网络安全基础知识总结

什么是网络安全

        采取必要措施，来防范对网络的攻击，侵入，干扰，破坏和非法使用，以及防范一些意外事故，使得网络处于稳定可靠运行的状态，保障网络数据的完整性、保密性、可用性的能力(CIA)。

举例：

QQ被盗：保密性受到侵犯，可能被举报，删好友，亲人受骗

        数据被黑：完整性受到侵犯，个人权限被入侵破解，重要数据被盗取或者删除

数据被加密：可用性受到侵犯，勒索病毒加密重要数据，并勒索赎金

网络安全有哪些术语？

        漏洞：可能被一个或者多个威胁利用的资产或者控制的弱点

        攻击：企图破坏、泄露、窃取、未授权访问或者未授权使用资产的行为

        入侵：对网络或者联网系统的未授权访问，对信息系统进行有意或者无意的未授权访问，包括针对信息系统的恶意活动或对信息系统内部资源的未授权使用

        0day漏洞：指没有补丁的漏洞，即官方还未发现或者说是发现了还未开发出安全补丁的漏洞

        后门：绕过安全控制而获取对程序或者系统访问权的方法

        WEBSEHLL：以php,cgi,asp,jsp等网页文件形式存在的一种命令执行环境，也可将其称作为一种网页后门

        社会工程学：通过对受害者心里弱点、本能反应、贪婪等心理陷阱进行欺骗、伤害等手段取得自身利益

        exploit:简称exp,漏洞利用

        APT攻击：高级持续性威胁，利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式

        APT攻击之被入侵的财务系统

               攻击路径如下 

        

黑客攻击路径及攻击手段

        

 TCP/IP协议栈中各层都有自己的协议。由于这些协议在开发之初并未重点考虑安全因素，缺乏必要的安全机制。因此，针对这些协议的安全威胁及攻击行为越来越频繁，TCP/IP协议栈的安全问题也越来越凸显。

5层网络模型可能存在的网络风险

DNS/HTTP/SMTP/SSH/FTP 应用层

TCP/UDP传输层协议

ARP/ICMP/IP网络层

         设备破坏攻击一般不会容易造成信息的泄密，但通常会造成网络通信服务的中断，通常是一种暴力的攻击手段。在日益强调网络服务的高可靠性的今天，设备破坏攻击是需要重点关注的。当然即使不是人为的故意破坏，针对各种自然条件下的物理损坏也是需要考虑的，比如中美海底通信光缆的被渔船挂断事故，台湾地震导致的海底光缆中断事故等。

常见场景： 高温、低温、洪涝、龙卷风、暴雨、地震、海啸、雷电等。

常见处理办法： 建设异地灾备数据中心。

利用网络协议缺陷的攻击

数据链路层：2层

    MAC洪泛攻击：交换机中存在着一张记录着MAC地址的表，为了完成数据的快速转发，该表具有自动学习机制；泛洪攻击即是攻击者利用这种学习机制不断发送不同的MAC地址给交换机，填满整个MAC表，此时交换机只能进行数据广播，攻击者凭此获得信息。

网络层：3层

        ARP欺骗：网络中B主机感染arp病毒，A主机请求ARP，问网关的mac地址是什么呀，此时B主机回应A主机一个伪造的arp响应包，并且将网关的MAC改成自己的MAC地址，并且发给网关一个伪造的aRP响应包，告诉网关，A机的MAC地址是自己的，这样A发给网关的数据都被B主机截获了。

        解决方法：使用静态ARP缓存 使用三层交换设备 IP 与MAC地址绑定 ARP防御工具

                使用三层交换设备解决的原理：标准的交换机是二层的设备，会使用MAC地址来分发数据包，如果使用三层交换设备，那么三层交换机会使用IP地址来进行数据包的分发，也就意味着即使ARP欺骗使得封装了错误的MAC地址也没问题。因为三层交换机使用三层的地址，也就是IP地址来分发数据包。所以不会受到aIP欺骗的影响

                使用静态ARP缓存原理：在计算机终端上通过ARP -s这个命令生成静态的APP缓存，也就是这个缓存不可修改。那么攻击者伪造的arP应答报文就无法更改缓存了，也就没法完成ARP欺骗。但是这种方法对于局域网当中有较多的终端的情况下不太适用，因为要手工管理这么多的计算机MAC地址和IP地址，这是非常麻烦的一件事

传输层：4层

        SYN Flood攻击：攻击方大量发送针对服务端提供的TCP端口发起TCP syn请求，服务端根据TCP协议对请求方返回TCP syn+ack，然后调用资源保存请求信息，等待远端返回ack确认，而攻击源不再回复ack确认包，以达到消耗服务器性能的目的。（嗨~发起TCP syn,服务器端收到后返回ack,且等待对方ack,但是对方不理服务器了，因此服务器端一直在等待）

 SYN Flood攻击的防御方法：SYN代理

 TearDrop（利用系统、协议或服务的漏洞）：

        构造错误的分片信息，系统重组分片数据时内存计算错误，导致协议栈崩溃

 拒绝服务攻击：

        拒绝服务式攻击(DOS,Denial of Service)，顾名思义就是让被攻击的系统无法正常进行服务的攻击方式。

        拒绝服务攻击方式：

                利用系统、协议或服务的漏洞：

                         利用TCP协议实现缺陷；

                         利用操作系统或应用软件的漏洞

                目标系统服务资源能力：

                          利用大量数据挤占网络带宽

                          利用大量请求消耗系统性能

                混合型

DDos典型攻击方式

                带宽资源消耗：

                        直接攻击 ICMP/IGMP；UDP Flood

                        反射和放大攻击 ACK反射攻击 ；DNS/NTP/SNMP放大攻击

                        攻击链路 Coremelt攻击

                系统资源消耗：

                        攻击TCP连接 TCP Flood ；；SYN Flood； RST Flood ；SockStress

                        攻击SSL连接 THC SSL DoS ;SSL Flood

                应用资源消耗：

                        攻击DNS服务 DNS QUERY Flood； DNS NXDOMAIN Flood ；

                        攻击Web服务 HTTP Flood Slowloris ；慢速Post请求； 数据处理过程攻击； 哈希冲突拒绝服务攻击

DDoS攻击风险防护方案

                

 应用层：5层

       DNS欺骗攻击：客户端想访问网址如www.123.com,需要先向dns服务器请求dns解析www.123.com的ip地址为多少，黑客篡改DNS服务器后，向客户端回复一个错误的ip地址，使得客户端被引导至钓鱼网站，从而实现DNS欺骗攻击

------------------------------------------------------------------------------------------------------------------------------

利用系统或软件缺陷的攻击

缓冲区溢出

        缓冲区溢出攻击原理

                缓冲区溢出攻击是利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变

        缓冲区溢出的危害

                 最大数量的漏洞类型 漏洞危害等级高

        缓冲区溢出的防范

                  用户：补丁 防火墙

                  开发人员 ：编写安全代码，对输入数据进行验证 使用相对安全的函数

                  系统： 缓冲区不可执行技术 虚拟化技术

利用网站缺陷的攻击

        正常用户访问网页的具体流程如下图：

OWASP TOP 10：关于web应用的十大威胁

                在传统物理架构下，软硬件紧密耦合，资源无法共享以及动态调配，系统配置往往根据业务峰值来制定，因此造成资源利用率低，灵活性差，结构僵化；而虚拟化将软硬件解耦，计算资源，如内存、CPU、网卡等，通过软件抽象后提供给虚拟机使用，极大的提升了资源利用率以及灵活度。 

SQL注入攻击

        SQL注入攻击原理 ：

        SQL注入（ SQL Injection ）：程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户 可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据或进行数据库操作

        SQL注入简单示例：

                用户登录时：由于密码的输入方式，使得查询语句返回值永远为True，因此通过验证

           SQL注入的危害

                数据库信息收集: 数据检索

                操作数据库: 增加数据 删除数据 更改数据

                操作系统: 借助数据库某些功能（例如：SQLServer的内置存储过程XP_CMDShell）

            SQL注入的防御:

                 防御的对象：所有外部传入数据

                         用户的输入: 提交的URL请求中的参数部分; 从cookie中得到的数据;

                         其他系统传入的数据

             防御的方法：

                           白名单：限制传递数据的格式

                            黑名单：过滤

                                   过滤特殊字串：update、insert、delete等

                                    开发时过滤特殊字符：单引号、双引号、斜杠、反斜杠、冒号、空字符等的字符

                                    部署防SQL注入系统或脚本

XSS跨站脚本攻击

        跨站脚本攻击原理 :

                跨站脚本（Cross Site Scripting，XSS）是由于程序员没有对用户提交的变量中的HTML代码进行过滤或转换，当浏览器下载页面时，脚本可被执行，攻击者可以利用用户和服务器之间的信任关系实现恶意攻击,是发生在目标用户的浏览器层面上的.

        分为：        

                反射型攻击（诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标，目前有很多攻击者利用论坛、微博发布含有恶意脚本的URL就属于这种方式）（父母可能会点的钓鱼网站）

                持久型攻击（将恶意脚本提交到被攻击网站的数据库中，用户浏览网页时，恶意脚本从数据库中被加载到页面执行，QQ邮箱的早期版本就曾经被利用作为持久型跨站脚本攻击的平台）

         XSS跨站脚本示例:

 SQL/XSS/CSRF的区别：

CSRF跨站请求伪造

        一句话概括CSRF：

                攻击者盗用（伪造）了受害者的身份，以受害者的名义发送恶意请求，而这种恶意请求在服务端看起来只不过是正常请求。（账户被盗）

                 CSRF能做什么：

                         以受害者名义发送邮件，发消息，盗取受害者的账号，甚至购买商品，虚拟货币转账，修改受害者的网络配置（比如修改路由器DNS、重置路由器密码）......造成的问题包括：个人隐私泄露、机密资料泄露、用户甚至企业的财产安全；

                           一句话概括CSRF的危害：盗用受害者身份，受害者能做什么，攻击者就能以受害者的身份做什么

CSRF跨站请求伪造攻击过程

 扩展：cookie是什么？cookie和session的区别？

        cookie与session区别_百度搜索

CSRF实例讲解

        用虚拟的银行转账操作的例子演示CSRF的攻击过程：

                 用户 C 先登录银行网站 A（A 网站会在浏览器本地生成Cookie）；

                 用户 C 不关闭 A，新开一个浏览器标签页紧接着再访问危险网站 B（网站 B 中加载的图片会向网站 A 发送一个转账请求，这个请求带着银行网站 A 的Cookie）；

                 用户 C 的 1000 元钱在 C 不知情的情况下被转到了黑客的账户中。

针对终端设备的攻击

        勒索病毒

                        定义：         一种恶意程序，可以感染设备、网络与数据中心并使其瘫痪， 直至用户支付赎金使系统解锁。

                        特点：         调用加密算法库、通过脚本文件进行Http请求、通过脚本文 件下载文件、读取远程服务器文件、通过wscript执行文件、收集 计算机信息、遍历文件。

                        工作过程：         勒索病毒通过自身的解密函数解密回连服务器地址，通过HTTP  GET 请求访问加密数据，保存加密数据到本地目录，然后通过解密 函数解密出数据保存为DLL，最后再运行DLL (即勒索者主体)。该DLL 样本才是导致对数据加密的关键主体，且该主体通过调用系统文件生成 密钥，进而实现对指定类型的文件进行加密，即无需联网下载密钥即可 实现对文件加密。

                        危害：         勒索病毒会将电脑中的各类文档进行加密，让用户无法打开，并弹窗限时勒索付款提示信息，如果用户未在指定时间缴纳黑客要求的金额，被锁文件将永远无法恢复。

        勒索病毒攻击链分析：

 风险难以彻底消除的原因：即开了不该开放的端口，如3389、22，没有修复本该修复的漏洞，存在弱密码等。

          关于3389端口，这是Windows 2000(2003) Server远程桌面的服务端口，可以通过这个端口，用”远程桌面”等连接工具来连接到远程的服务器。22端口就是ssh端口

        

勒索病毒攻击场景-勒索病毒常见攻击途径和思路

场景一： 攻击者利用SQL注入、WebShell上传、应用漏洞等方式获得外网应用区服务器的系统权限 以外网应用区服务器作为跳板，通过RDP爆破、系统漏洞利用等方式获得数据中心关键服务器的系统权限

计算机网络之rdp爆破_金陵大掌柜的博客-CSDN博客_rdp爆破

场景二： 攻击者利用钓鱼邮件、水坑攻击、恶意程序捆绑等方式获得办公网内PC的系统权限 以办公网内PC作为跳板，通过RDP爆破、系统漏洞利用等方式获得数据中心关键服务器的系统权限

场景三： 攻击者通过各种手段入侵分支或互联的其它单位系统权限 利用分支或互联单位的终端作为跳板，入侵目标用户数据中心服务器

 勒索病毒的特点（攻击者）

传播入口多：

        ①公网服务器暴露端口、应用、系统，存在高危漏洞、弱口令和不合适的安全策略等

        ②内部用户自身遭遇钓鱼邮件，恶意链接，访问网页挂马，下载捆绑病毒的注册机破解软件等

传播技术隐蔽：

        ①传输通道隐蔽，难以被发现，如DNS隐蔽隧道

        ②自动化慢速爆破，潜伏时间长，攻击频率低，难以被一般安全设备纳入统计

        ③病毒样本变种频繁，无法及时识别。

勒索产业化发展：

        ①勒索软件包（勒索软件即服务）代码质量高，安全攻击能力强

        ②从制作到分发到洗钱每个节点都能找到对应的服务

复盘勒索病毒中招（受害者）

安全状况看不清楚：

        ①不清楚当前资产暴露情况 ②不清楚当前资产脆弱性情况

安全设备防不住：

        ①买了很多安全设备，不会精细配置，安全策略没关联

        ②勒索病毒技术迭代快，传统安全设备防护不全面有疏漏

问题处置不及时：

        ①勒索病毒爆发初期不知如何处置，小问题拖成大事件

        ②设备属性局限只能从单一方面处置问题，不够全面，记录缺失

构建高效的勒索病毒协同防护体系

通过以上四个组件，我们可以形成一个高效的协同防护体系，

*第一道防线：通过云端共享的威胁情报实时同步到安全设备形成防护能力；

*第二道防线：下一代防火墙，融合IPS、WAF、内容过滤功能，一键阻断，智能封锁外部IP

*第三道防线：端点安全EDR，落盘查杀，对终端行为异常检测、微隔离

*第四道防线：防火墙依据“安全云脑和感知平台分析的结果”阻断C&C外联

*第五道防线：安全大数据平台持续监测全网异常， DGA隐蔽信道分析&攻击链分析&行为异常分析等，快速定位和响应处置。

挖矿病毒 

        定义：         一种恶意程序，可自动传播，在未授权的情况下，占用系统资源，为攻击者谋利，使得受害者机器性能明显下降，影响正常使用。

        特点：         占用CPU或GPU等计算资源、自动建立后门、创建混淆进程、 定期改变进程名与PID、扫描ssh文件感染其他机器。

        工作过程：         受害者A机器会从攻击者Web服务器下载挖矿程序，而后会利 用系统上的已有漏洞建立后门。攻击脚本首先杀死其他同类产品以 及安全软件。并且每隔一定周期检测一次进程是否存，添加计划任 务并且检查木马文件，若未检测到就会自行远程下载并执行。同时， 程序自动扫描受害者机器上的SSH文件，进行横向感染。

        危害：           占用系统资源、影响系统正常使用。

特洛伊木马

        定义：         完整的木马程序一般由两个部份组成：服务器程序与控制器程序。“中了木马”就是指安装了木马的服务器程序，若你的电脑被安装了服务器程序，则拥有控制器程序的人就可以通过网络控制装有服务器程序的电脑。

        特点：         注入正常程序中，当用户执行正常程序时，启动自身。自动在任 务管理器中隐藏，并以“系统服务”的方式欺骗操作系统。包含具有 未公开并且可能产生危险后果的功能的程序。具备自动恢复功能且打 开特殊端口。

        工作过程：         木马一般都采用C/S架构，服务器程序被植入到受害者的电脑中， 控制器程序攻击者端运行，攻击者利用控制器程序主动或被动的连接 服务器，对目标主机的控制。木马运行后，会打开目标主机的一个或 多个端口。连接成功后，攻击者进入目标主机电脑内部，通过控制器 可以对目标主机进行控制操作。而这种连接很容易被用户和安全防护 系统发现，为了防止木马被发现，木马会采用多种技术实现连接隐藏， 以提高木马种植和控制的成功率。

        危害：         个人隐私数据泄露，占用系统资源

蠕虫病毒

        定义：         蠕虫是一种可以自我复制的代码，并且通过网络传播，通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后，就会把这台机器作为宿主，进而扫描并感染其他计算机。 当这些新的被蠕虫入侵的计算机被控制之后，蠕虫会以这些计算机为 宿主继续扫描并感染其他计算机，这种行为会—直延续下去。蠕虫使 用这种递归的方法进行传播，按照指数增长的规律分布自己，进而及 时控制越来越多的计算机。

        特点：         不依赖宿主程序、利用漏洞主动攻击、通过蠕虫网络隐藏攻击者 的位置。

       工作过程：         蠕虫病毒的程序其工作流程可以分为漏洞扫描、攻击、传染、现 场处理四个阶段，首先蠕虫程序随机(或在某种倾向性策略下)选取某一 段IP地址，接着对这一地址段的主机扫描，当扫描到有漏洞的计算机系 统后，将蠕虫主体迁移到目标主机。然后，蠕虫程序进入被感染的系统 ，对目标主机进行现场处理。同时，蠕虫程序生成多个副本，重复上述 流程。

        危害：         拒绝服务、隐私信息丢失

宏病毒

        定义：         宏病毒是一种寄存在文档或模板的宏中的计算机病毒。

        特点：         感染文档、传播速度极快、病毒制作周期短、多平台交叉感染

        工作过程：         打开感染宏病毒的文档，其中的宏就会被执行，于是宏病毒就会 被激活，转移到计算机上。从此以后，所有自动保存的文档都会“感 染”上这种宏病毒，而且如果其他用户打开了感染病毒的文档，宏病 毒又会转移到他的计算机上。

        危害:         感染了宏病毒的文档不能正常打印。封闭或改变文件存储路径， 将文件改名。非法复制文件，封闭有关菜单，文件无法正常编辑。调 用系统命令，造成系统破坏。

僵尸网络

        定义：         采用一种或多种传播手段，将大量主机感染僵尸程序，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 僵尸程序：指实现恶意控制功能的程序代码； 控制服务器：指控制和通信(C&C)的中心服务器

        特点：         可控制的网络，这个网络并不是指物理意义上具有拓扑结构的网络，它具 有一定的分布性，随着bot程序的不断传播而不断有新位置的僵尸计算机添加到 这个网络中来，可以一对多地执行相同的恶意行为。

       工作过程：         Botnet的工作过程包括传播、加入和控制三个阶段。通过主动攻击漏洞、 邮件病毒、即时通信软件、恶意网站脚本、特洛伊木马等途径在网络中传播。 在加入阶段，每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加 入到Botnet中去。在控制阶段，攻击者通过中心服务器发送预先定义好的控制 指令，让被感染主机执行恶意行为。

        危害：         拒绝服务攻击；发送垃圾邮件；窃取秘密；滥用资源；僵尸网络挖矿

通过蜜罐等手段获得Bot程序样本，采用逆向工程等恶意代码分析手段，获得隐藏在代码中的登陆Botnet所需要的相关信息，使用定制的僵尸程序登录到僵尸网络中去，进一步采用应对措施。

通过研究僵尸主机行为的网络流量变化（比如不同时间段的流量大小），使用离线和在线的两种分析方法实现对僵尸网络的判断。

通过研究IRC Botnet的行为特征，来发现Botnet。该检测方法多数针对IRC Botnet设计的，对其它如HTTP/AOL，P2P这类的就很少。

终端安全防范措施

 其他高级攻击

社工攻击

        原理：        社会工程攻击，是一种利用"社会工程学" 来实施的网络攻击行为。在计算机科学中，社会工程学指的是通过与他人的合法地交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。这通常被认为是一种欺诈他人以收集信息、行骗和入侵计算机系统的行为。         攻击过程：        社会工程学攻击是以不同形式和通过多样的攻击向量进行传播的。 常用手段有伪造好友邮件、钓鱼攻击、投放诱饵、等价交换等。

        防御手段：        定期更换各种系统账号密码，使用高强度密码等。

拖库、洗库、撞库

        原理：        拖库是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为。在取得大量的用户数据之后，黑客会通过一系列的技术手段和黑色产业链将有价值的用户数据变现，这通常也被称作洗库。最后黑客将得到的数据在其它网站上进行尝试登陆，叫做撞库，因为很多用户喜欢使用统一的用户名密码。

        攻击过程：        黑客为了得到数据库的访问权限，取得用户数据，通常会从技术层面 和社工层面两个方向入手。技术方面大致分为远程下载数据库文件、利用 web应用漏洞、利用web服务器漏洞。社工方面大致分为水坑攻击、邮件 钓鱼、社工管理员、XSS劫持。

        防御手段：        重要网站/APP的密码一定要独立 、电脑勤打补丁，安装一款杀毒软 件、尽量不使用IE浏览器、使用正版软件、不要在公共场合使用公共无线 做有关私密信息的事、自己的无线AP，用安全的加密方式（如WPA2）， 密码复杂些、电脑习惯锁屏等。

跳板攻击

        原理：        攻击者通常并不直接从自己的系统向目标发动攻击，而是先攻破若干中间系统,让它们成为“跳板”，再通过这些“跳板”完成攻击行动。跳板攻击就是通过他人的计算机攻击目标.通过跳板实施攻击。

        攻击过程：        首先，攻击者会监听、扫描某一特定主机或网段。实施跳板攻击时， 黑客首先要控制“跳板”，也就攻击目标的代理。然后借助“跳板”进行 实际的攻击操作,而跳板机就成了提线木偶。虽然跳板本身可能不会被攻击， 但最终被攻击者会把其当作入侵来源。

        防御手段：        安装防火墙，控制流量进出。系统默认不使用超级管理员用户登录， 使用普通用户登录，且做好权限控制。

水坑攻击

        原理：        攻击者首先通过猜测（或观察）确定特定目标经常访问的网站，并入侵其中一个或多个网站，植入恶意软件。最后，达到感染目标的目的。

        攻击过程：        黑客分析攻击目标的上网活动规律，寻找攻击目标经常访问的网站的 弱点，先将此网站“攻破”并植入攻击代码，一旦攻击目标访问该网站就 会“中招”。

        防御手段：        在浏览器或其他软件上，通常会通过零日漏洞感染网站。针对已知漏 洞的防御措施是应用最新的软件修补程序来消除允许该网站受到感染的漏 洞。用户监控可以帮助确保他们的所有软件都运行最新版本。如果恶意内 容被检测到，运维人员可以监控他们的网站和网络，然后阻止流量。

钓鱼式攻击/鱼叉式钓鱼攻击

        原理：        钓鱼式攻击是一种企图从电子通讯中，通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。鱼叉式网络钓鱼指针对特定目标进行攻击的网络钓鱼攻击。由于鱼叉式网络钓鱼攻击的目标一般而言并非普通个人，而是特定公司、组织之成员，因此被窃取的也并非 一般的个人资料，而是其他高度敏感性资料，如知识产权及商业机 密等。

        攻击过程：        通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮 件，意图引诱收信人给出敏感信息（如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息），将收信人引诱到一个通过精心设 计与目标组织的网站非常相似的钓鱼网站上，并获取收信人在此网 站上输入的个人敏感信息。

        防御手段：        保证网络站点与用户之间的安全传输，加强网络站点的认证过 程，即时清除网钓邮件，加强网络站点的监管。、

防火墙的发展历史

防火墙主要用于保护一个网络区域免受来自另外一个网络区域的网络攻击和网络入侵行为。

安全类产品(防火墙）发展史

        

 防火墙的演变趋势：

        

 防火墙常见技术术语说明

        部署模式有路由、透明、旁路、虚拟网线、单臂，最常见为以下三种：

        路由部署（路由器）：一般在互联网出口，使用防火墙作为网关。

        透明部署（串接）：一般在数据中心、专网边界，防火墙串接在网络中，类似于交换机，不改变原有网络拓结构。

        旁路镜像部署：测试时作为检测使用，接收镜像数据进行分析，中断不影响网络。

防火墙基本功能

        流控/QoS/流量管理：根据用户、应用分配进出的流量大小，实现保障网络质量的目的。

        访问控制/应用控制策略/ACL：传统防火墙只能基于端口和IP进行控制访问，比如某个IP只能访问某个IP和端口，而下一代墙可以基于应用、内容、用户来精细控制访问。

防护功能

        漏洞攻击防护（IPS模块）：又名虚拟补丁，阻断系统、软件的漏洞利用行为，如永恒之蓝漏洞。

        Web应用防护：阻断针对Web应用（通过HTTPS/HTTP访问）漏洞利用攻击，并防止信息获取，如web应用隐藏、防扫描、口令防护。

        僵尸网络C&C防护：识别并阻断多台主机被控制异常行为，包括非法连接、恶意软件特征。         防病毒：阻断用户下载、共享、邮件等方式传输的恶意文件。

        敏感信息防泄露：下一代防火墙基本功能，识别并阻断流量中具有敏感信息，如银行卡、手机、社保等信息。 云端检测：将灰度文件上传至云端，并在云端环境钟模拟运行，判别是否为恶意软件。

其他功能：

SSL解密/HTTPS代理：识别进出防火墙的加密流量，才能进行下一步的安全检测，需要将根证书导入防火墙中。

FW之传统防火墙（包过滤防火墙）——一个严格的规则表

判断信息：数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口（五元组）

工作范围：网络层、传输层（3-4层）

和路由器的区别：

        普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。 防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否”。

技术应用：包过滤技术

        优势：对于小型站点容易实现，处理速度快，价格便宜

        劣势：规则表很快会变得庞大复杂难运维，只能基于五元组

匹配规则： ①有允许规则：是； ②有拒绝规则：否； ③无相关规则：否；

FW之传统防火墙（状态检测防火墙）——首次检查建立会话表

判断信息：IP地址、端口号、TCP标记

工作范围：数据链路层、网络层、传输层（2-4层）

和包过滤防火墙的区别    ： 包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。 是包过滤防火墙的升级版，一次检查建立会话表，后期直接按会话表放行。

技术应用：状态检测技术

优势：主要检查3-4层能够保证效率，对TCP防御较好

劣势：应用层控制较弱，不检查数据区

FW之传统防火墙（应用代理防火墙）——每个应用添加代理

判断信息：所有应用层的信息包

工作范围：应用层（7层）

和包过滤防火墙的区别： 包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。 应用代理防火墙工作7层，检查所有的应用层信息包，每个应用需要添加对应的代理服务。

技术应用：应用代理技术

优势：检查了应用层的数据

劣势：检测效率低，配置运维难度极高，可伸缩性差

入侵检测系统（IDS）——网络摄像头

部署方式：旁路部署，可多点部署

工作范围：2-7层

工作特点：根据部署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头

目的：传统防火墙只能基于规则执行“是”或“否”的策略，IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。

分析方式： 1、基于规则入侵检测； 2、基于异常情况检测； 3、统计模型分析呈现；

 入侵防御系统（IPS） ——虚拟补丁

        入侵防御产品简称IPS，和防火墙一样，是最常见的网络边界安全产品。IPS通常部署在防火墙和被保护网络之间，由于当前用户网络中还有大量的传统防火墙，而传统防火墙工作在网络层，IPS可以补充防火墙在应用层的部分安全短板。IPS产品通常会内置一些漏洞特征库，包括各类操作系统和应用程序，原则上来说，漏洞库越多，漏洞库更新越频繁，IPS的检测能力更优。像我们平时听到的一些蠕虫、远控木马、病毒，IPS都具备防御能力。在国内做IPS比较好的厂商算绿盟。

产品定义

        防御操作系统层、应用层（包含：系统自带应用、中间件、其他安装应用）攻击，如：程序类（蠕虫/木马/病毒…）、代码类（缓冲区溢出/远程代码执行/代码注入…）

部署位置

        串联部署在防火墙和被保护网络之间

产品关键指标

        威胁检测准确率 规则库的数量与更新速度

劣势

        应用层防御能力有限

国内知名品牌

        绿盟

 防病毒网关（AV）——基于网络侧识别病毒文件

 判断信息：数据包，数据包还原成文件

工作范围：2-7层

目的：防止病毒文件通过外网络进入到内网环境

和防火墙的区别：

统一安全威胁网关（UTM） ——多合一安全网关

        UTM的概念是IDC在2004年第一次提出来，UTM与下一代防火墙其实都是以融合安全作为基础的，由于当年融合安全的理念并不完善，网络攻击行为相对落后，造成了UTM的性能一直受到诟病。现在UTM厂商也一直提到向下一代防火墙的处理方式靠拢，像飞塔的UTM现在性能也得到提升。

产品定义

        在一个硬件产品中集成防火墙、防病毒、入侵防御等安全功能。

部署位置

        串联部署在网络边界处

产品关键指标

        威胁检测准确率

        安全功能多少

劣势

        采用多次拆包多次检测的机制，处理性能低

国内外知名品牌

         飞塔、网御

web应用防火墙（WAF） ——专门用来保护网站类应用

        Web应用防火墙简称WAF，和网络防火墙的区别主要是WAF可以针对服务器提供应用层安全防护能力，常见应用场景包括数据中心、对外业务发布区域，简单来说只要有服务器的场景WAF都能发挥作用。WAF产品通常部署在服务器前端，检测各类访问服务器的流量是否合法，一旦发现违规访问则会立即阻断该访问行为。像我们平时听过的SQL注入攻击、跨站脚本攻击、账号爆破都在WAF的工作职责之内。在国内做WAF比较好的厂商有安恒信息、我们深信服、长亭科技等。

产品定义

        通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的安全产品

部署位置

        串联部署在服务器前端

产品关键指标

        威胁检测准确率 应用攻击识别的种类 规则库的数量与更新速度

劣势

        专注于应用层防御，缺乏网络层防御能力

国内知名品牌 安恒、深信服、长亭

下一代防火墙（NGFW）——升级版的UTM

包含功能：FW、IDS、IPS、AV、WAF

工作范围：2-7层

和UTM的区别：

        与UTM相比增加的web应用防护功能；

        UTM是串行处理机制，NGFW是并行处理机制； NGFW的性能更强，管理更高效

 摩尔定律：每一美元所能买到的电脑性能，将每隔18-24个月翻一倍以上。这一定律揭示了信息技术进步的速度