网络安全篇

黑瞳里的蔷薇

已于 2024-06-23 16:01:44 修改

阅读量441

点赞数 6

文章标签：网络

于 2024-06-23 15:59:39 首次发布

本文链接：https://blog.csdn.net/weixin_44103804/article/details/139901449

版权

网络安全篇

安全运维变更相关流程

提交变更需求： it人员根据事件、问题、配置、项目等需求提交变更需求
判断是否受理需求：检查变更需求人提交的变更请求的正确性和必要性，变更需求是否在受理的范围内，判断是否受理
主导制定方案：根据变更需求组织主导各方制定详细的变更方案，明确实施人员与变更分险的等级，明确变更回退的时间要求，明确变更的验证要求。
是否测试：制定方案时，根据以下条件，方案不成熟，变更实施效果需要验证，风险等级重大，高判断是否进行测试
变更测试：指定测试方案，进行测试并向变更主管反馈测试结果
是否通过测试：
评估方案：根据变更评估表堆方案进行评估
指定方案审核“：根据测试及评估组的意见修改变更方案
审核方案是否通过：确保潜在的影响和风险得到识别，以及评估、规避、批准方案
变更实施、验证：根据变更步骤、变更时间执行变更。
验证是否通过，判断验证结果是否通过
是否回退：判断是否需要回退
回顾总结：变更实施完成后，对变更的实施效果和预期在一周内进行回顾

网络安全项目实施方案 —— 实例（医院门诊大楼网络安全建设项目实施方案）

在互联网出口以三层模式部署俩台防火墙，作为链接公网的出口设备，在核心交换机和服务器的接入交换机之间以二层模式部署一台防火墙，
公网出口防火墙与内网核心交换机，汇聚交换机运行OSPF（最短路径优先协议），使内网路由互通。
公网出口防火墙配置缺省路由，并把缺省路由（默认路由）引入到OSPF（最短路径优先协议），传递给三层学习设备。
公网出口服务器配置NATP（网络地址端口翻译），使内网的PC端能够访问互联网
公网出口防火墙配置入侵防御策略，防御外网对内网发起的DDoS，扫描攻击，策略源区域设置为untrust，目的区域设置为trust
公网出口防火墙配置攻击防御策略，防御外网对内网的入侵行为，策略源区域设置为untrust ，目的区域为trust
公网出口防火墙配置WAF策略，防御外网对内网Web服务的入侵行为，策略源区域设置为untrust ，目的区域为trust
公网出口防火墙，配置攻击防御策略，防御互联网上的病毒进入内网，策略源区域设置为trust ，目的区域为untrust
服务器取得边界防火墙，配置攻击防御策略，入侵防御策略，策略源区域设置为untrust ，目的区域为trust
在公网出口防火墙配置IPSee VPN，与第三方网络中心建立连接。

网络体系结构
OSI体系结构，理想化七层协议：物理层、数据链路层、网络层、传输层、会话层、表示层、应用层。
TCP/IP 体系结构：网络接口层、网络层、传输层、应用层
原理体系结构：物理层、数据链路层、网络层、传输层、应用层

TCP/IP协议

传输层有俩个性质不同的协议： UDP （无链接）、 TCP （三次握手建立连接）
网络层协议的代表包括：
ICMP（网络控制报文协议，不可靠协议，一般用 ping 来使用）、
IP（ipv4 和 ipv6）
IGMP（网络组管理协议，是负责ipv4组播成员管理的协议，用来在组播接收者和与其直接相邻的组播路由器之间建立和维护组播成员关系）

相关网络安全产品 防火墙、 HIDS （网络入侵检测系统）、堡垒机、抗DDoS、威胁分析、数据库审计、日志审计
网络安全设备的实施部署、策略调优、日志分析
iptables 主要参数
-A ：添加规则到链表末尾
-I ：添加规则到首部
-t ：操作的表，后面加表名，不加这个参数默认操作表为filter
-D ：删除表中规则，可以指定序列号或者匹配的规则来删除（iptables -t nat -D PRETOUTING）

F：清空规则，重启后恢复（iptables - F 清空的是filter表）
-L ：列出规则
-p ：用来指定协议
-s ：指定源地址（取相反ip -s ‘!’ 172.24.254.120）
-d ：指定目的地值
-i ：进入接口如eth0
-o ：流出接口
-j ：采用动作（ACCEPT、DROP、SNAT、DNAT、MASQUERADE、REDIRECT）
ACCEPT：用于接收匹配的流量
DROP ：用于丢弃匹配的流量
REJECT：用于拒绝匹配的流量，同时回复拒绝的原因
SNAT ：网络内部的主机可以借助SNAT隐藏自己的ip地址，同时还能共享合法的公网ip，让局域网的多台主机共享公网IP访问互联网，指明将报文的源地址改为哪个ip
DNAT ：只有一个公网ip ，但内网却有很多服务器提供各种服务，我们想要通过公网访问这些服务使用DNAT即可。
MASQUERADE ：动态的将原地址转换为可用的ip地址，与SNAT实现的功能完全一致，MASQUERADE 不需要指定ip，会动态的将报文的源地址修改为指定网卡上可用的ip地址
REDIRECT：可以在本机上进行端口映射
–sport ：源端口
–dport ：目的端口，端口必须和协议一起，才能使用，多个端口指定（–dprot 22:24）

iptables 包括5张规则表：filter 、 nat 、 mangle、 raw 、 security
filter

默认的表，如果没有使用-t指定表就会使用filter ，包含真正的防火墙规则。
内建规则包括：

INPUT（处理进入的数据包）
OUTPUT（处理本地生成的数据包）
FORWARD（处理转发的数据包）

在filter表中，只允许对数据包进行DROP或ACCEPT，无法更改数据包
nat
主要用于进行网络地址转换，包含源地址、目的地址及端口转换使用的规则，当创建新连接的数据包时，会查阅此表
内建规则包括

PREROUTING 链的作用是在包刚刚到达防火墙时改变他的目的地址
OUTPUT （改变本地产生的包的目的地址）
POSTROUTING （包就要离开防火墙之前改变其源地址，此表仅用于NAT，也就是转包的源或目的地址）

DNAT：改变的是目的地址，SNAT：改变的是源地址

mangle：
用来定义数据包的操作方式，我们可以改变不同的包及包头的内容，比如，TTL、TOS、MARK，这些标志随后被filter表中的规则检查
raw：
为了不再让iptables 做数据包的连接跟踪处理，提高性能
security ：
强制访问控制（MAC）网络规则
例题

使用防火墙，将80端口的请求转发到8080端口

iptables -t nat -I PREROUTING -p tcp --dprot 80 -j REDIRECT --to–port 8080

使用防火墙技术，将本机上的80端口请求转发到另一台主机的80端口上（假设：本机内网ip为 172.24.254.55/16，外网ip地址为： 172.24.254.120/24 ，另一个内网ip为 172.24.254.44/16）

iptables -t nat -i PREROUTING -p tcp -d 172.24.254.120/24 --dprot 8080 -j DNAT --to-destination 172.24.254.44:8080

Centos防火墙的设置和优化：设置主机防火墙

开放：服务器的：web服务、vsftpd 文件服务、ssh远程连接服务，ping请求

开放sshd服务：开放流入本地主机，22端口的数据报文

iptables -A INPUT --destination 192.168.60.99 -p tcp --dport 22 -j ACCEPT

开放本地主机22 端口流出的数据报文

iptables -A OUTPUT --source 192.168.60.99 -p tcp --sport 22 -j ACCEPT

修改默认策略为：DROP。目的禁止所有报文通过本机的TCP/IP协议栈，在开放指定端口服务

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -L -n -v （查看IP）

（访问一个网站，在浏览器输入网址到打开网页，中间经历了那些过程）

在浏览器中输入网址，首先DNS解析服务会将网址解析成IP地址。
浏览器开始打包访问请求，使用http/https 通过socket接口交给传输层。
传输层（udp和tcp协议）通过TCP的三次握手和服务器建立连接，浏览器向服务器发送http请求，请求数据包。
服务器处理收到的请求，将结果进行打包发送给浏览器
浏览器接收到HTTP响应后，解压包，读取内容。

抗DDos 攻击

DDos攻击定义及原理：
分布式拒绝服务，拒绝服务是指攻击者向互联网上的某个服务器不停发送大量请求，使该服务无法正常提供服务，甚至完全瘫痪，发起攻击的网络被称为僵尸网络，
SSL工作流程：当建立TCP链接后，先进性握手协议，完成加密算法和会话密钥的传递，然后进行安全数据传输

DDOS攻击的方式：

TCP连接洪水攻击：发起大量的TCP请求，从而占满服务器的这个链接表，而无法响应后续的TCP请求，从而达到DDoS的效果。
SYN洪水攻击：攻击者利用受控主机发送大量的TCP SYN报文，让服务器打开大量的半开链接，占满服务器的链接表。攻击者将SYN报文的源ip地址随机伪装成其他主机的IP地址或不存在的IP地址，在发送tcp的syn报文时，可以让收到服务器端返回的syn+ack 报文后，利用tcp协议的重传机制，让连接处于半开状态。
PSH + ACK洪水攻击：如果服务器收到了一个PSH + ACK 标志的报文时，服务器会立即将数据递交服务进程并清空缓存。攻击者向攻击目标发送大量的PSH + ACK数据包，攻击目标不断做清空处理，导致无法正常处理数据。
RST 洪水攻击： TCP 协议中，四次挥手结束连接，但为了防止出现异常，一方可以发送一个RST数据强制切段连接，攻击者可以让攻击设备不断的尝试伪造各种IP地址，并发送RST数据进行 “盲打” ，一但IP和其他的一些配置和某个正常用户匹配上，就能切断用户和服务器的链接，针对于用户。
THC SSL DoS 攻击：在完成握手后的第二步加密协商中有一个Renegotiation 选项，即重新协商建立密钥，利用这点，攻击者不断的进行密钥重新协商，而重新协商的服务器投入要比客户端多15倍资源，早着攻击者目标资源耗尽。
SSL 洪水攻击：在握手时，服务器会对资源进行解密。在对数据进行有效的校验，这会消耗更多的CPU，攻击者并不需要完成SSL握手和密钥交换，只需要在握手的过程中让服务器去解密和验证，就能大量消耗服务器的计算资源。
UDP洪水攻击： udp是一种面向无链接的传输协议，与ICMP 攻击类似，可以发送传输层的UDP协议包，使用小包攻击，能够最有效的增大网络设备处理数据包的压力，造成处理速度缓慢和传输延迟等拒绝服务攻击的效果，使用大包攻击，可以有效的占用网络接口的传输带宽，造成网络堵塞。
ACK反射攻击：把源地址设置伪装成攻击目标的 ip 地址，然后目的地址设置为互联网上的大量第三方机器，这样攻击者向第三方发送大量的syn请求，从而使服务器响应大量的ack应答数据涌向攻击目标，占用目标的网络带宽资源，并造成拒绝服务，优点：有效的隐藏攻击来源。
DNS 放大攻击： DNS服务器是把域名解析为ip地址的设备，通常DNS响应的数据包都比查询数据包大，可以将流量放大20倍，攻击者不断的对DNS服务发起请求，把源地址伪装成攻击目标的ip地址，这样反射攻击就会产生20倍的流量放大效果，进而导致目标网络拥堵和缓慢。
SNMP 放大攻击： SNM（简单网络管理协议）是目前网络中应用最为广泛的网络管理协议，它提供了一个管理框架来监控和维护互联网设备，在SNMPv2中，添加了GetBulk请求，该请求会通知设备返回尽可能多的数据，这让管理程序能够通过发送一次请求就获得大量的检索信息。将源IP地址伪造攻击目标的ip地址，设备收到GetBulk请求后，会将响应结果发送给攻击目标，当大量的响应结果攻击目标时，就会导致攻击目标网络拥堵和缓慢。
http洪水攻击：在处理HTTP的get请求和POST请求时，Web服务器需要解析请求、处理和执行服务端脚本、验证用户权限、防刺访问数据库，这会消耗大量计算资源和IO访问资源。我们可以对一个站点发起http洪水攻击，比如站点搜索功能，不断生成大量的关键词送入查询地址，因为http请求作为用户直接发送的设计具体业务的请求，服务器收到请求后需要对数据库进行iO操作，这样的攻击首发会对目标产生更大的消耗，但是http洪水攻击不能伪造ip地址，所以常见的方法是借助网络代理主机，得到不同的真实ip发起攻击。是目前威胁最大的攻击之一，发动简单效果明显，主流攻击之一。

DDoS攻击的治理和缓建

DDoS攻击的主要手段有IP地址伪造、放大器，缓减DDoS的保守方案，主要有对攻击流量的稀释和清洗俩种方法。

分布式过滤：针对伪装IP地址的问题，提出了分布式过滤的方法，互联网中不同的网络依靠路由器彼此连接，IP可以伪造，但是露肩不可能伪造，一个数据从甲发送到乙，无论如何不可能经过A，如果经过了，就将数据包丢弃。
网络设备IP过滤：先在互联网的下游，也就是在用户设备接入的这一端，设备通过路由（或者通过多个路由网关）接入互联网服务提供商（ISP），所以只要让路由设备检测IP，把源地址IP不属于本路由所在网段的数据都过滤掉，这样试图伪造IP的流量就无法发出。
稀释攻击流量： DDoS攻击的可怕在于分布式，当一个僵尸网络上对目标发起攻击，很难处理来自这些四面八方的发流量，把一个网络分散到不同的地方，从而稀释流量，比如各个站点普遍采用CDN技术，把一些相对静态的资源作为缓解发给各个CDN节点，用户在请求的时候最好从最近的节点返回，这样一定程度上缓解了DDoS攻击。
清洗攻击流量： CDN的缓减作用有限，目前主流的方案是流量清洗，只需要在服务器前架设一台流量清洗设备，如：面对TCP协议的SYN协议，客户端发起的SYN先进行清洗设备，由清洗设备回复SYN+ ACK ，如果对方答应了那说明是正常流量，然后清洗设备再把本次链接交给后发的服务器正常通信，如果对方不应答，清洗设备该重试重试，超时之后就断开链接。

未来发展方向 ：软件定义网络（SDN）是一种新型的、控制与转发分离、并直接可编程的网络架构，是未来新型的网络架构，它简单的说是把传统硬件网络给软件化、具像化、分为应用层，控制层、数据层、其中OpenFlow协议被看成SDN体系结构中控制层与数据层之间的通信接口，用于根据特定的规则转发流量的OpenFlow交换机。

HIDS （网络入侵检测系统）

作用：通过代理（Agent）检测和检测特定的主机（计算机）上的异常活动和潜在的入侵行为，由Agent、 Daemon、 Server、 Web 四个部分组成，集异常检测、监控管理为一体、拥有异常行为发现、快速阻断、高级分析等功能，可以从多个维度行为信息中发现入侵行为。
Agent ：采集者角色，收集服务器信息、开机启动项、计划任务、监听端口、服务、登陆日志、用户列表、实时监控文件操作行为、网络连接、执行命令、初步筛选整理后通过RPC（远程过程调用）协议传输到Server 节点。

Daemon ：为守护服务进程，为Agent 提供进程守护、静默环境部署作用，其任务执行功能通过接收服务端的指令实现Agent 热更新、阻断功能和自定义命令执行等，任务传输过程使用RSA（公钥密码算法）进行加密。

Server ：为整套系统的大脑，支持横向扩展分布式部署，解析用户定义的规则（已内置部分基础规则）对从各Agent接收到的信息和行为进行分析检测和保存，可从各个维度的信息中发现Webshell 写入行为、异常登录行为、异常网络连接行为、异常命令调用行为等，从而实现对入侵行为实时预警。

主要功能：

日志监控：
文件完整性检测：
后门检测：
实时告警：
主动响应：

堡垒机（运维审计系统）-天融信 - 安恒
在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动、以便集中报警、记录、分析、处理的一种技术手段。堡垒机会从认证 —— 授权——账号——审计（4A设计），最大限度地保证运维人员能够安全操作。

网络运维工程师面试题

什么是BIOS ，如何进入BIOS

BIOS：基本输入输出系统，一般电脑开机后（未出现用户登陆界面前）按DEL或F2进入BIOS设置程序

常见的内置用户账户

Administrator （管理账户）默认的管理员用户，无法删除，为了安全介意改名
Guest （来宾用户）默认是禁用的，提供给没有账户的用户来临时使用，它只拥有有限权限

什么是域控制器（DC）
在域中，至少有一个域控制器，域控制器中保存着整个域的用户账户和安全数据库，安装了活动目录的一台计算机称域控制器，域管理员可以控制每个域用户的行为

交换机工作原理

形成MAC地址表：当交换机在一个端口收到数据帧时，会将数据帧中的源MAC地址与入端口进行对应关联，形成MAC地址表条目（前提MAC表没有原地址条目）
查找MAC地址表：交换机将数据帧中的目标MAC地址与MAC地址表条目进行对比，如果能找到对应条目，则基于端口转发出去，如果没有找到对应条目，则进行广播（即从除入端口以外的其他端口发出去）

TCP三次握手

第一次握手：建立连接时，客户端发送syn包（syn=j）到服务器，并进入syn_sent状态，等待服务器确认。syn：同步序列编号
第二次握手：服务器收到syn包，必须确认客户的syn（ack=j+1），同时自己也发送一个syn包（syn=k），即syn+ack包，此时服务器进入syn_recv状态
第三次握手：客户端收到服务器的syn+ack包，向服务器发送确认包ack（ack=k+1），此包发送完毕，客户端和服务器进入estableshed （tcp连接成功）状态，完成三次握手

TCP四次挥手

第一次挥手：客户端发送FIN 包（FIN=m）到服务器，并进入fin_wait_1 状态，等待服务器确认，此时客户端依然可以接收服务器传输的数据。
第二次挥手：服务器收到客户端发送的FIN后，先发送ack=m+1 确认序列。然后进入fin_wait_2 状态，继续等待服务器FIN报文。此时服务器会将后续没有发送完的数据继续发送。
第三次挥手：当服务器确定数据发送完后，向客户端发送FIN （FIN=n）报文，并进入last_ack状态。
第四次挥手：客户端收到服务器发送的FIN报文后，进入time_wait状态（等待超时关闭），发送ack=n+1 确认序列给服务器。如果服务器没有收到 ack 则重新发送FIN 报文，如果收到则关闭服务器连接。客户端等待2MSL（报文最大生存时间）后依然没有收到回复，则证明服务器已经正常关闭，然后客户端也关闭连接。

STP根交换机的选举原则是什么
通过比较每个交换机的BID（桥ID）来确定，首先比较其中的优先级，值越小越好，默认值时32768，如果优先级相同，则比较其中的mac地址，值越小越好

DHCP的作用是什么
通过架设DHCP服务器，自动的为终端主机分配ip地址等相关参数，从而实现ip地址的批量分配与管理，提高管理效率

ipv6地址空间大小是多少，如何表示
ipv6地址是通过128个二进制位表示，所以为2的128次方，表示方式为冒号分16进制

简述非对称加密的算法
非对称加密算法使用公要和私钥俩个不同的密钥进行加密和解密，用一个密钥加密的数据仅能被另一个密钥解密，且不能从一个密钥堆导出另一个密钥