网络安全学习 day1

前言

计算机病毒种类狠毒

蠕虫病毒 ---> 具备蠕虫特性的病毒； 1. 繁殖性特别强（自我繁殖）； 2. 破坏性

木马 - --> 木马屠城故事 ---> 木马本身不具备任何破坏性 。用于控制后门的一个程序（ 后门 ---> 指的是测

试人员在目标系统中植入的一种隐藏式访问途径，可以使得在未来未得到授权的情况下重新访问系统）

网络安全 ---> 已经不再局限于网络世界，而是提升到了工控安全、网络空间安全 。

APT 攻击 ---> 高级可持续攻击；这种攻击行为，不是一次性就完成的，而是分多次来进行的

华三--鹰视
锐捷--ISG
迪普--视频安全网关
针对前端摄像头做一个准入认证

安全防护做了，出了问题是产品防护不到位，你不会存在责任；但是如果没做，那么所有的责任都

是你的。 --- 做了是天灾，没做是人祸 。

DDoS 攻击：分布式拒绝服务攻击 ---> 借助成千上万台被入侵后，且安装了攻击软件的主机同时发起的集团式攻击行为

1、金融证券
2、政府
3、公安
4、国家电网、中国烟草
5、涉密单位

思科 -- 防火墙 (PIX) 、 AMP( 高级恶意软件防护 ) 、电子邮件安全、终端安全、云安全、身份验证 -ACS

思科，在安全方面的出货量，全世界第一； RFC 标准

华为 -- 五大业务群（ 3 大 BG+2 大 BU ）；防火墙、抗 D 、大数据分析、安全管理；

华三 --H3C （换 3 次）；宇视科技（监控）；宏杉（存储）；迪普（安全）； --> 安全、大数据、云计算

锐捷 --- 安全网关 VPN 、审计类产品数据库审计、堡垒机、漏扫、应用防护类 WAF

安全产品概述

防火墙 ---> 最基本的功能，就是可以实现网络区域之间的逻辑隔离 。以及 VPN 技术

虚拟化底层 ---Docker 技术 --->

IPS 产品 --> 早期，存在 IDS 和 IPS 之分， IDS-- 入侵检测系统； IPS-- 入侵防御系统 。在检测到攻击流量后，可以主动阻断该流量

防火墙：
偏向于边界的安全管理，主要做的是边界隔离
IPS：
能够对内网的流量进行分析检测；一般部署是在核心交换机上旁挂，然后再核心交换机上做镜像，将全网
的流量导入到IPS，从而进行分析检测

0-day ：补丁发布之前，已经被掌握或公开的漏洞

二层回退：指当 IPS 串行在网络中，如果检测引擎出现故障，会导致网络流量中断阻塞；而具备该功 能后，可以直接跳过检测引擎，不进行数据检测，直接转发流量 。 ---- 一般被称为 bypass 功能。

F5-- 提出 ADN 概念 --- 应用交付网络。 --- 利用相应的网络优化 / 网络加速设备，确保用户的业务应用能够快速、安全、可靠的交付给内部设备或者外部服务集群。

TCP 连接复用技术 --- 属于最常用的一种应用优化技术 --- 将原本多个用户访问服务器的连接，迁移到

LB 设备身上，然后又 LB 设备与服务器建立连接，将原本的多个连接变为少量连接效果。 ---> 进行了流量 整合 。

HTTP 压缩 ---LB 产品，就相当于是一个代理设备。压缩原因：降低网络传输的数据量，提高用户访问浏览器的速度。

健康检查 --- 负载均衡器对后端设备提供实时的应用探测，一旦发现后端设备发生故障，立即将其从

转发队列中剔除，同时将请求转发到正常的后端设备。

流控设备 ACG --- 应用控制网关，实际上就是 H3C 的上网行为管理设备。

流控设备---一种专业的流量控制设备，用于实现基于应用层流量控制，属于对于七层流量的管控
作为网络优化设备--->在用网高峰期，限制用户通过迅雷下载文件速度，最高10Mbps；空闲时间随
意--更偏向于网络的限速和优化
针对认证系统联动---实现用户按流量计费
万任
上网行为管理---指帮助互联网用户控制和管理对互联网的使用。
作为安全设备--->倾向于管理和控制
中小型企业
深信服、网康

总结：广义上来说，行为管理设备也算属于流控，但是主要用途是记录和控制网络中的用户行为，

限制用户使用某些软件等，其流控能力较弱。狭义上来说，专用的流控设备的目的是优化带宽，通过限 制带宽占用能力强的应用来保护关键应用；专用的流控设备，一般应用在大流量环境中 。

ACG 功能

业务快速部署，可以将某些 APP 提前下载到该设备上

行为管理、流量限速

业务可视化 --- 对流量进行审计 --- 你做了什么事情，都会被设备记录下来。 ---> 上网行为管理有时候也 可以做一些日志审计或行为审计的功能

DPI---深度报文检测
一种基于应用层的流量检测和控制技术，通过深入读取IP报文载荷的内容来对应用层信息进行重组，得到
整个应用程序内容--->按照实现设定好的规则，来对这个流量进行管理
这个技术，可以识别单个数据包的内容。
DFI---深度流检测
属于DPI的衍生技术，通过分析网络数据流的行为特征来识别使用类型。
区别：
1、范围不同
2、颗粒度不同--DPI针对数据报文进行深入分析，包括头部和载荷；DFI对整个流量进行分析
3、应用场景不同
包检测技术---传统的防火墙基于五元组来进行报文检测

日志 --- 事后行为审计

事前--梳理资产；分析这些设备的风险
事中--是在网络层和应用层两个层面同时下手，阻断风险事件
事后--属于实时的检测内部的异常行为点，从而快速定位

很多安全产品，不仅仅是上网行为管理设备，都会保存有大量的日志报表，可以供事后网络安全人

员排查问题点。并且，日志信息是非常精细化的。

在任何地点，都不要在网络上乱发消息 。

WAF---Web 应用防火墙

专业应用层防护产品有三种
web应用防火墙
视频安全网关
数据库审计

安全取证：指的是在网络攻击或数据泄露等安全事件中，收集、保全、分析电子证据，以重建攻击

过程，并协助法律程序 。

CC 攻击 --- 属于 DDoS 的一种，通过使用代理服务器，向受害服务器发送大量看起合理的请求，导致 受害服务器资源耗尽，无法提供服务 。 --- 原理：黑客在全世界控制肉机，然后让肉机去发起攻击的行为，就是CC 攻击。

WAF--- 三大核心价值

确保网站业务可用 --- 保证所有用户都可以正常访问网页，不会出现故障

防范数据泄露 / 网页篡改 --- 防止黑客修改网页，发表一些不正当言论

优化业务资源 ---> 负载均衡