网络安全基础

安全防护设备概述：

网络安全设备是指用于保护计算机网络系统免受潜在威胁和攻击的各种设备。网络安全设备可以帮助企业和组织检测和阻止网络攻击、保护敏感数据和信息、维护网络运行稳定性等。网络安全设备的种类非常多，常见的包括：防火墙（Firewall）、UTM、入侵检测（IPS)、入侵防御（IDS）、全流量回溯系统、WAF、VPN、网闸、态势感知、蜜罐、APT、EDR、XDR等。

 

防火墙：基于我们配置好的策略 ，去允许数据包是否通过

下一代防火墙：在传统防火墙上的基础上，集成的病毒查杀和攻击防护以及攻击检查等功能，相当于把杀毒软件和入侵检查集成到一起。但是下一代防火墙所实现的病毒和木马查杀主要是基于网络流量来实现的。如果有一个病毒，不是通过网络传播的，那么下一代防火墙发现不了，或者病毒藏在压缩包中，下一代防火墙也难以发现。

抗DDos：可以对DDoS的流量进行识别和清洗

入侵检测/防御：入侵检测（IPS)、入侵防御（IDS）

端点安全：终端安全的产品

应用安全：web应用防火墙WAF、网页防篡改(防止网站目录里的文件被修改，阻止并告警）、上网行为管理（和入侵检测功能相似，入侵检测防护互联网访问服务器，上网行为管理防护的办公终端访问互联网的流量，上网行为管理根据一定的策略进行管控，禁止在某一时间段访问某一网站）

数据安全：

身份与访问控制：运维安全审计，功能与堡垒机类似，主要是起到跳板机的作用，记录对服务器的每个操作；VPN:账号审计，访问控制策略等

安全设备常见的部署模式：

 路由模式：串联到网络里面，需要对现有的网络进行改变

网桥模式：不影响现有的网络功能，相当于把设备当作一个网线

旁路模式：对现有网络影响最小，不具有管控能力，只有检测作用。

常见的安全设备日志简单介绍

天融信态势感知告警日志：核心功能：联合之前流量进行整体事件的分析

网络架构评估优化：

 访问控制策略和设备配置优化

 

 

 

 访问控制概念：

 访问控制列表：控制某IP或某IP段可以访问那些目的地址的那些端口

 互联网暴露面资产全面检测及风险分析：5-16-2-30:~

资产包括：

1.各种信息系统

2.各种服务器

3.自己的app和小程序

 

 怎么做？

 如何获取尽可能多的域名：

获取一级域名：

我们可以通过一级域名与CP备案号之间的关系获取一个单位的所有域名

具体方法：

通过CP备案网站获取对应域名的备案号，再通过公司名（备案号）获取该公司的其他备案一级域名

http://icp.chinaz.com/

 监控和分析研判：

web安全基础

 常见漏洞：

OWASP TOP10

攻击者可以通过应用程序中许多的不同的路径方式去危害企业业务。

OWASP TOP10 “10项最严重的web应用程序安全风险列表”，总结并更新web应用程序中嘴可能、最常见、最危险的十大漏洞。

OWASP TOP10（2017）

第一类：注入类型：

SQL注入：将我们的代码或者命令注入到代码运行

XXE：外部实体注入，通过控制后端解析来实现注入

Xpath注入：类似SQL注入

OS命令注入：一般存在与系统配置系统功能里面

LDAP注入：主要是通过改变条件，

代码执行或者命令执行：

第二类：失效1的身份认证和会话管理：

第三类：跨站脚本XSS：

第四类：失效的访问控制

 第五类：安全配置错误

第六类：敏感信息泄露

 第七类：攻击检测防范不足

 第八类：跨站请求伪造

 第九类：使用含有已知漏洞的组件

 

第十类：未受保护的APls