处。防止员工占用正常业务带宽，防止用户访问恶意网站，防止信息泄露

用户认证过程

访问网站为例

需要先放用户对外的DNS请求，进行域名解析

PC对解析出的服务器地址发起TCP三次握手

PC发起GET/POST请求请求主页

上网行为管理拦截请求，并伪装服务器发送重定向报文，将用户重定向认证页面

用户输入正确的账户密码才能上网

身份认证类型

本地认证：本地存储账户密码

AAA服务器认证：认证、授权、计费（AC与AAA的通信协议：RADIUS、TACACS+）

RADIUS：基于UDP（源端口>1024，目的端口：1812/1645（认证授权），1813/1646（计费）），用户名为明文，对数据加密

TACACS+：基于TCP, 源端口>1024，目的端口：49，用户名和数据都加密

URL过滤 

HTTP过滤：DNS和TCP三次握手后，抓取GET请求的host字段，有网站具体的URL，AC伪装成服务器给用户发送一个302重定向报文，再发送RST置位断开TCP连接 。

数据包单向经过上网管理设备是否可以控制？不能。 没建立三次握手。

HTTPS过滤：DNS和TCP三次握手后，再SSL握手第一阶段，抓取终端发送的client_hello报文的sever_name字段，识别网站。伪装成服务器发送RST置位断开连接。

内网有个网站服务器，外网用户网页访问不了，如何排错？

底层：边界部署防火墙一般默认禁止所有，没有ACL放通或者配置错误；外网访问私网需要做静态NAT；路由没有或者写错

应用层：用户做过特殊的SQL注入字符/扫描/XSS，违背了WAF的规则，把该用户IP禁用；

网站被渗透，把主页修改或者删除了

为了使网络更加安全，应该做些什么？

网络安全法：打击网络诈骗、黑客攻击等网络犯罪行为

等级保护：根据敏感性和重要性，将信息系统分为不同的等级，实施相应的保护措施

部署安全硬件和技术

下一代防火墙（NGFW）、防毒墙（Anti-Virus Gateway）、入侵检测系统/入侵防御系统（IDS/IPS）、上网行为管理（URL Filtering/ Web Filtering）、虚拟专用网络（VPN）

移动接入

接入身份认证类型及原理

本地账户

根据终端用户认证的账户信息存储位置，可以将认证分为本地认证和外部认证

本地认证：认证的账户信息保存在设备本地；

外部认证：认证的账户信息保存在外部系统（AAA认证）

数字证书

数字证书包含用户身份信息、用户公钥信息、身份验证机构数字签名的数据；数字证书可分为签名证书和加密证书。

签名证书：主要用于对用户信息进行签名，以保证信息的真实性和不可否认性。

加密证书：主要用于对用户传送的信息进行加密，以保证信息的机密性和完整性。

LDAP认证

LDAP是存储了账户信息数据库的系统，可以通过标准的LDAP协议与该系统进行交互，实现验证终端身份的需求。

HTTP/HTTPS主/辅助认证

根据对端的接口要求构造请求发送到HTTP/HTTPS认证服务上，由HTTP/HTTPS进行响应并返回，然后根据他们返回的结果来判断是否认证成功。

硬件特征码认证

实现帐号和电脑硬件特征信息的绑定，某账号只能通过指定的电脑登录。

短信验证码认证

与运营商的短信网关对接，输入运营商提供的相关信息，即可对接

法律法规

介绍一下《网络安全法》

时间：2017.6.1实施

组长：主席

中央网络安全与信息化领导小组：网信办

作用

明确了运营者的身份：网络运营者、关键信息基础设施运营者

明确了监督部门：网信办负责统筹和监督网络安全工作的机构

明确了责任人：IT负责人、企业的法人

明确了相关的安全义务或要求：实施网络安全等级保护制度

明确了法律责任：（针对个人）不要做黑客，不做危害网络安全的活动

内容

总则；网络安全战略、规划与促进；网络运行安全；网络信息安全；监测预警与应急处置；法律责任；附则；共七章79条，注意第27、63条

Web安全 

Web防护作用是什么？如何防护？

作用：保护网站/web服务器免受网络攻击；

如何防护

WAF（Web Application Firewall），主要功能有事前防web攻击、事后防web信息泄露

工作原理：对HTTP请求进行异常检测、增强输入验证、基于规则/异常的保护、状态管理。防止常见的Web攻击，如SQL注入、跨站脚本（XSS）、跨站请求伪造（CRSF）、文件上传、文件包含等

HTTP的工作过程？

工作过程

先URL地址解析http://www.baidu.com:80/index.html?name=tom&age=1

可以解析出协议类型，主机名，端口号，对象路径等，再将主机名进行DNS域名解析，等到主机的IP地址，封装HTTP数据包。客户端发起TCP3次握手建立连接，然后发送HTTP请求，服务器端收到请求之后进行回复，浏览器将服务器返回的网页展示给用户，关闭连接

无连接

因为HTTP协议是无连接的，所以完成一次响应以后就需要断开连接，而且他是无状态的，对事务处理没记忆力，如果后续需要处理前面的信息就得进行重传（可以使用Cookie和Session解决这个问题）

报文内容

HTTP请求Request、响应Response

请求报文里面有请求行(请求方法，具体资源，HTTP类型)、请求头(域名)、User-Agent/客服端信息、Cookie 保持会话、由服务器分配（唯一）；空白行，代表请求头结束  后面就是请求正文。

请求方法

浏览网页（get）：发送一个请求来取得服务器上的某一资源

登录网页，上传（post）：向 url 指定的资源提交数据或附加新的数据

测试资源是否存在（head）：只请求页面的首部

资源（信息）更新（put）：跟 post 方法很像，也是向服务器提交数据，但是 put 方法指向的资源在服务器上的位置，而 post 方法没有

HTTP状态码

1xx：请求已被成功接收，继续处理

2xx：请求被成功提交，200客服端请求成功

3xx：客户端被重定向到其他资源，302重定向

4xx：客服端错误状态码，格式错误或者不存在资源。403服务器收到请求，但是拒绝提供服务、401请求未经授权、400客服端语法错误、404资源不存在

5xx：服务器内部错误，500服务器内部错误、服务器当前不能处理

HTTP状态管理

Session：http会话状态保存在服务器端的技术，使用session维持会话，每个session分配一个session-id，借助cookie来传递session-id

Cookie：http会话状态保存在客户端的技术，服务器产生。 由http响应报文中set-cookie字段发给客户端，客户端通过http请求包中cookie字段回送给服务器，一个web站点可以给一个web浏览器发送多个Cookie，一个web浏览 器也可以存储多个web站点提供的Cookie。识别属于哪个session，身份权限的依据/凭证

Cookie的作用？可能遇到的危害？如何防范？

Cookie的作用：跟踪用户的登录状态；存储用户的偏好设置；记录用户行为

可能的危害：未加密的Cookie可能暴露用户的个人信息；攻击者可利用用户的Cookie来伪造请求；利用恶意脚本可以窃取存储在Cookie中的敏感信息。

防范措施：减少Cookie的有效期；限制Cookie仅在指定的域名下发送，防止跨站点请求；使用Secure和HttpOnly标志加密Cookie，防止泄露

网页防篡改如何实现？

使用文件保护系统和下一代防火墙

文件监控

在服务端上安装驱动级的文件监控软件，监控服务器上的程序进程对网站目录文件进行的操作，不允许的程序无法修改网站目录内的内容.

二次认证

管理员认证流程：

1. 访问网站后台http://www.xxx.com/dede/

2. AF重定向到 提交管理员邮箱地址的认证页面

3. 提交接收验证码的管理员邮箱man@sina.com

4. 发送带有验证码的邮件至man@sina.com

5. 管理员登录邮箱获取验证码

6. 管理员提交验证码通过认证

7. 通过验证后自动跳转到后台页面

黑客认证流程：

第3步时，黑客无法提交正确的管理员邮箱 则无法正常登录网站后台，此过程除非黑客通过社工手段获取管理员邮箱地址，并且破解管理员邮箱后才可破解后台登录。

SQL注入漏洞的原理？分类和防范？

原理

未对用户提交的数据进行过滤，直接进行SQL语句的拼接，改变了原有SQL语句的语义，传进数据库引擎中执行；一切用户可控参数的地方都可能存在，如：URL路径、GET/POST请求参数 、HTTP请求头

分类

按数据类型分类：数字型/字符型注入 select * from table where id = 1/’test’

按返回结果分类：显错注入，返回错误信息来判断结果；

基于时间的盲注：查看时间延迟语句是否执行，页面返回时间增加了

基于布尔的盲注：返回页面来判断条件的真假（order by exists）

其他分类：POST注入、Cookie注入、搜索注入、联合查询型注入.

防范

数据库信息加密；使用安全参数；

用户进行分级管理，严格控制用户的权限；

通过专业的扫描工具，可以及时的扫描到系统存在的相应漏洞；

禁止将变量直接写入到SQL语句，必须通过设置相应的参数来传递相关的变量；

在具体检查输入或提交的变量时，对于单引号、双引号、冒号等字符进行转换或者过滤。

SQL注入过程是什么？

收集应用程序的可测试点

确定可测试点是否是可注入点

数据库类型探测

数据库基本信息探测，包括当前数据库用户名、当前用户名权限、数据库表信息（几个表、几个列、表名称、列名称）

利用漏洞爆取数据（明注入、盲注入）

XSS（跨站脚本攻击）攻击的原理？分类和防范？

原理

攻击者利用网页的漏洞，插入恶意脚本，这些脚本会在用户的浏览器中执行，达到窃取用户数据、劫持会话等目的

分类

反射型XSS：攻击者构造出特殊的URL，其中包含恶意代码。用户被诱骗点击该URL。服务器将恶意代码包含在响应中返回给用户浏览器。浏览器执行恶意代码，实现攻击目的。

存储型XSS：攻击者将恶意脚本注入到网站中，如留言板、评论区等。网站将恶意脚本存储到数据库中。当其他用户访问包含恶意脚本的页面时，服务器会从数据库中读取并执行该脚本。

基于DOM的XSS：攻击者构造出包含恶意代码的URL或利用网站的某些功能。用户浏览器接收到响应后，通过JavaScript等前端技术动态地修改DOM节点。恶意脚本在用户的浏览器端执行，实现攻击目的。

防范

使用WAF：自动识别和阻止XSS攻击

输入验证：对用户输入进行严格验证和过滤

输出转义：在显示用户输入前进行转义，避免恶意脚本执行

设置HttpOnly Cookie：防止通过脚本访问Cookie

使用安全HTTP头部：如CSP（内容安全策略）和X-XSS-Protection

CSRF（跨站请求伪造）攻击的原理？防范？

 CSRF（跨站请求伪造）：攻击者利用用户已登录的Web应用身份，通过诱导用户点击或自动触发恶意请求，使浏览器在用户不知情的情况下向目标网站发送伪造请求。

防范：验证HTTP Referer字段、Token验证、添加验证码

SSRF（服务器请求伪造）：攻击者通过构造恶意请求，利用服务器作为代理向其他的服务器发送请求，从而绕过安全限制或访问内部网络资源。

防范：输入验证与过滤、限制网络访问权限、.使用安全的网络库等

上传漏洞攻击的原理？防范？

原理

攻击者利用网站或应用的文件上传功能，上传恶意文件（木马、病毒、WebShell等）到服务器。这些恶意文件一旦被服务器解析执行，攻击者就能获取系统权限或泄露敏感信息

防范

安全设备：部署WAF，对上传的文件内容进行安全检查

类型验证：使用白名单机制，并验证文件的MIME类型及扩展名

权限控制：限制上传功能的访问权限，确保只有授权用户才能使用

隔离目录：将上传目录设置为不可执行，防止服务器直接解析执行上传的文件

路径随机化：使用随机数或哈希值生成文件名和存储路径，增加攻击者访问恶意文件的难度

解析漏洞攻击的原理？防范？

原理

攻击者利用服务器或应用程序在解析文件时的漏洞，访问恶意文件并执行其中的恶意代码

防范

使用WAF：部署Web应用防火墙，增强防护能力

文件重命名：避免使用原始文件名，减少攻击机会

权限管理：严格控制文件上传和执行权限

禁用不安全解析：修复或禁用有漏洞的文件解析方式

文件包含漏洞攻击的原理？防范？

原理

通过操纵文件路径或名称，将恶意文件内容包含到Web应用中执行，从而执行恶意代码或获取敏感信息

防范

部署WAF：使用Web应用防火墙增强防御能力

验证和过滤输入：对用户输入的文件路径或名称进行严格验证和过滤

使用绝对路径：在包含文件时使用绝对路径，避免相对路径被篡改

限制文件权限：确保文件权限设置合理，避免可执行文件被轻易访问

命令执行漏洞攻击的原理？防范？

原理：用户输入未经充分验证，被直接用于执行系统命令，导致攻击者能执行恶意代码

防范：避免使用不安全的命令执行函数；严格验证和过滤用户输入；使用安全的API和库

命令连接符：

&&      前面成功（正确）再执行后面的 

&        都执行 结果都显式

||         前面为真执行前面（后面不执行）  前面为假执行后面

|          都执行，只显示后面的结果，遇到错误命令 直接终止