实现网络的安全性：

配置网络安全技术

保护网络设计要素

无线网络安全

实施安全的联网协议和服务

网络的组成

设备 

媒介 网线 交换机

网络适配器 网卡

网络操作系统

协议 

路由器：

ACL

交换机：

根据mac地址限制对特定端口的访问（交换机端口绑定MAC）

限定流量和最大会话数

实现防洪功能，保护不受DoS攻击

实现环路预防，关闭网络环路（STP）

代理：

与连接的一端进行通讯时，充当网络连接另一端的设备

用作过滤内容的一种方方式（web过滤）

转发代理可以在客户端的流量离开内部网络之前对其进行拦截

代理可以修改流量或只是转发流量

专门用户保护目标服务器不被破坏

流量监听

反向代理可以拦截来自外部网络的流量。（拦截或检测对）

一些代理是多用途的，并且拥有应用程序级别的认识。

防火墙：

通过阻止不必要的网络流量来保护系统或网络

隐式拒绝（Implicit deny）：除非有明确的允许，否则所有流量都会被拒绝的防火墙模式【在规则最后配置deny all】

用于确定需要阻止的流量的预定义规则集。

连接信息保存在日志中用于监控

防火墙的类型：基于主机（360）、基于网络（网关设备）、网络应用程序（部署在前端网站服务器上）(WAF)

负载均衡：分配工作负荷的设备

所有设备都能更高效地运行

独立的设备可以免受DDoS威胁

类型：硬件（F5） 软件（LVS）

调度方式（scheduling）：

轮询调度（round robin）：按顺序依次转发流量给列表中的每个服务器

关联（Affinity）：将流量转发到已经与客户端建立连接的服务器，特定IP交给特定服务器。

集群: 资源池 冗余 由两台以上的设备构成

网络扫描器和分析工具

数据包分析器

  监听数据包+协议分析（查看数据包内容）

  监控有线和无线网络通讯

  捕捉流量数据

协议分析器

 使用数据包分析器捕获的数据

 确定流量使用的应用程序

 揭示使用特定矢量的恶意流量

网络枚举器

 爬取网络结构（namp、bp）

 提供网络架构的高级概况

入侵检测系统（IDS）

 扫描，评估和监控计算机基础设施，查找其中正在进行的攻击迹象的系统

分析数据并发送警报

每种实施方案都有独特性，取决于组织的安全需求。

可能包括：

   硬件传感器

   入侵检测软件（分析、判断）

   管理软件（触发报警）

入侵防御系统（IPS）

IDS+阻断功能

网络监控系统的类型（杀毒平台等）

基于签名（无法抵御0day）

  识别已知特征。

  使用预定义的规则集确定不可接受的事件

基于异常

  预期模式的定义

  识别不遵循模式的事件

  需要预先配置可接受事件的基线

基于行为

   确定当下的行为方式，并将未来的行为方式于此进行比较

  检测未来的行为方式是否偏离了常态

  记录了对被监控实体做出应对的预期模式。

启发式

   确定实体在特定环境中的行为方式

   可能会推断出实体是否会对环境构成威胁

SIEM secure information event management

安全信息和事件管理

一种安全解决方案，对网络迎接和应用程序生成的安全警报提供实施或接近实时的分析，提供预警功能。保证黑客的行为日志不会被擦除

是一种日志工具，收集网络中所有的日志并发现异常及报警，类似态势感知，

汇总确保了所有相关日志都会被包含在内以便提供整体视角。

关联确保了相关事件被放在合适的环境中。

可以以软件，硬件设备或云服务器的形式进行实施。

其他功能：

一次写入多次读取（WORM）（write once read m？）一旦写入就只读

自动警报

时间同步

删除重复事件

DLP data leakage prevention

数据丢失/泄露防御

软件解决方案，可以检测和防止敏感信息被盗或以其他方式落入不法之徒手中

包括信息泄露的政策，处理流程。主要目的是检测敏感信息外泄。

可以通过软件，硬件或基于云来实现，部署在出口，检测信息泄露并触发报警。提供方案时需要考虑到所有业务数据的可能出口（邮件、打印、U盘拷贝、网盘、文件上传、拍摄）。

可以通过软件，硬件或基于云来实现

监控数据，阻止未授权破坏，移动，复制。

具体功能：检测电子邮件发送机密文件并阻止传输，完全阻止USB端口或阻止特定文件被写入USB驱动。

信息安全：

定义：保护可用信息或信息来源不会受到未授权访问、攻击、盗取或数据损坏。

负责的个人和机构必须保护他们的机密信息。

所有形式的数据都必须加以保护

将商业风险和丢失关键数据造成的其他影响降到了最低。

拓展：

狭义的安全：IT安全、安全技术（渗透测试、安全配置、安全运维）

广义的安全：作为风险管理的一部分，包括物理安全（机房、安保）、内部安全（人员入职背调、业务连续性安全（在影响人无法工作的情况下促进业务继续进行的行动措施），信息安全。

信息安全控制的手段：（用于对抗风险）

预防（事前）

1. 各种类型的信息都需要加以保护
2. 减少安全
3. 例子：备份恢复测试

检测（事中）（发现并报警）

     发现访问未授权数据的尝试，或已经丢失的信息。

    对个体进行调差、扫描数据和网络、寻找入侵者留下的蛛丝马迹

恢复（事后）

      灾难或入侵会导致受损或数据损坏，需要执行一个进程来从崩溃的系统或设备中恢复数据，还能恢复丢失或被盗的物理资源

又可分为

物理性的控制：

      机房的栅栏、中央空调、

管理型的控制

       行政性的文件、规章制度，用于规范员工行为

逻辑性的控制（技术性）：

       防火墙 IPS 等安全设备。

风险：

定义：表示了面临损坏或丢失的可能性的概念，并说明了发生灾难或重大威胁的概率。（S+)

威胁主体利用脆弱性对应用系统或操作系统发动攻击，并对业务造成影响的潜在的可能性。(CISA）

• IT风险常常与系统、电力、网络或物理性损失有关。可能还会影响人员、实践活动和财产。
• 所有形式的数据都必须加以保护
• 设计和实施信息安全时，组织必须将风险考虑在内。

漏洞：

定义：任何可能使信息系统遭受损害的情况

由于应用程序开发的bug或人为配置的失误而产生的脆弱性。

• 不合理地配置或安装软硬件
• 未及时应用和测试软件及固件补丁
• 未经测试的软件及固件补丁
• 软件或操作系统中的错误
• 软件或通讯协议的错误使用
• 设计拙劣的网络
• 糟糕的物理安全
• 不安全的密码
• 软件或操作系统中的设计缺陷
• 未经检查的用户输入

威胁：

威胁主体发动的攻击的客观情况。可能对资产造成损害的任何事件或行动。

攻击：

未经授权的情况下、

控制

为避免、缓解或抵消由威胁或攻击引起的安全风险而必须部署的应对对策。

CIA

confidentiality机密性

integrity完整性

accessibility可用性

undeniably不可否认性 抗抵赖 数字签名

可追责性

最小特权

职责分离、权限分离、只应该知道应该知道的

特权管理

管理员账号、windows powershell账号，数据库账号，shutdown账号的特殊管理

识别方式

密码：

口令：用于特殊目的特定场景的密码、门禁卡，ping码

• 可以存储PIN，用户信息和密码（你有什么）
• 通过响应认证服务器生成的密码

生物特征

地理定位

击键认证

密码学

对称加密、非对称加密(RSA）

HASH

SLA、BPA、MOU、ISA

负载均衡：轮循、关联

TLS相当于SSL的开源版本，目前阶段SSL3.0及以下都是不安全的，TLS版本至少为1.2以上才是较为安全的推荐TLS1.3

  安全分三类：物理控制，管理性控制，技术性控制

导致硬盘损坏的原因叫漏洞，由于有漏洞导致有数据丢失的风险，这种情况就会形成威胁。 硬盘损坏看起来是结果，造成的原因是漏洞

BIA  业务影响分析

MTD 最大可承受时间     例子：业务最大承受停机时间 10小时

RTO 恢复时间目标       例子：一个小时恢复

RPO   恢复点目标    例子： 最多容忍丢失一个小时内的数据

SIEM 日志收集攻击   收集各种网络日志

DLP  数据泄露防护方案

四大安全：

信息安全

物理安全

业务连续性安全

内部安全

对称密钥有点：速度快 ，大容量加密。

非对称加密：采用密钥队进行加密方式。

A使用B的公钥进行加密  ---> B使用自己私钥进行解密。

非对称加密适合使用加密重要的东西， 体积小的数据

不可否认性   以及  信息完整性

会话密钥匙 对称加密   一次性密钥。

ECC  椭圆加密算法  与无线和移动设备使用 

替换密码==古典密码  

CRL（小型离线证书数据库） 可以离线进行证书检查。

配置网络安全技术

保护网络设计要素

实施安全的互联网协议和服务

保护无线流量

设备

媒介 网线、交换机

网络适配器 网卡

操作系统

协议 3层

2层或者3层

基于签名：根据特征（只能发现已知的威胁）

基于异常：

基于行为：

启发式：

SIEM收集日志（硬盘使用WORM-一次写入多次读取） 内连打印机（物理防御）

DLP 数据泄漏防护

部署在数据出口（全部出口， ）全部数据出口都需要布置（确定全部的数据出类型、类型中的全部出口），DLP可以组织USB端口或组织特定文件被写入USB驱动。结合日志检测（遇到必须使用USB之类的东西，USB只读不写）

安全是什么

信息安全目标：预防、检测、恢复

安全策略设计规定操作

信息安全基本概念、安全控制、认证和授权、加密

风险控制：预防控制、检测控制、恢复控制（修复）

信息安全功能分类：物理、管理、技术（逻辑）

物理控制：

热站、温站、冷站、肖战

1

1,

艰苦户籍科不健康博客

HTTPS:443端口  SSH：22端口

安全Shell:已汇总安全远程访问和安全数据传输的协议。

• 包含一个客户端和服务器
• 应用终端模拟软件进行远程登录会话
• 整个会话都被加密
• 是使用FTP时的首选协议
• 在Unix/Linux上使用，在windows上是需要第三方软件 

简单网络管理协议：

• 两个组成部分：管理系统和代理系统
• 代理被安装在网络设备上并将信息发到管理系统中
• 管理系统可以通知管理员或采取纠正性管理
• SNMPv3增加了加密支持

实时传输协议：提供了给予TCP/IP网络的音频和视频流媒体

• 用于VoIP,网络会议，内容传递
• 使用UDP以低水平的开销传输媒体本身。
• IPv4虽然安全性不高，单传播速度快，常用于流媒体上。因为流媒体不打注重。

互联网控制消息协议：一种IP网络服务，用于报告两台主机之间的连接

• 用于简单的功能，如使用ping检查目标主机的响应情况
• 攻击使用的ICMP
• Smurf攻击中用于淹没系统，就是回个echo,每次收到ICMP时
• 使用伪造的数据包重新配置路由表

IPSec

​​​​​​​安全网关：

• 确保对入站和出站的网络流量应用控制措施
• 可以应用几种不同的控制措施
• 邮件网关
• 垃圾邮件过滤器
• DLP方案组织数据泄露到网络外部
• 当数据离开网络时，加密确保了数据的机密性和完整性
• 安全措施还能应用于电子邮

安全网关：

 网关：网关相当于你网络数据最外面的访问点，可以做最初始的流量控制。

• 确保对入站和出站的网络流量应用控制措施
• 邮件的安全网关，过滤一些疑似垃圾邮件的网关，把邮件放到
• DLP方案阻止数据泄露到网络外部

统一威胁管理设备：

• UTM设备，将所有安全设备集中在同一台控制台中，所有功能就是一个独立的模块，各个模块中所有不关联，带宽会很大。
• IDS，杀毒软件 我们的下一代防火墙的各个模板有相互协同的作用，比UTM会更加可靠些

NAC通过健康检查来确定满足最低安全标准

IDS：网络入侵检测系统

DMZ非军事化区：内网需要直接被保护，吧需要对外服务的服务器或特定的端口放到DMZ中。是在防火墙中开辟的一种规则。

空隙：从物理上一个网络与其他所有网格分离的一种隔离做法。

分段、子网划分：讲一个网络分成多个子网的隔离做法

• 攻击者无法轻易从一个网段到另一个网段
• 限制攻击者造成的破坏
• 可以通过多种方式实现分段，包括物理手段

虚拟局域网：（VLAN）

• 与子网相似
• 但是子网位于网络层（第三层）
• VLAN实现了不同物理交换机上网络主机的分组
• VLAN可以为一个或多个子网进行配置

网络地址的转换：

• 在不同IP殉职机制之间进行转换的一种服务，如面向公共IP地址和私有IP
• 原地址被替换为路由器的地址，提高隐藏性

开发系统互联模型

应用层->表示层->会话层->网络层->数据链路程->物理层

• 每一层协议的协议和漏洞

域名系统: DNS 53、123号端口 常用udp传输，特殊情况下tcp传输，区域传送的时候才会用tco传输，传输数据大。

• 将计算机名称映射到IP地址的一种分层数据库系统

超文本传输协议：

   使用户能连接到网站并与之进行交互的TCP/IP协议。

• 如果你采用http程序，黑客只要和你在同一网段进行抓包，因为是明文，很不安全。

SSL/TLS加速器：可以从服务器中卸载加密计算负荷的硬件设备

• 加速器使服务器能有效地类型其主要职责
• SSL不安全，只能使用TLS，最新的TLS1.3以上
• 加速器可以插入到任何需要加密的服务器上

安全套接子层、传输层安全，采用https使用了，降级打击，强制使用HTTP

请求安全连接->发送证书和公钥->协商解密

• HTTPS：的安全版本，支持浏览器和服务器之间的加密通讯
• 使用SSL/TLS加密数据
• 几乎所有WEB浏览器和服务器软件都支持HTTPS
• 启用SSL/TLS的web地址一https://开头

数字证书是为了证明网站的真实性。

C

彩虹表：破解不了，逆向不了你的密码

哈希运算不可逆

拖图题