论述题:
第一次握手:
Client将SYN置1,随机产生一个初始序列号seq发送给Server,进入SYN_SENT状态;
第二次握手:
Server收到Client的SYN=1之后,知道客户端请求建立连接,将自己的SYN置1,ACK置1,产生一个ack=seq+1,并随机产生一个自己的初始序列号,发送给客户端;进入SYN_RCVD状态;
第三次握手:
客户端检查ack是否为序列号+1,ACK是否为1,
检查正确之后将自己的ACK置为1,产生一个ack=服务器发的序列号+1,发送给服务器;
进入ESTABLISHED状态;
服务器检查ACK为1和ack为序列号+1之后,也进入ESTABLISHED状态;
完成三次握手,连接建立。
目的地址转换可分为目标地址映射、目标端口映射、服务器负载均衡等。目的地址转换也称为反向地址转换或地址映射。目的地址转换是一种单向的针对目标地址的映射,主要用于内部服务器向外部提供服务的情况,它与静态地址转换的区别在于它是单向的。外部可以主动访问内部,内部却不可以主动访问外部。
源地址转换即内网地址向外访问时,发起访问的内网ip地址转换为指定的ip地址(可指定具体的服务以及相应的端口或端口范围),这可以使内网中使用保留ip地址的主机访问外部网络,即内网的多部主机可以通过一个有效的公网ip地址访问外部网络。
静态路由是指由网络管理员手工配置的路由信息。当网络的拓扑结构或链路的状态发生变化时,网络管理员需要手工去修改路由表中相关的静态路由信息。静态路由信息在缺省情况下是私有的,不会传递给其他的路由器。当然,网管员也可以通过对路由器进行设置使之成为共享的。静态路由一般适用于比较简单的网络环境,在这样的环境中,网络管理员易于清楚地了解网络的拓扑结构,便于设置正确的路由信息。
动态路由是指路由器能够自动地建立自己的路由表,并且能够根据实际实际情况的变化适时地进行调整。动态路由机制的运作依赖路由器的两个基本功能:对路由表的维护;路由器之间适时的路由信息交换。
默认路由是一种特殊的静态路由,当路由表中与数据包目的地址没有匹配的表项时,数据包将根据默认路由条目进行转发。默认路由在某些时候是非常有效的,例如在末梢网络中,默认路由可以大大简化路由器的配置,减轻网络管理员的工作负担。
ASCII传输模式和二进制数据传输模式。
1.ASCII传输方式:假定用户正在拷贝的文件包含的简单ASCII码文本,如果在远程机器上运行的不是UNIX,当文件传输时ftp通常会自动地调整文件的内容以便于把文件解释成另外那台计算机存储文本文件的格式。
但是常常有这样的情况,用户正在传输的文件包含的不是文本文件,它们可能是程序,数据库,字处理文件或者压缩文件(尽管字处理文件包含的大部分是文本,其中也包含有指示页尺寸,字库等信息的非打印字符)。在拷贝任何非文本文件之前,用binary 命令告诉ftp逐字拷贝,不要对这些文件进行处理,这也是下面要讲的二进制传输。
2.二进制传输模式:在二进制传输中,保存文件的位序,以便原始和拷贝的是逐位一一对应的。即使目的地机器上包含位序列的文件是没意义的。例如,macintosh以二进制方式传送可执行文件到Windows系统,在对方系统上,此文件不能执行。
如果你在ASCII方式下传输二进制文件,即使不需要也仍会转译。这会使传输稍微变慢 ,也会损坏数据,使文件变得不能用。(在大多数计算机上,ASCII方式一般假设每一字符的第一有效位无意义,因为ASCII字符组合不使用它。如果你传输二进制文件,所有的位都是重要的。)如果你知道这两台机器是同样的,则二进制方式对文本文件和数据文件都是有效的。
在需要无私密性的IP隧道的情况下使用GRE-更简单,更快。但是,在需要IP隧道和数据隐私的地方使用IPsec ESP,它提供了GRE甚至都没有尝试过的安全功能。
所以,IPsec代表Internet协议安全性,而GRE代表通用路由封装。
IPsec是Internet的主要协议,而GRE不是。
GRE可以承载其他路由协议以及IP网络中的IP数据包,而IPSec无法。
与GRE相比,IPSec具有更高的安全性,因为它具有身份验证功能。
选择题和填空题针对的大都是OSI模型,有几层,每层的作用。
ARP协议(地址转换协议)完成了IP地址与物理地址的映射。每一个主机都设有一个 ARP 高速缓存,里面有所在的局域网上的各主机和路由器的 IP 地址到硬件地址的映射表。
当源主机要发送数据包到目的主机时,会先检查自己的ARP高速缓存中有没有目的主机的MAC地址,如果有,就直接将数据包发到这个MAC地址;如果没有,就向所在的局域网发起一个ARP请求的广播包: APR请求:我是 192.168.1.1,硬件地址是 00-00-C0-15-AD-18,我想知道主机 192.168.1.10 的硬件地址,收到请求的主机检查自己的IP地址和目的主机的IP地址是否一致,如果一致,则先保存源主机的映射到自己的ARP缓存,然后给源主机发送一个ARP响应数据包。APR响应:我是 192.168.1.10,硬件地址是 08-00-2B-00-EE-0A
源主机收到响应数据包之后,先添加目的主机的IP地址与MAC地址的映射,再进行数据传送。如果源主机一直没有收到响应,表示ARP查询失败。
如果所要找的主机和源主机不在同一个局域网上,那么就要通过 ARP 找到一个位于本局域网上的某个路由器的硬件地址,然后把分组发送给这个路由器,让这个路由器把分组转发给下一个网络。剩下的工作就由下一个网络来做。
物理层 物理层的任务就是透明地传送比特流。(注意:传递信息的物理媒体,如双绞线、同轴电缆、光缆等,是在物理层的下面,当做第0 层。) 物理层还要确定连接电缆插头的定义及连接法。
数据链路层 数据链路层的任务是在两个相邻结点间的线路上无差错地传送以帧(frame)为单位的数据。每一帧包括数据和必要的控制信息。
网络层 网络层的任务就是要选择合适的路由,使 发送站的运输层所传下来的分组能够正确无误地按照地址找到目的站,并交付给目的站的运输层。
运输层 运输层的任务是向上一层的进行通信的两个进程之间提供一个可靠的端到端服务,使它们看不见运输层以下的数据通信的细节。
应用层 应用层直接为用户的应用进程提供服务。
21 ftp
22 SSH
23 Telnet
25 SMTP
53 DNS
68 DHCP
80 web
161 SNMP
443 HTPPS
445 SMB
1433 MSSQL
1521 Oracle:(iSqlPlus Port:5560,7778)
3306 MySQL
3389 远程桌面
定义:相信大家都知道防火墙是干什么用的, 我觉得需要特别提醒一下,防火墙抵御的是外部的攻击,并不能对内部的病毒 ( 如ARP病毒 ) 或攻击没什么太大作用。
功能:防火墙的功能主要是两个网络之间做边界防护, 企业中更多使用的是企业内网与互联网的NAT、包过滤规则、端口映射等功能。生产网与办公网中做逻辑隔离使用, 主要功能是包过滤规则的使用。
部署方式:网关模式、透明模式 :
网关模式是现在用的最多的模式,可以替代路由器并提供更多的功能,适用于各种类型企业透明部署是在不改变现有网络结构的情况下,将防火墙以透明网桥的模式串联到企业的网络中间,通过包过滤规则进行访问控制,做安全域的划分。至于什么时候使用网关模式或者使用透明模式,需要根据自身需要决定,没有绝对的部署方式。需不需要将服务器部署在 DMZ区,取决于服务器的数量、重要性。
总之怎么部署都是用户自己的选择!
高可用性:为了保证网络可靠性,现在设备都支持主 - 主、主- 备,等各种部署。
定义:相对于防毒墙来说,一般都具有防火墙的功能, 防御的对象更具有针对性,那就是病毒。
功能:同防火墙,并增加病毒特征库,对数据进行与病毒特征库进行比对,进行查杀病毒。
部署方式:同防火墙,大多数时候使用透明模式部署在防火墙或路由器后或部署在服务器之前,进行病毒防范与查杀。
定义:相对于防火墙来说,一般都具有防火墙的功能,防御的对象更具有针对性, 那就是攻击。防火墙是通过对五元组进行控制,达到包过滤的效果,而入侵防御 IPS,则是将数据包进行检测 (深度包检测 DPI)对蠕虫、病毒、木马、拒绝服务等攻击进行查杀。
功能:同防火墙,并增加 IPS 特征库,对攻击行为进行防御。
部署方式:同防毒墙。
特别说明一下:防火墙允许符合规则的数据包进行传输,对数据包中是否有病毒代码或攻击代码并不进行检查,而防毒墙和入侵防御则通过更深的对数据包的检查弥补了这一点。
定义:简单的理解,把威胁都统一了,其实就是把上面三个设备整合到一起了。
功能:同时具备防火墙、防毒墙入侵防护三个设备的功能。
部署方式:因为可以代替防火墙功能,所以部署方式同防火墙
现在大多数厂商,防病毒和入侵防护已经作为防火墙的模块来用,在不考虑硬件性能以及费用的情况下,开启了防病毒模块和入侵防护模块的防火墙,和UTM其实是一样的。至于为什么网络中同时会出现 UTM和防火墙、防病毒、入侵检测同时出现。
第一,实际需要,在服务器区前部署防毒墙, 防护外网病毒的同时,也可以检测和防护内网用户对服务器的攻击。第二,花钱,大家都懂的。总之还是那句话,设备部署还是看用户。
把 IPSECVPN放到网络安全防护里,其实是因为大多数情况下, IPSEC VPN的使用都是通过上述设备来做的,而且通过加密隧道访问网络,本身也是对网络的一种安全防护。
定义:采用 IPSec 协议来实现远程接入的一种 VPN技术,至于什么是 IPSEC 什么是 VPN,小伙伴们请自行百度吧
功能:通过使用 IPSECVPN使客户端或一个网络与另外一个网络连接起来,多数用在分支机构与总部连接。
部署方式:网关模式、旁路模式
鉴于网关类设备基本都具备 IPSECVPN功能,所以很多情况下都是直接在网关设备上启用 IPSEC VPN功能,也有个别情况新购买IPSEC VPN设备,在对现有网络没有影响的情况下进行旁路部署,部署后需要对IPSECVPN设备放通安全规则,做端口映射等等。也可以使用 windows server 部署 VPN,需要的同学也请自行百度 ~相比硬件设备,自己部署没有什么花费,但 IPSECVPN受操作系统影响,相比硬件设备稳定性会差一些。
以下设备常见厂家( 不论排名 )
JuniperCheck Point Fortinet (飞塔)思科 天融信 山石网科 启明星辰 深信服 绿盟网御星云 网御神州 华赛 梭子鱼 迪普H3C
定义:全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接, 并能够在网络间进行安全适度的应用数据交换的网络安全设备
功能:主要是在两个网络之间做隔离并需要数据交换,网闸是具有中国特色的产品。
部署方式:两套网络之间
防火一般在两套网络之间做逻辑隔离, 而网闸符合相关要求,可以做物理隔离,阻断网络中 tcp 等协议,使用私有协议进行数据交换,一般企业用的比较少, 在对网络要求稍微高一些的单位会用到网闸。
定义:采用 SSL协议的一种 VPN技术,相比 IPSEC VPN使用起来要更加方便,毕竟 SSL VPN使用浏览器即可使用。
功能:随着移动办公的快速发展,SSL VPN的使用也越来越多,除了移动办公使用,通过浏览器登录SSLVPN连接到其他网络也十分方便, IPSEC VPN更倾向网络接入,而 SSL VPN更倾向对应用发布
部署:SSL VPN的部署一般采用旁路部署方式,在不改变用户网络的状况下实现移动办公等功能。
定义:名称就可以看出,WAF的防护方面是 web应用,说白了防护的对象是网站及 B/S 结构的各类系统。
功能:针对 HTTP/HTTPS协议进行分析,对 SQL注入攻击、XSS攻击 Web攻击进行防护,并具备基于 URL 的访问控制;HTTP协议合规;Web敏感信息防护;文件上传下载控制;Web 表单关键字过滤。网页挂马防护,Webshell 防护以及 web应用交付等功能。
部署:通常部署在 web应用服务器前进行防护
IPS 也能检测出部分web攻击,但没有WAF针对性强,所以根据防护对象不同选用不同设备,效果更好。
定义:审计网络方面的相关内容
功能:针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。
部署:采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。
定义:数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为。
功能:审计对数据库的各类操作,精确到每一条 SQL命令,并有强大的报表功能。
部署:采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。
定义:集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。
功能:通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全部署:旁路模式部署。通常由设备发送日志到审计设备, 或在服务器中安装代理,由代理发送日志到审计设备。
定义:在一个特定的网络环境下, 为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露, 而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。
功能:主要是针对运维人员维护过程的全面跟踪、 控制、记录、回放,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。
部署:旁路模式部署。使用防火墙对服务器访问权限进行限制,只能通过堡垒机对网络设备/服务器/数据库等系统操作。
可以看出审计产品最终的目的都是审计,只不过是审计的内容不同而已,根据不同需求选择不同的审计产品,一旦出现攻击、非法操作、违规操作、误操作等行为,对事后处理提供有利证据。
定义:对入侵攻击行为进行检测
功能:通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象
部署:采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到入侵检测设备。
入侵检测虽然是入侵攻击行为检测, 但监控的同时也对攻击和异常数据进行了审计,所以把入侵检测系统也放到了审计里一起介绍。入侵检测系统是等保三级中必配设备。
定义:顾名思义,就是对上网行为进行管理
功能:对上网用户进行流量管理、上网行为日志进行审计、对应用软件或站点进行阻止或流量限制、关键字过滤等
部署:网关部署、透明部署、旁路部署
网关部署:中小型企业网络较为简单,可使用上网行为管理作为网关,代替路由器或防火墙并同时具备上网行为管理功能
透明部署:大多数情况下,企业会选择透明部署模式,将设备部署在网关与核心交换之间,对上网数据进行管理
旁路部署:仅需要上网行为管理审计功能时,也可选择旁路部署模式,在核心交换机上配置镜像口将数据发送给上网行为管理
个人觉得上网行为管理应该属于网络优化类产品,流控功能是最重要的功能,随着技术的发展,微信认证、防便携式 wifi 等功能不断完善使之成为了网络管理员的最爱 ~
定义:将网络或应用多个工作分摊进行并同时完成,一般分为链路负载和应用负载 ( 服务器负载 )
功能:确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群,扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性
部署:旁路模式、网关模式、代理模式
旁路模式:通常使用负载均衡进行应用负载时,旁路部署在相关应用服务器交换机上,进行应用负载
网关模式:通常使用链路负载时,使用网关模式部署
随着各种业务的增加,负载均衡的使用也变得广泛, web应用负载,数据库负载都是比较常见的服务器负载。鉴于国内运营商比较恶心,互联互通问题较为严重,使用链路负载的用户也比越来越多。
定义:漏洞扫描是指基于漏洞数据库, 通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。
功能:根据自身漏洞库对目标进行脆弱性检测, 并生产相关报告,提供漏洞修复意见等。一般企业使用漏洞扫描较少,主要是大型网络及等、分保检测机构使用较多
部署:旁路部署, 通常旁路部署在核心交换机上, 与检测目标网络可达即可。
定义:看名字吧
功能:对异常流量的牵引、 DDoS流量清洗、 P2P带宽控制、流量回注,也是现有针对 DDOS攻击防护的主要设备
部署:旁路部署
VPN 定义
VPN ( Virtual Private Network )虚拟专用网络 ,简单的讲就是因为一些特定的需求, 在网络与网络之间, 或终端与网络之间建立虚拟的专用网络,通过加密隧道进行数据传输 ( 当然也有不加密的 ) ,因其部署方便且具有一定的安全保障,被广泛运用到各个网络环境中。
(二)VPN分类
常见的 VPN有 L2TP VPN 、PPTP、VPN、IPSEC、VPN、SSL、VPN以及 MPLS VPN。
MPLS
VPN 运营商使用较多,使用场景多为总部与分支机构之间。其他 VPN因部署方便,成本较低成为现在使用最为广泛的 VPN。
L2TPVPN与 PPTP VPN因使用的隧道协议都属于二层协议,所以也称为二层 VPN。IPSEC VPN则采用IPSec 协议,属于三层 VPN。
SSLVPN是以 HTTPS协议为基础 VPN技术,使用维护简单安全,成为 VPN技术中的佼佼者
(三)VPN部署与实现方式及应用场景介绍
1、部署模式主要采用网关模式和旁路模式部署两种,使用专业VPN硬件设备建立VPN时多为旁路部署模式, 对现有网络不需要改动, 即使 VPN设备出现问题也不会影响现有网络。使用防火墙 / 路由器自带VPN功能建立 VPN时, 随其硬件部署模式部署。
2、实现方式主要有以下几种 :
(1) 通过使用专业 VPN软件来建立VPN
优点 : 投入较少,部署比较灵活
缺点 : 稳定性受服务器硬件、操作系统等因素影响
(2) 通过使用服务器自行架设 VPN服务器建立 VPN,windows 服务器为主
优点 : 投入较少,部署比较灵活, windows 系统自带
缺点 : 稳定性受服务器硬件、操作系统等因素影响,需自行配置
(3) 通过使用防火墙 / 路由器设备自带 VPN功能建立 VPN。
优点 : 投入较少,稳定性好
缺点 : 因使用现有设备自带 VPN模块,对 VPN访问量较大的需求不建议使用,以免出现设备性能不足影响防火墙 / 路由器使用。作为现有设备的自带模块,无法满足用户特殊要求。部署方式相对固定
(4) 通过使用专业的 VPN硬件设备建立 VPN。
优点 : 产品成熟适用于各种 VPN场景应用,功能强大,性能稳定。
缺点 : 比较花钱 ~~~~~硬件设备需要花钱, 用户授权需要花钱, 反正啥都需要花钱
3、让更多人纠结的应该是在何场景下选择哪种方式来建立VPN,根据本人工作经验为大家介绍一些常见的 VPN应用场景。
场景一 总部与分支机构互联
大型企业总部与分支结构通常使用 MPLS VPN进行互联,相对于大型企业中小型企业则选择使用投入较低的 IPSECVPN进行互联。
例如 : 某大型超配 ( 超市配送 ) 企业,总部与自营大型超市之间使用MPLS VPN进行数据传输,总部与自营小型超市则使用 IPSEC VPN进行数据传输。根据各超市数据传输需要选择不同的 技术相结合使用,节约投入成本的同时最大限度的满足与总部的数据传输。
场景二 移动办公
网管远程维护设备、 员工访问内网资源、 老总出差电子签批等移动办公已成为企业信息化建设的重要组成部分,同时也为VPN市场带来了巨大商机。SSL VPN因其使用维护方便成为了移动办公的不二之选,打开浏览器即可使用。在没有 SSLVPN条件下,网管进行设备远程维护则通常使用 L2TP VPN或 PPTP VPN。
场景三 远程应用发布
SSLVPN中的功能,主要针对需要安装客户端的 C/S服务访问需求,手机和平板因屏幕大小、鼠标、键盘使用等因素体验感欠佳。特定场景下 PC访问效果较好。
例如 : 某公司财务部门对使用的财务软件做远程应用发布,其他用户无需安装财务软件客户端也可以方便使用。
场景四 手机APP与 VPN结合
随着手机的普及,大家都希望通过手机能解决很多工作中的问题,手机 APP解决了远程应用发布中存在的一些使用问题, 但考虑到安全方面的问题,用户希望通过手机 APP与 VPN技术相结合,方便使用的同时也降低了安全风险。
例如 : 某集团 OA手机 APP,直接通过互联网地址映射访问存在一定安全隐患,配合 VPN技术使用,先将手机与集团建立 VPN隧道,再通过APP访问集团内部 OA APP服务器。
最后做一个的总结 : 究竟使用哪一种 VPN技术来满足用户的需求,还是要根据用户业务需求来考虑,所以希望大家要对相关业务有一个初步的了解, 对症下药。