网络安全六天笔记

一、

网络安全背景：网络空间安全---Cyberspace

我国官方文件定义：网络空间为继海，陆，空，天以外的第五大人类活动领域

信息安全面临的挑战：数字化时代威胁升级、传统安全防护逐步失效、安全风险能见度不足、缺乏自动化防御手段

常见的网络安全术语

漏洞

​ 漏洞是指信息系统中的软件、硬件或通信协议中存在的缺陷或不适当的配置，
从而可使攻击者在未授权的情况下访问或破坏系统，导致信息系统面临安全风险。
常见漏洞有SQL注入漏洞、弱口令漏洞、远程命令执行漏洞、权限绕过漏洞等。

入侵与攻击

入侵与攻击是直接相关的，入侵是目的，攻击是手段，攻击存在于整个入侵过程之中。在现实生活中，要进行入侵的人可能是攻击者本人，也可能是幕后操纵者。入侵者的目的就是抢夺和占有别人的资源，但他不一定具有攻击能力，他可以雇用攻击者来达到入侵的目的。显而易见，攻击是由入侵者发起并由攻击者实现的一种"非法"行为。无论是入侵，还是攻击，仅仅是在形式上和概念描述上有所区别而已。对计算机系统和网络而言，入侵与攻击没有什么本质区别，入侵伴随着攻击，攻击的结果就是入侵。例如，在入侵者没有侵入目标网络之前，他想方设法利用各种手段对目标网络进行攻击（这是在目标网络外的主动攻击行为）。当攻击得手而侵入目标网络之后，入侵者利用各种手段掠夺和破坏别人的资源（这是在目标网络内的主动攻击行为）。
从网络安全角度看，入侵和攻击的结果都是一样的。一般情况下，入侵者或攻击者可能是黑客、破坏者、间谍、内部人员、被雇用者、计算机犯罪者或恐怖主义者。攻击时，所使用的工具（或方法）可能是电磁泄漏、搭线窃听、程序或脚本、软件工具包、自治主体（能独立工作的小软件）、分布式工具、用户命令或特殊操作等。

什么是0day漏洞？

你听说过“ 0day漏洞 ”吗？这个词让人联想到世界末日的景像，其中的技术要么达到了出神入化甚至疯狂的状态，要么又回到了CRT显示器和绿屏时代。

说实话，0day没有那么不祥的征兆。但是就是非常严重。实际上，在所有已知的漏洞中，0day通常是能够造成最大的风险。这是为什么？原因在于定义。

0day漏洞是指负责应用程序的程序员或供应商所未知的软件缺陷。因为该漏洞未知，所以没有可用的补丁程序。

换句话说，该漏洞是由不直接参与项目的人员发现的。术语“0day”是指从发现漏洞到对其进行首次攻击之间的天数。0day漏洞公开后，便称为nday漏洞。

0day时间表的工作原理如下：

一个人或一个公司创建了一个软件，其中包含一个漏洞，但涉及编程或发行的人员却不知道。

在开发人员有机会定位或解决问题之前，有人（除负责软件的人员之外）发现了漏洞。

发现该漏洞的人会创建恶意代码来利用该漏洞。

该漏洞被释放。

负责人员将被告知漏洞利用并打补丁。

该漏洞不再被视为0day。

补丁发布。

大多数情况下，针对0day漏洞的攻击很少立即被发现。发现这些缺陷通常可能需要几天或几个月的时间，这才使这类漏洞如此危险。

后门

后门是一种用于获得对程序或在线服务访问权限的秘密方式。

是由程序的开发者内置于程序中，通过它可以对特定的功能进行特殊的访问。例如，内置于操作系统中的某个后门可能会允许运行该操作系统的任何计算机进行不受限制的访问，如果后门被其他人知道，或者在发布软件之前没有删除，那么它就成了安全隐患。

webshell

webshell就是一种可以在web服务器上执行的后台脚本或者命令执行环境。

没明白？

简单来说

webshell是网站入侵的脚本攻击工具

黑客通过入侵网站上传webshell后获得服务器的执行操作权限，比如执行系统命令、窃取用户数据、删除web页面、修改主页等，其危害不言而喻。

Webshell攻击的特点有哪些？

1

持续远程访问

入侵者可以利用webshell从而达到长期控制网站服务器的目的。若攻击者自行修复了漏洞，以确保没有其他人会利用该漏洞，攻击者可以低调的随时控制服务器。一些流行的webshell使用密码验证和其他技术来确保只有上传webshell的攻击者才能访问它。

2

权限提升

在服务器没有配置错误的情况下，webshell将在web服务器的用户权限下运行，该用户权限是有限的。通过使用webshell，攻击者可以尝试通过利用系统上的本地漏洞来执行权限提升，常见的有查找敏感配置文件、通过内核漏洞提权、利用低权限用户目录下可被Root权限用户调用的脚本提权、任务计划等。

3

极强的隐蔽性

有些恶意网页脚本可以嵌套在正常网页中运行，且不容易被查杀。webshell还可以穿越服务器防火墙，由于与被控制的服务器或远程主机交互的数据都是通过80端口传递，因此不会被防火墙拦截，在没有记录流量的情况下，webshell使用post包发送，也不会被记录在系统日志中，只会在web日志中记录一些数据提交的记录。

网站如何防御webshell攻击？

从根本上解决动态网页脚本的安全问题，要做到防注入、防暴库、防COOKIES欺骗、防跨站攻击等等，务必配置好服务器FSO权限。

1、建议用户通过ftp来上传、维护网页，尽量不安装上传程序。

2、对上传程序的调用一定要进行身份认证，并只允许信任的人使用上传程序。

3、程序管理员的用户名和密码要有一定复杂性，不能过于简单，还要注意定期更换。

4、到正规网站下载程序，要对数据库名称和存放路径进行修改，数据库名称要有一定复杂性。

5、尽量保持程序是最新版本。

6、不要在网页上加注后台管理程序登陆页面的链接。

7、为防止程序有未知漏洞，可以在维护后删除后台管理程序的登陆页面，下次维护时再上传。

8、时常备份数据库等重要文件。

9、日常多维护，并注意空间中是否有来历不明的asp文件。

10、尽量关闭网站搜索功能，利用外部搜索工具，以防爆出数据。

11、利用白名单上传文件，不在白名单内的一律禁止上传，上传目录权限遵循最小权限原则。

社会工程学

信息安全在众多的人眼中是个神奇的东西，笔者觉的信息安全可以分为Soft Security和Hard Security 两个部分。所谓的“硬安全”，主要就是具体的安全IT 技术（比如：防火墙、入侵检测、漏洞扫描、抗拒绝服务……），这些东西都是专家安全公司在搞，离绝大多数的读者可能比较遥远。而“软安全”主要涉及管理、心理学、文化、人际交往等方面，与具体的IT 技术可能没有关系。今天所说的“社会工程学”，实际上就是“软安全”，如果你看过电影《没有绝对的安全》的话，电影中主人公没有花一分钱搞到了肯德基的一份午餐就是利用社会工程学的典型例子。

通俗地讲，社会工程学就是：利用人性之中的弱点（贪婪、恐惧、性欲……）等心理学上的弱点来影响别人，最终达到自己不可告人的目的。

Exploit

Exploit 的英文意思就是利用，它在黑客眼里就是漏洞利用。有漏洞不一定就有Exploit（利用)，有Exploit就肯定有漏洞。

我们几乎每隔几天就能听到最近有一个新发现的可以被利用（exploit）的漏洞（vulnerability），然后给这个漏洞打上补丁。而事实上，这里面的内容比你想象的要多，因为你不可能知道所有软件的漏洞，而且那些可利用的漏洞也只是被少数人所了解。

漏洞是存在于一个程序、算法或者协议中的错误，可能带来一定的安全问题。但不是所有的漏洞都是能够被利用来攻击（exploitable）的，理论上存在的漏洞，并不代表这个漏洞足以让攻击者去威胁你的系统。一个漏洞不能攻击一个系统，并不代表两个或多个漏洞组合就不能攻击一个系统。例如：空指针对象引用（null-pointer dereferencing）漏洞可以导致系统崩溃（如果想做拒绝服务攻击就足够了），但是如果组合另外一个漏洞，将空指针指向一个你存放数据的地址并执行，那么你可能就利用此来控制这个系统了。

一个利用程序(An exploit)就是一段通过触发一个漏洞（或者几个漏洞）进而控制目标系统的代码。攻击代码通常会释放攻击载荷（payload），里面包含了攻击者想要执行的代码。exploits利用代码可以在本地也可在远程进行。一个远程攻击利用允许攻击者远程操纵计算机，理想状态下能够执行任意代码。远程攻击对攻击者非常重 要，因为攻击者可以远程控制他/她的主机，不需要通过其它手段（让受害者访问网站，点击一个可执行文件，打开一个邮件附件等等），而本地攻击一般都是用来提升权限 [1]

APT攻击

APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

APT攻击是一个集合了多种常见攻击方式的综合攻击。综合多种攻击途径来尝试突破网络防御，通常是通过Web或电子邮件传递，利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提供统一的防御。除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息，这使得它的攻击更不容易被发现

 协议栈自身的脆弱性：

1. 不提供认证服务
2. 明码传输，不提供保密性服务，不提供数据保密性服务
3. 不提供数据完整性保护
4. 不提供抗抵赖服务
5. 不保证可用性——服务质量（ QoS ）
网络的基本攻击模式：截获、篡改、中断、伪造

1、物理层--物理攻击

2、自然灾害

3、链路层--MAC洪泛攻击

4、链路层--ARP欺骗

5、网络层--ICMP攻击

6、 传输层 --TCP SYN FLood攻击

7、分布式拒绝服务攻击

8、DDoS攻击风险防护方案

9、应用层--DNS欺骗攻击

恶意程序---一般会具备以下的多个或全部特性

1、非法性

2、隐蔽性

3、潜伏性

4、可触发性

5、表现性

6、破坏性

7、传染性---蠕虫病毒的典型特点

8、针对性

9、变异性

10、不可预见性 

 按照病毒攻击的系统分类：攻击DOS系统的病毒；攻击Windows系统的病毒；攻击UNIX系统的病毒；攻击OS/2系统的病毒

按照病毒的攻击机型分类：攻击微型计算机的病毒；攻击小型计算机的病毒；攻击工作站的计算机 的病毒

按照病毒的链接方式分类：源码型病毒；嵌入式病毒；外壳型病毒；操作系统型病毒

按照病毒的破坏情况分类：良性计算机病毒；恶性计算机病毒

按照病毒的寄生方式分类：引导型病毒；文件型病毒；复合型病毒

按照病毒的传播媒介分类：单机病毒；网络病毒

普通木马---以破坏为目的的病毒

木马病毒---以控制为目的的病毒

蠕虫病毒---具有传播性的病毒

 防范措施：

1、不点击来源不明的邮件附件，不从不明网站下载软件

2、及时给主机打补丁，修复相应的高危漏洞

3、对重要的数据文件定期进行非本地备份

4、尽量关闭不必要的文件共享权限以及关闭不必要id端口

5、RDP远程服务器等连接尽量使用强密码，不要使用弱密码

6、安装专业的终端安全防护软件 ，为主机提端点防护和病毒检测清理功能 

 二 、

防火墙的主要职责在于：控制和防护 --- 安全策略 --- 防火墙可以根据安全策略来抓取流量之 后做出对应的动作。

防火墙分类：

吞吐量 --- 防火墙同一时间处理的数据量

传统防火墙（包过滤防火墙 ）-----一个严格的规则表

 1，很多安全风险集中在应用层的，所以，仅关注三四层的数据无法做到完全隔离安全风险

2，逐包进行包过滤检测，将导致防火墙的转发效率过低，成为网络中的瓶颈。

在ACL列表中，华为体系下，末尾是没有隐含规则的，即如果匹配不到ACL列表，则认为ACL列 表不存在，之前可以通过，则还可以通过；但是，在防火墙的安全策略中，为了保证安全，末 尾会隐含一条拒绝所有的规则，即只要没有放通的流量，都是不能通过的。

传统防火墙 （状态检测防火墙）-----首次检查建立会话表

“会话表技术”-----首包检测 

入侵检测系统（IDS）-----网络摄像头

IDS---一种侧重于风险管理的安全机制---滞后性 

入侵防御系统（IPS）---抵御2-7层已知威胁 

防病毒网关（AV）-----基于网络侧识别病毒文件

Web应用防火墙（WAF）-----专门用来保护web应用

因为众多的专用设备导致企业在部署安全防护时需要同时不是大量的设备进行防护，则设备维 护成本大大提高，所有设备都需要对流量进行检测，所以，效率很低

统一威胁管理 （UTM）------多合一安全网关

在UTM中，各功能模块是串联工作，所以，检测效率并没有得到提升。但是，因为继承在了一台设备中，所以，维护成本得到降低

下一代防火墙（NGFW）-----升级的UTM

改进点核心：相较于之前UTM中各模块的串联部署，变为了并联部署，仅需要一次检测，所有 功能模块都可以做出对应的处理。大大提高了工作效率

防火墙的其他功能

防火墙的控制 带内管理 --- 通过网络环境对设备进行控制 --- telnet，ssh，web --- 登录设备和被登 录设备之间网络需要联通

带外管理 --- console线，mini usb线

华为防火墙的MGMT接口（G0/0/0）出厂时默认配置的有IP地址：192.168.0.1/24，并且 该接口默认开启了DHCP和web登录的功能，方便进行web管理。

admin/Admin@123 [USG6000V1-GigabitEthernet0/0/0]service-manage all permit --- 开启管理口web登录服务

防火墙的管理员

本地认证 --- 用户信息存储在防火墙上，登录时，防火墙根据输入的用户名和密码进行 判断，如果通过验证，则成功登录。

服务器认证 --- 和第三方的认证服务器对接，登录时，防火墙将登录信息发送给第三方 服务器，之后由第三方服务器来进行验证，通过则反馈给防火墙，防火墙放行。

一般适用于企业本身使用第三方服务器来存储用户信息，则用户信息不需要重复创 建。

服务器/本地认证 --- 优先使用服务器认证，如果服务器认证失败，则也不进行本地认 证。只有在服务器对接不上的时候，采用本地认证

防火墙的组网

物理接口

二层口 --- 不能配IP

普通的二层口

接口对 --- “透明网线” --- 可以将两个接口绑定成为接口对，如果流量从一个接口进入，则 必定从另一个接口出去，不需要查看MAC地址表。 --- 其实一个接口也可以做接口对，从该 接口进再从该接口出

旁路检测接口 --- 主要用于防火墙的旁路部署，用于接收镜像口的流量。

 三层口 --- 可以配IP

虚拟接口 换回接口 子接口 链路聚合 隧道接口 。。。

Bypass --- 4个千兆口其实是两队bypass口。如果设备故障，则两个接口直通，保证流量不中 断。

虚拟系统 --- VRF技术，相当于逻辑上将一台设备分割为多台设备，平行工作，互不影响。需 要通过接口区分虚拟系统的范围。

管理口和其余物理接口默认不在同一个虚拟系统中。

接口对默认为trunk链路

不同的虚拟空间之间通信使用的虚拟接口，只需要配置IP地址即可。新创建一个虚拟系统会自 动生成一个虚拟的接口。

安全区域

Trust --- 一般企业内网会被规划在trust区域中

Untrust --- 一般公网区域被规划在untrust区域中

我们将一个接口规划到某一个区域，则代表该接口所连接的所有网络都被规划到该区 域。

Local --- 指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的， 凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置， 并且我们无法将接口划入该区域。接口本身属于该区域。

Dmz --- 非军事化管理区域 --- 这个区域主要是为内网的服务器所设定的区域。这些服务器本 身在内网，但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以，这个区域 就代表是严格管理和松散管理区域之间的部分管理区域。

优先级 --- 1 - 100 --- 越大越优 --- 流量从优先级高的区域到优先级低的区域 --- 出方向 （outbound） 流量从优先级低的区域到高的区域 --- 入方向 （inbound）

路由模式

1，接口，区域配置完成

2，内网配置回包路由

3，是否需要配置服务器映射

4，配置内网访问外网的NAT

5，针对内外网的安全策略

透明模式

旁路模式

混合模式

三、

 状态检测技术

状态检测主要检测协议逻辑上的后续报文，以及仅允许逻辑上的第一个报文通过后创建 会话表。可以选择开启或者关闭该功能。

数据通过防火墙的流程

五、

配置黑洞路由 --- 黑洞路由即空接口路由，在NAT地址池中的地址，建议配置达到这个地址指 向空接口的路由，不然，在特定环境下会出现环路。（主要针对地址池中的地址和出接口地址 不再同一个网段中的场景。）

决定了使用的是动态NAT还是NAPT的逻辑。

高级 NAT类型 --- 五元组NAT --- 针对源IP，目标IP，源端口，目标端口，协议 这五个参数识别出 的数据流进行端口转换 三元组NAT --- 针源IP，源端口，协议 三个参数识别出的数据流进行端口转换

在保留地址中的地址将不被用于转换使用

动态NAT创建完后，触发访问流量后会同时生成两条server-map的记录，其中一条是反向记 录。反向记录小时前，相当于是一条静态NAT记录，外网的任意地址，在安全策略放通的情况 下，是可以访问到内网的设备。 基于端口的NAT转换，是不会生成server-map表的。

三元组

P2P --- peer to peer

因为P2P应在端口转换的情况下，识别五元组，将导致P2P客户端之间无法直接访问，不符合 五元组的筛选条件，所以，这种场景下可以使用三元组NAT，放宽筛选条件，保证P2P客户端 之间可以正常通信。

目标NAT

服务器映射

安全区域 --- 值的是需要访问服务器的设备所在的区域。

源NAT在安全策略之后执行，目标NAT在安全策略之前执行（因为自动生成的安全策略的目标 地址是转换后的地址，说明需要先进行转换，再触发安全策略）

双向NAT

多出口NAT

源NAT

第一种：根据出接口，创建多个不同的安全区域，再根据安全区域来做NAT

第二种：出去还是一个区域，选择出接口来进行转换

目标NAT

第一种：也可以分两个不同的区域做服务器映射

第二种：可以只设置一个区域，但是要注意，需要写两条策略分别正对两个接口的地址 池，并且，不能同时勾选允许服务器上网，否则会造成地址冲突。

六、

防火墙的智能选路

就近选路 --- 我们希望在访问不同运营商的服务器是，通过对应运营商的链路。这样可以提高 通信效率，避免绕路。

策略路由 -- PBR

传统的路由，仅基于数据包中的目标IP地址查找路由表。仅关心其目标，所以，在面对 一些特殊的需求时，传统路由存在短板，缺乏灵活性，适用场景比较单一。 策略路由本身也是一种策略，策略主要先匹配流量，再执行动作。策略路由可以从多维 度去匹配流量，之后，执行的动作就是定义其转发的出接口和下一跳。策略路由末尾隐 含一条不做策略的规则，即所有没有匹配上策略路由的流量，都将匹配传统路由表进行 转发。

如果存在多条策略路由，则匹配规则也是自上而下，逐一匹配，如果匹配上了，则按照 对应动作执行，不再向下匹配；

DSCP优先级 --- 相当于在数据包中设定其转发的优先级（利用的是IP头部中tos字段）， 之后下游设备会根据优先级来差异化保证流量的通过。

动作：

转发 --- 可以定义其转发的方式

转发其他虚拟系统 --- VRF

不做策略路由

监控 --- 当策略是单出口时，如果这里写的下一跳和出接口不可达，报文将直接被FW丢 弃。为了提高可靠性，我们可以配置针对下一跳的监控，即使下一跳不可达，也可以继 续查找本地路由表，而不是直接丢弃。

智能选路 --- 全局路由策基于链路带宽的负载分担

基于链路带宽的负载分担会按照多条链路的带宽比例来分配流量。并且，如果配置的过 载保护阈值，则一条链路达到过载保护阈值之后，除了已经创建会话表的流量依然可以 从该接口通过外，该接口将不再参与智能选路，需要新建会话表的流量将从其余链路中 按照比例转发。

会话保持 --- 开启该功能后，流量首次通过智能选路的接口后，会创建会话表，后续命 中会话表的流量都将通过同一个接口来进行转发，选择源IP和目的IP的效果时，所有相 同源IP或者目标IP的流量将通过同一个接口转发。 --- 应对于不希望链路频繁切换的场 景。

在链路接口中可以配置就近选路。

基于链路质量进行负载分担

丢包率 --- FW会发送若干个探测报文（默认5个），将统计丢包的个数。丢包率等于回 应报文个数除以探测报文个数。丢包率是最重要的评判依据。

时延 --- 应答报文接受时间减去探测报文发送时间。FW会发送若干个探测报文，取平均 时延作为结果进行评判

延时抖动 --- 两次探测报文时延差值的绝对值。FW会发送若干个探测报文，取两两延时 抖动的平均值。

首次探测后会将结果记录在链路质量探测表中，之后，将按照表中的接口来进行选路。 表中的老化时间结束后，将重新探测。

基于链路权重进行负载分担

权重是由网络管理员针对每一条链路手工分配的，分配之后，将按照权重比例分配流 量。

基于链路优先级的主备备份

优先级也是由网络管理员针对每一条链路手工分配的。

执行逻辑：

1，接口没有配置过载保护：

优先使用优先级最高的链路转发流量，其他链路不工作。直到优先级最高的链路故 障，则优先级次高的链路开始转发流量。其余链路依旧不工作。

2，接口配置了过载保护：

优先使用优先级最高的链路转发流量，其他链路不工作；如果最高的链路达到或超 过保护阈值，则优先级次高的链路开始工作。

DNS透明代理