安全防护前置

就业概述

网络安全工程师/安全运维工程师/安全工程师

安全架构师/安全专员/研究院（数学要好）

厂商工程师（售前/售后）

系统集成工程师（所有计算机知识都要会一点）

学习目标

前言

网络安全事件

蠕虫病毒-->具备蠕虫特性的病毒;

1.繁殖性特别强(自我繁殖)

2.具备破坏性

木马-->木马屠城故事-->木马本身不具备任何破坏性.

用于控制后门的一个程序

后门:指的是测试人员在目标系统中植入的一种隐藏式访问途径,可以使得在未来得到未授权的情况下重新访问系统

网络安全-->已经不在局限于网络世界,而是提升到了工控安全,网络空间安全.

启明星辰(工控安全,被国家收编)

APT攻击--->高级可持续攻击,这种攻击行为,不是一次性就完成的,而是分多次来进行的.

供电通过网线

针对视像头做的安全防护措施

华三--鹰视

锐捷--ISG

迪普--视频安全网关

针对前端摄像头做的一个准入认证

安全防护做了,出了问题是产品防护不到位,你不会存在责任;但是如果没做,那么所有的责任都是你的

----做了是天灾,没做是人祸

DDos攻击:分布式拒绝服务攻击-->借助成千上万台被入侵后,且安装了攻击软件的主机同时发起集团式攻击行为

(tcp请求报文)

网络安全比较重视的单位

1,金融证券

2,政府

3,公安

4,国家电网,中国烟草

5,涉密单位

网络安全厂商

吞吐量(安全设备性能的指标):向内向外发送接受流量的总和

带宽值要小于等于三分之一的吞吐量

网络兼安全厂商:

1.思科---防火墙,AMP(高级恶意软件防护),电子邮箱安全,终端安全,云安全,身份认证-ACS

Cisco在安全方面的出货量,全世界第一,RFC标准

2.华为---五大业务群(3大BG+2大BU);防火墙(x86),抗D,大数据分析,安全管理

3.华三---H3C((换3次); 宇视科技(监控); 宏杉(存储); 迪普(安全)----->安全,大数据,云计算

4,锐捷---->教育(中小学) ,无线安全网关VPN,审计类产品数据库审计,堡垒机.漏扫,应用防护类WAF

5.迪普---->(所有设备都是插卡型的),交换机（看家本领），安全，无线

6.迈普----->OEM（贴标）

传统的安全厂商：

1.奇安信---->政法/军队/公安（90%）；看技术说话----被中电入股；安全设备（网闸，判断一个安全公司是否厉害）；工资低但是管吃住

2.深信服---->企业级安全/云计算/IT-----加班+异地化+工资高----WOC广域网优化

3.启明星辰

4.天融信-->老牌安全公司----防火墙（被OEM）

5.绿盟--->政府/运营商/能源/互联网/医院------抗D（异常流量清洗，业内顶尖）----黑客起家

互联网厂商：

甲方公司

安全产品的介绍

防火墙

最基本的功能：实现网络区域之间的逻辑隔离。以及VPN技术。

NGFW：下一代防火墙

虚拟化底层---Docher技术

IPS

早期存在IDS和IPS之分，IDS--入侵检测系统；IPS--入侵防御系统。在检测到攻击流量后，可以主动阻断流量

防火墙：

偏向于边界安全管理，主要做的是边界隔离

IPS：

能够对内网的流量进行分析检测一般部署是在核心交换机上做镜像，将全网的流量导入到IPS，从而进行分析检测。

IPS根据库来分析检测

0-day：补丁发布之前，已经被掌握或公开的漏洞

二层回退：指的是当IPS串行在网络中，如果检测引擎出现故障，会导致网络流量中断阻塞；而具备该功能后，可以直接跳过检测引擎，不进行数据检测，直接转发流量。--bypass

负载均衡（LB）

F5---提出ADN概念----应用交付网络。----利用相应的网络优化/网络加速设备，确保用户的业务应用能够快速、安全、可靠的交付给内部设备或者外部服务集群。

应用优化：

TCP连接复用技术---属于最常用的一种应用优化技术---将原本多个用户访问服务器的连接，迁移到LB设备身上，然后用LB设备与服务器建立连接，将原本的多个连接变为少量连接的效果。-------》进行了流量整合。

HTTP压缩--LB产品相当于是一个代理设备。压缩原因：降低网络传输的数据量，提高用户访问浏览器的速度。

健康检查---负载均衡器对后端设备提供实时的应用探测，一旦发现后端设备发生故障，立即将其从转发队列中剔除，同时将请求转发到正常的后端设备。

流控产品ACG

---应用控制网关，实际上就是H3C的上网行为控制设备

流控设备：

一种专业的流量控制设备，用于实现基于应用层流量控制，属于对于七层流量的管控；

作为网络优化设备------->在用网高峰期，限制用户通过迅雷下载文件，最高10Mbs，空闲时间随意--更倾向于网络的限速和优化

针对认证系统联动----实现用户按流量计费

万盛

上网行为管理：

指的是帮助互联网用户控制和管理对互联网的使用。

作为安全设备--->倾向于管理和控制------中小型企业

深信服、网康

总结：广义上说，行为管理设备也属于流控，但是主要用途是记录和控制网络中的用户行为。限制用户使用某些软件等，其流控能力较弱。狭义来说，专用的流控设备的目的是优化带宽通过限制带宽占用能力强的应用来保护关键应用，一般应用在大流量环境中。

ACG功能

业务快速部署，可以将某些APP提前下载到该设备上
行为管理、流量限速
业务可视化--->对流量进行审计--你做了什么事情，都会被设备记录下来。-->上网行为管理有时候也可以做一些日志审计或行为审计的功能。

上网行为管理底层技术：

DPI---深度报文检测

一种基于应用层的流量检测和控制技术，通过深入读取IP报文载荷的内容来对应用层进行重组，得到整个应用程序内容--->按照实现设定好的规则，来对这个流量进行管理

这个技术，可以识别单个数据包的内容

DFI---深度流检测

属于DPI的衍生技术，通过分析网络数据流的行为特征来识别使用类型。

区别：

1、范围不同

2、颗粒度不同--DPI针对数据报文进行深度分析，包括头部和载荷；DFI对整个流量进行分析

3、应用场景不同

包检测技术---传统的防火墙基于五元素来进行报文检测

日志---事后行为审计

事前--梳理资产；分析这些设备的风险

事中--是在网络层和应用层两个层面同时下手，阻断风险事件

事后--属于实时的检测内部的异常行为点，从而快捷定位

很多安全产品，不仅仅是上网行为管理设备，都会保存有大量的日志报表，可以供事后网络安全人员排查问题点。并且，日志信息是非常精细化的。

WAF--web应用防火墙

专业应用层防护产品有三种：

web应用防火墙

视频安全网关

数据库审计

安全取证：指的是在网络攻击或数据泄露等安全事件中，收集、保证、分析电子证据，以重建攻击过程，并协助法律程序。

cc攻击-----属于DDos的一种，通过使用代理服务器，向受害服务器发送大量看起来合理的请求，导致服务器资源耗尽，无法提供服务。---原理：在全世界控制肉机，然后让肉机去发起攻击的行为，就是cc攻击

WAF---三大核心价值：

确保网站业务可用----保证所有用户都可以正常访问网页，不会出现故障
防范数据泄露/网页篡改--防止黑客修改网页，发表一些不正当言论
优化业务资源-->负载均衡

数据库审计

审计产品：

1.内容审计

2.数据库审计

3.运维审计

数据库审计系统的核心点：

1.记录违规行为

2.漏洞扫描

逻辑：采集数据库流量进行解析还原，对流量行为进行分析，再通过规则和报表的手段，发现数据库的违规行为。--该系统一般也是在核心交换机旁挂

异常流量清洗

（抗D-抗DDos攻击产品，一般被称为异常流量清洗设备）--绿盟，阿里巴巴

异常流量--->来自于互联网的肉机、僵尸网络，在恶意操作人员的控制下，能产生大量的垃圾流量，致使目标资源耗尽，无法提供正常的对外服务。-----不是病毒、也不是木马，这种异常流量，是一种正常的访问行为。

DDos攻击，非常难以防护。一般的安全设备，防火墙是很难检测该流量的。

首包丢弃--->利用协议重传机制，丢弃首个报文，并记录请求信息，当再次来访时，则正常放行，从而过滤僵尸网络。

抗D产品部署方式：1.串行部署；2.旁挂部署

堡垒机

运维审计系统

单点登录--运维人员要对多台设备进行管理时，只需要登录到堡垒机上，由堡垒机代替填写具体的交换机或网络设备的登录信息，从而对设备进行管理
运维审计--会把管理人员任何的操作，全部记录下来。可以录屏。（1、堡垒机的运维审计，可以做到自主判断。2、一但，堡垒机发现了危险行为，会通过ACL进行阻断，并且1切断用户登录会话，并且，通过邮件等方式通知管理人员。）

在等保2.0政策中，三级以上都要求对运维操作进行审计，也就意味着三级以上等保项目中，都要上堡垒机。

漏扫产品

漏洞扫描产品逻辑：自己对自己进行扫描，从而在黑客真正扫描之前发现本身的漏洞，解决相关问题。

黑盒测试---测试人员，在不了解系统内部结构和源代码的情况下进行渗透测试。只能基于外部信息和系统接口进行攻击目的是为了模仿真实的外部威胁

灰盒测试---测试人员，有部分系统内部结构和源代码的情况下进行渗透测试。介于两者之间；有针对性的一种测试行为

白盒测试---测试人员，在充分了解系统内部结构和源代码的情况下进行渗透测试。可以直接

测出系统的所有信息。

各厂商的漏扫产品：

绿盟：极光；安恒：明鉴；启明星辰：天镜

安全隔离与信息交换产品--网闸

网闸：是从物理层面进行网络隔离。在默认情况下，拒绝任何一种跨网络访问。网闸的本质，是实现了物理层和数据链路层的断开。

网闸和防火墙的区别：

防火墙基于逻辑隔离；网闸是在物理层面进行隔离。

1.当内网用户需要将文件传输给外部时，用户通过某个安全加密协议进行数据传输，将文件传输给网闸，而网闸收到该数据后，首先查找本地的配置信息，来检测该文件的发送端是否是允许发送文件的用户，如果不是，则丢弃文件。如果是，则将文件进行整理

2.网络隔离模块一般是定时与内外网处理单元进行连接

当网络隔离模块和内网处理单元连接时，将文件发送给隔离模块--->并非是“包交换”的逻辑--->意味着并非是执行的TCP/IP协议栈逻辑，而是某种私有协议的摆渡协议。

对于比较大的文件，在传输过程中，是被分为一个个小的片段传输。

经过多轮传输后，外网处理单元才能获取到完整的文件信息

3.外网处理单元需要再一次对文件进行检查，当所有规则都符合后，会将文件放置在一个特殊的文件夹。--->该文件夹只允许外网某个经过授权的用户进行访问。

总结：网闸的特点包括没有通信连接、没有命令、没有协议、没有TCP/IP连接，没有应用连接，没有包交换，只有文件摆渡。-->对固态介质只有读写两个操作。这种设计使得网闸可以在物理上实现隔离。 可以实现真正的安全。

网闸架构---2+1架构模式；内网处理单元+外网处理单元+网络隔离模块；必须保障网络隔离模块与内外网处理单元之间的开关没有同时闭合。--->实现了物理层隔离；至于数据链路层的隔离，是基于总线型读写技术。

防火墙的逻辑是保证连接联通的情况下尽可能的安全；而网闸的逻辑是如果不能保证安全的情况下则断开连接。

前置机

光闸---一种有网闸基础上发展而来的，是一种基于光的单向性的单向隔离软硬件系统

态势感知---感知安全，主动防御

探针---流量采集器

其他

加密机---网络加密算法服务器----一般在涉密单位---使用国密算法、使用国密芯片--所有的内容都属于国密标准

主要是为了保护通过互联网传输的一些高密或机密文件，---加解密

CIA角度

C---数据机密性

I ---数据完整性

A---数据可靠性

NAC---网络准入控制系统

确保只有经过授权和符合安全策略的设备才能接入网络。

接入设备的身份认证--MAC、IP、用户名、密码、设备接入端口、所在VLAN、U盘认证、智能卡数字证书......

接入设备的安全检查--下放某些指令

数据备份和恢复产品---备份一体机

灾备的最后一道防线

等保从1级到4级，对备份都是有严格要求，从备份，到灾备，从本地到异地，从重要数据、到全量数据。

零信任产品---默认情况下，不应该信任网络内部和外部的任何人/设备/系统，需要基于认证和授权重构访问控制的信任基础。---持续验证，永不信任。