网络安全学习 day1

前言
计算机病毒种类狠毒
蠕虫病毒 ---> 具备蠕虫特性的病毒; 1. 繁殖性特别强(自我繁殖); 2. 破坏性
木马 - --> 木马屠城故事 ---> 木马本身不具备任何破坏性 。用于控制后门的一个程序( 后门 ---> 指的是测
试人员在目标系统中植入的一种隐藏式访问途径,可以使得在未来未得到授权的情况下重新访问系统)
网络安全 ---> 已经不再局限于网络世界,而是提升到了工控安全、网络空间安全
APT 攻击 ---> 高级可持续攻击;这种攻击行为,不是一次性就完成的,而是分多次来进行的
华三--鹰视
锐捷--ISG
迪普--视频安全网关
针对前端摄像头做一个准入认证
安全防护做了,出了问题是产品防护不到位,你不会存在责任;但是如果没做,那么所有的责任都
是你的。 --- 做了是天灾,没做是人祸
DDoS 攻击:分布式拒绝服务攻击 ---> 借助成千上万台被入侵后,且安装了攻击软件的主机同时发起的集团式攻击行为
1、金融证券
2、政府
3、公安
4、国家电网、中国烟草
5、涉密单位
思科 -- 防火墙 (PIX) AMP( 高级恶意软件防护 ) 、电子邮件安全、终端安全、云安全、身份验证 -ACS
思科,在安全方面的出货量,全世界第一; RFC 标准
华为 -- 五大业务群( 3 BG+2 BU );防火墙、抗 D 、大数据分析、安全管理;
华三 --H3C (换 3 次);宇视科技(监控);宏杉(存储);迪普(安全); --> 安全、大数据、云计算
锐捷 --- 安全网关 VPN 、审计类产品数据库审计、堡垒机、漏扫、应用防护类 WAF
安全产品概述
防火墙 ---> 最基本的功能,就是可以实现网络区域之间的逻辑隔离 。以及 VPN 技术
虚拟化底层 ---Docker 技术 --->
IPS 产品 --> 早期,存在 IDS IPS 之分, IDS-- 入侵检测系统; IPS-- 入侵防御系统 。在检测到攻击流量后,可以主动阻断该流量
防火墙:
偏向于边界的安全管理,主要做的是边界隔离
IPS:
能够对内网的流量进行分析检测;一般部署是在核心交换机上旁挂,然后再核心交换机上做镜像,将全网
的流量导入到IPS,从而进行分析检测
0-day :补丁发布之前,已经被掌握或公开的漏洞
二层回退:指当 IPS 串行在网络中,如果检测引擎出现故障,会导致网络流量中断阻塞;而具备该功 能后,可以直接跳过检测引擎,不进行数据检测,直接转发流量 ---- 一般被称为 bypass 功能。
F5-- 提出 ADN 概念 --- 应用交付网络。 --- 利用相应的网络优化 / 网络加速设备,确保用户的业务应用能够快速、安全、可靠的交付给内部设备或者外部服务集群。
TCP 连接复用技术 --- 属于最常用的一种应用优化技术 --- 将原本多个用户访问服务器的连接,迁移到
LB 设备身上,然后又 LB 设备与服务器建立连接,将原本的多个连接变为少量连接效果。 ---> 进行了流量 整合
HTTP 压缩 ---LB 产品,就相当于是一个代理设备。压缩原因:降低网络传输的数据量,提高用户访问浏览器的速度。
健康检查 --- 负载均衡器对后端设备提供实时的应用探测,一旦发现后端设备发生故障,立即将其从
转发队列中剔除,同时将请求转发到正常的后端设备。
流控设备 ACG --- 应用控制网关,实际上就是 H3C 的上网行为管理设备。
流控设备---一种专业的流量控制设备,用于实现基于应用层流量控制,属于对于七层流量的管控
作为网络优化设备--->在用网高峰期,限制用户通过迅雷下载文件速度,最高10Mbps;空闲时间随
意--更偏向于网络的限速和优化
针对认证系统联动---实现用户按流量计费
万任
上网行为管理---指帮助互联网用户控制和管理对互联网的使用。
作为安全设备--->倾向于管理和控制
中小型企业
深信服、网康
总结:广义上来说,行为管理设备也算属于流控,但是主要用途是记录和控制网络中的用户行为,
限制用户使用某些软件等,其流控能力较弱。狭义上来说,专用的流控设备的目的是优化带宽,通过限 制带宽占用能力强的应用来保护关键应用;专用的流控设备,一般应用在大流量环境中
ACG 功能
业务快速部署,可以将某些 APP 提前下载到该设备上
行为管理、流量限速
业务可视化 --- 对流量进行审计 --- 你做了什么事情,都会被设备记录下来。 ---> 上网行为管理有时候也 可以做一些日志审计或行为审计的功能
DPI---深度报文检测
一种基于应用层的流量检测和控制技术,通过深入读取IP报文载荷的内容来对应用层信息进行重组,得到
整个应用程序内容--->按照实现设定好的规则,来对这个流量进行管理
这个技术,可以识别单个数据包的内容。
DFI---深度流检测
属于DPI的衍生技术,通过分析网络数据流的行为特征来识别使用类型。
区别:
1、范围不同
2、颗粒度不同--DPI针对数据报文进行深入分析,包括头部和载荷;DFI对整个流量进行分析
3、应用场景不同
包检测技术---传统的防火墙基于五元组来进行报文检测
日志 --- 事后行为审计
事前--梳理资产;分析这些设备的风险
事中--是在网络层和应用层两个层面同时下手,阻断风险事件
事后--属于实时的检测内部的异常行为点,从而快速定位
很多安全产品,不仅仅是上网行为管理设备,都会保存有大量的日志报表,可以供事后网络安全人
员排查问题点。并且,日志信息是非常精细化的。
在任何地点,都不要在网络上乱发消息
WAF---Web 应用防火墙
专业应用层防护产品有三种
web应用防火墙
视频安全网关
数据库审计
安全取证:指的是在网络攻击或数据泄露等安全事件中,收集、保全、分析电子证据,以重建攻击
过程,并协助法律程序
CC 攻击 --- 属于 DDoS 的一种,通过使用代理服务器,向受害服务器发送大量看起合理的请求,导致 受害服务器资源耗尽,无法提供服务 --- 原理:黑客在全世界控制肉机,然后让肉机去发起攻击的行为,就是CC 攻击。
WAF--- 三大核心价值
确保网站业务可用 --- 保证所有用户都可以正常访问网页,不会出现故障
防范数据泄露 / 网页篡改 --- 防止黑客修改网页,发表一些不正当言论
优化业务资源 ---> 负载均衡

你可能感兴趣的:(网络安全,web安全,学习,php)