- 博客(173)
- 资源 (30)
- 收藏
- 关注
RSS订阅原创 猿创征文|HCIE-Security Day62:web安全基础,web协议详解,辨析cookie和session
第二步,将商品加入到购物车中时,你会调用/cart接口,但是注意,这个行为是和第一步是有关联关系的,是谁将什么物品加入到购物车中了?存在的问题:所以我们说涉及到交互时,情形就完全不一样了,因为这三步是有依赖关系的,第一步验证登录者是一个合法用户,验证通过给你返回200/OK,但是只要服务器给返回了响应,那么一个http的请求和响应就结束了。在点击一个纯的html网页,请求获取服务器的html文件资源时,每次http请求都会返回同样的信息,因为这个是没有交互的,每一次的请求都是相互独立的。
2022-09-13 23:03:56
1670
原创 猿创征文|HCIE-Security Day61:应用行为控制技术
然后通过在安全策略里面引用应用行为控制配置文件、用户和时间段(工作时间、非工作时间)等对象,可以达到对内网用户的HTTP行为、FTP行为和IM行为差异化、精细化管理的目的。在企业内部通常需要对内网用户的HTTP行为和FTP行为进行管理,不同的用户使用HTTP和FTP访问网络资源需要不同的权限,同一用户在不同的时间段具有的权限往往也不同。FW作为企业的出口网关部署在内网出口处,通过在FW上配置应用行为控制功能,当内网用户访问外网时,能够有效管理内网用户的HTTP行为、FTP行为和IM行为。
2022-09-12 13:03:04
966
原创 猿创征文|HCIE-Security Day60:邮件过滤技术
电子邮件是一种通过网络提供信息交换的通信方式。完整的电子邮件一般包括邮件地址、主题、正文和附件。电子邮件的格式有:SMTP、POP3、IMAP、MUA、MTA垃圾邮件:收件人事前没有提出要求或者同意接收的广告、电子刊物、各种形式的宣传品等宣传性的电子邮件收件人无法拒收的电子邮件隐藏发件人身份、地址、标题等信息的电子邮件含有虚假的信息源、发件人、路由等信息的电子邮件。携带病毒和木马的邮件(以附件形式)
2022-09-12 12:43:05
2360
2
原创 猿创征文|HCIE-Security Day59:文件过滤技术
2、如果文件的属性与规则的匹配条件全部匹配,则此文件成功匹配文件过滤配置文件的规则。文件过滤全局配置定义了文件类型识别结果异常时的处理动作,并可对压缩文件的解压层数、文件大小、超过解压层数和文件大小时的处理动作进行设置,通常采用默认值即可。1、如果需要进行文件过滤规则匹配,则NGFW会将识别出的文件属性(应用、方向、文件类型、文件拓展名)与管理员定义的文件过滤配置文件的规则进行匹配。承载文件的应用:文件是承载在应用协议上传输的,例如HTTP、FTP、SMTP、POP3、NFS、SMB、IMAP。
2022-09-12 10:58:48
608
原创 猿创征文|HCIE-Security Day58:内容过滤技术
关键字是内容过滤时设备需要识别的内容,如果在文件或应用中识别出关键字,设备会对此文件或者应用执行响应动作,关键字通常为机密信息(公司商业机密、用户个人信息的报告)或者违规信息(敏感或公司规定的违规信息等)。如果内容成功匹配一条内容过滤规则,则设备会对此内容进行关键字检测,检测内容中是否存在内容过滤规则定义的关键字。文件内容过滤是对用户上传和下载的文件内容中包含的关键字进行过滤。如果是应用内容则识别出应用的类型和应用内容传输的方向,如果是文件内容则识别出承载文件的应用类型、文件的类型和文件传输的方向。
2022-09-12 10:53:21
709
原创 猿创征文|HCIE-Security Day57:URL过滤技术
是否有授权是否升级库是否加入白名单URL配置文件是否正确是否提交安全策略是否调用URL配置文件是否加入白名单URL配置文件是否正确是否提交安全策略是否调用URL配置文件。
2022-09-12 10:48:28
561
原创 猿创征文|HCIE-Security Day56:入侵防御技术
传统电脑病毒等网络威胁,向由利益驱动的,全面的网络威胁发展变化。主要有:黑客入侵、拒绝服务攻击、病毒及恶意软件、个人安全意识薄弱。指未经授权而尝试访问信息系统资源、篡改信息系统中的数据、使信息系统不可靠或者不能使用的行为,入侵企图破坏信息系统的完整性,机密性以及可用性、可控性。在发现入侵行为时能实时阻断的入侵检测系统。IPS使得IDS和防火墙走向统一,IPS在网络种一般有两种部署方式。入侵防御是种既能发现又能阻止入侵行为的新安全防御技术。
2022-09-12 10:42:21
1787
1
原创 猿创征文|HCIE-Security Day55:反病毒技术
恶意代码,感染或附着在应用程序或文件中,一般通过邮件或者文件共享等协议传播,威胁用户主机和网络安全。有些会耗尽主机资源,占用网络带宽。有些会控制主机权限,窃取用户数据有些会对主机硬件造成破坏。
2022-09-08 09:14:34
861
原创 猿创征文|HCIE-Security Day54:anti-ddos设备防御原理
相比防火墙,anti-ddos设备是专门做anti-ddos的,所以很多功能都是防火墙没有的。
2022-09-07 14:10:57
1695
原创 猿创征文|HCIE-Security Day53:Anti-DDoS设备简单谈
华为Anti-DDoS方案包括三大组件:检测中心、清洗中心和管理中心(ATIC)。我们可以将他们形象地比喻成侦察机、战斗机和指挥部。检测中心是方案中的“侦察机”,主要负责对流量进行检测,发现流量异常后上报管理中心,由管理中心下发引流策略至清洗中心,指挥清洗中心进行引流清洗。清洗中心是方案中的“战斗机”,主要负责根据管理中心下发的策略进行引流、并对流量进行清洗(过滤),并把清洗后的正常流量回注,同时将这些动作记录在日志中上报管理中心。管理中心(ATIC)是方案中的“指挥部”,负责检测中心和清洗中心的统一管理和
2022-09-07 13:54:47
2519
1
原创 猿创征文|HCIE-Security Day52:DDoS和防火墙(附场景和配置)
一旦FW收到这个RST报文,就可以判断这个客户端是真实的,就会将这个客户端的源地址加入白名单,白名单老化前,这个源发出的报文都认为是合法的报文,FW直接放行,不再做验证。针对http慢速攻击的特点,anti-ddos设备对每秒钟http并发连接数进行检查,当每秒钟http并发连接数超过设定值时,会触发http报文检测,检测出slow post和slow headers的任意一种情况,都认定受到http慢速连接攻击,则将该源IP地址判定为攻击源,加入动态黑名单,同时断开此IP地址与http服务器的连接。
2022-09-04 10:25:11
1258
原创 猿创征文|HCIE-Security Day51:单包攻击防范与应用(附场景和配置)
通过向目标系统发送有缺陷的ip报文,使得目标系统在处理这样的IP报文时发生错误,或者造成系统崩溃,影响目标系统的正常运行,主要的畸形报文攻击有ping of death,teardrop等。
2022-09-03 17:51:48
1152
原创 猿创征文|HCIE-Security Day49:AC准入控制SACG
通过在路由器或交换机上配置重定向或者策略路由,将Untrust区域的终端设备访问Trust区域的业务系统的流量从路由器或交换机转发到SACG上,由SACG对其进行处理。通过在SACG上配置AC联动功能,将SACG上的acl3099-3999作为接纳controller下发控制策略的容器,这901条acl分别对应ID号为0-900的901种角色,每种角色对应controller系统中的一个受控域。如果勾选只允许访问列表中的受控域资源,禁止访问其他,就会下发给认证后域,即通过认证的设备以下acl内容。
2022-09-03 09:34:50
1156
原创 网络安全法学习
第六十三条 违反本法第二十七条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。
2022-09-02 23:40:30
1191
原创 猿创征文|云上服务器安全
通过2016年中国网络服务器安全报告中服务器安全健康状况报告显示,只有8%的服务器是健康的,还有66%的服务器特别不健康。处于亚健康的服务器如果不去采取措施,也会变成不健康的服务器。
2022-08-31 22:45:20
716
原创 山石网科等级保护培训笔记
根据信息、信息系统在国家安全、经济建设、设备生活中的重要程度遭受破坏后对国家安全、设备秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度将信息系统划分为不同的安全保护等级并对其实时不同的保护和监管。...
2022-08-30 23:58:05
1449
原创 HCIE-Security Day48:AC准入控制Portal
portal认证通常也称为web认证,一般将portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,如果未认证成功,仅可以访问特定的网络资源,认证成功后,才可以访问其他网络资源。免安装:portal认证不需要安装专门软件便于运营:可以在portal页面上进行业务拓展,如广告推送、企业宣传等应用广泛:运营商、连锁快餐、酒店、学校部署位置灵活:可以在接入层或关键数据的入口作访问控制用户管理灵活:可基于用户名与vlan/ip/mac地址的组合对用户进行认证。...
2022-08-26 08:51:18
1306
原创 HCIE-Security Day46:AC准入控制Dot1x
802.1X协议是一种基于端口的网络接入控制协议(Port based networkaccess control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级验证用户身份并控制其访问权限。二层协议:802.1x为2层协议,不需要到达三层,对接入设备的整体性能要求不高,即可以使用二层交换机作为接入设备,有效降低建网成本。安全性:认证报文和数据报文通过裸机接口分离,提高安全性。C/S架构:包含三个实体,客户端、接入设备、认证服务器。
2022-08-23 00:36:36
2054
1
原创 HCIE-Security Day45:AAA和NAC详解
NAC(Network Admission Control)称为网络接入控制,通过对接入网络的客户端和用户的认证保证网络的安全,是一种“端到端”的安全技术。NAC功能主要用于用户认证和控制用户的网络访问权限.
2022-08-22 09:21:00
1460
原创 HCIE-Security Day44:AC产品概述、功能、架构组成、AC准入主要技术、RADIUS协议
Agile Controller:敏健控制器。基于用户与应用的网络资源自动化控制系统,作为园区网络的集中化控制核心,全局控制园区网络的用户、业务与安全等策略。Agile Controller-Campus:主要面向企业做接入管理( 园区网),园区智慧的大脑Agile Controller-DCN:做控制器(用于数据中心和云计算中心)区别AC(Access Controller):无线控制点最新升级设备iMaster NCE。
2022-08-21 23:23:55
1170
原创 HCIE-Security Day43:SSL 虚拟私有网络技术
管理员需要从CA中心获取CA证书和客户端证书,CA中心审核通过后,会把CA证书和客户端证书发放给管理员,FW管理员将获取到的CA证书导入到FW,该CA证书用来验证移动办公用户客户端证书的有效性。如果虚拟网关没有指定认证域,则虚拟网关会根据用户名中携带的“@”后的字符串(该字符串代表认证域的名称)来决定的送往哪个认证域进行认证。FW将用户信息发送给服务器,服务器从存放的用户信息中查找用户所属的组,并将用户所属组信息发回给FW,FW依据用户所属组对应的角色权限为该用户授权。
2022-08-20 22:25:27
1079
原创 HCIE-Security Day42:IPsec高可用技术
为了提高网络可靠性,企业分支一般通过两条或者多条链路与企业总部建立IPSec连接。本节主要考虑如何感知IPSec链路状态并实现流量在多条IPSec之间按需切换,以保证业务的正常运行。ipsec高可靠性涉及可以分为两类,一种是链路冗余,另一种是主备网关备份。其中链路冗余又有多种不同的实现方法。...
2022-08-19 09:20:59
1189
原创 HCIE-Security Day41:理论学习:信息收集与网络探测
攻击者无法攻击一个他一无所知的网络,所以网络攻击的第一步就是目标网络的信息收集。信息收集帮助攻击者决定用什么方式展开攻击。互联网搜索、社会工程等。从高度碎片化的目标网络信息中提取关联对攻击有利的部分,比如IP地址、子域名、数据库的类型等。因此,对于一家企业来说,很多和该企业相关的信息都可能被利用,防止信息的泄露以及控制信息的发布能够降低企业面临的安全风险。企业概况、工商注册,通过基本信息,定位其核心价值资产。企业流程运转、部门设置、职能规划等最基本的结构依据。扩大攻击面、增加成功率。目标新闻、论坛、会议发言
2022-06-23 12:56:09
1221
1
原创 HCIE-Security Day40:理论学习:安全攻防概述
网络安全概念包括网络攻击和网络安全防御两个方面网络攻击是指针对计算机信息系统、基础设施、计算机网络或者个人计算机设备等的任何类型的进攻动作。网络安全防御是指面对各类网络攻击的检测、处置、记录、溯源、容错等。网络安全是指网络系统的硬件、软件以及系统中的数据受到保护,不因偶然的或者恶意的原因而遭受破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。常见攻击方式ddos攻击 sql漏洞 xss脚本 0day 病毒 入侵网络攻击链情报搜集--攻击准...
2022-05-08 21:48:12
1347
原创 HCIE-Security Day39:理论学习:隐私保护
隐私定义物理上的隐私:搜查个人住宅或者个人财产、搜身、监控或者提取生物特征信息等信息性的隐私:个人控制、编辑、管理和删除关于自己信息的能力和决定如何与他人沟通自己这些信息的能力。个人数据与一个身份已经被识别或者身份可以被识别的自然人(即数据主体)相关的任何信息,身份可识别的自然人是指其身份可以通过诸如姓名、身份证号、位置数据等识别码,或者通过一个或者多个与自然人的身体、生理、精神、经济或者文化、社会身份相关的特定因素来直接或者间接被识别。常见个人数据敏感个人数据在...
2022-04-24 00:01:30
1904
原创 HCIE-Security Day38:理论学习:信息安全管理
安全管理概述动态管理,是企业生产管理中的重要组成部分,是对生产中一切人、物、环境的状态管理与控制,是一种动态管理。实施安全管理过程中,必须正确处理五种关系,坚持六项基本管理原则。安全管理的五种关系安全与危险并存安全与效益兼顾安全与速度互保安全与质量包涵安全与生产统一安全管理的六项基本原则管生产同时管安全坚持安全管理的目的性贯彻预防为主的方针坚持四全动态管理安全管理重在控制在管理中发展、提高信息安全管理基本概念信息系统...
2022-04-23 23:29:09
2429
原创 HCIE-Security Day37:理论学习:信息安全防范与趋势
信息安全发展历程通信保密阶段20世纪初期,通信技术不发达,数据零散的存储在各个地点。信息安全阶段20世纪60年代后,互联网的发展带来了新的挑战,攻击者可以通过互联网威胁信息安全。信息保障阶段20世纪80年代,从传统安全理念转变到信息化安全理念。ICT技术应用和网络威胁正在发生改变ICT移动化EMM使移动设备与企业系统紧密结合在一起。众多网络接入配置、众多企业应用管理、众多终端管理、安全处理企业邮件。EMM(enterprise mobile management
2022-04-23 22:23:59
2801
原创 HCIE-Security Day36:L2TP三种类型:NAS-Init、Client-Init、Call-LNS场景描述、原理分析
L2TP:Layer 2 Tunneling Protocol。二层隧道协议。用于承载PPP报文的隧道技术,该技术主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。ppp报文的传输问题出差员工跨越Internet远程访问企业内网资源时需要使用ppp协议向企业总部申请内网IP地址,并需要经过总部的身份认证。但是ppp报文受其协议自身的限制不能在internet上直接传输。因为PPP(Point-to-Point Protocol)协议是一种点到点链路层协议,主要用于在全双工的同异步链
2022-04-11 14:03:47
1895
原创 HCIE-Security Day35:IPSec-NAT-T
NAT穿越场景在ipsec pn部署中,如果发起者比如fwc位于私网内部,而它希望与fwa之间直接建立一条ipsec隧道,这种情况下nat会对部署ipsec pn网络造成障碍。在多站点企业中,有的站点连动态的公网IP地址都没有,只能先由网络中的nat设备进行地址转换,然后才能访问internet,此时如果同时需要和另一个站点建立ipsec通道的话,就存在问题。IPSec是用来保护报文不被修改的,而NAT却专门修改报文的IP地址,所以肯定存在问题。协商IPSec的过程是由isakmp报文完成的
2022-04-04 23:44:39
1825
1
原创 HCIE-Security Day34:PKI证书
PKI基本架构公共基础设施,public key infrastructure。通过使用公钥技术和数字证书来提供系统信息安全服务,并负责验证数字证书持有者身份的一种体系。PKI的核心围绕数字证书的申请、颁发、使用等整个生命周期展开,使用到:对称密钥加密、公钥加密、数字信封、数字签名等技术。解决问题1、公钥合法性A与B进行通信,C作为攻击者存在于网络中,它有A和B的公钥,C拦击了B发送给A的B的公钥,并将自己的公钥发送给A,A获得的是C的公钥,C再拦截了B发送给A的信息,用自己的私钥对..
2022-04-01 23:45:22
1346
1
原创 HCIE-Security Day33:IPSec:深入学习ipsec ikev2、IKEV1和IKEV2比较
ikev2RFC 5996 - Internet Key Exchange Protocol Version 2 (IKEv2) (ietf.org)https://datatracker.ietf.org/doc/html/rfc5996定义在RFC4306,更新于RFC5996不兼容IKEV1,ikev1不支持认证,ikev2支持认证,eap。支持nat穿越支持私密性、完整性、源认证工作在UDP500端口NAT-T时使用UDP4500端口。初始交换正常情况下,IK...
2022-04-01 11:06:02
5210
原创 HCIE-Security Day32:IPSec:深入学习ipsec ikev1、主模式、野蛮模式、快速模式、dh算法、预共享密钥
ipsec ikev1总框架主动模式=野蛮模式华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2.dis ike peer bri2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...
2022-03-31 11:55:56
4059
原创 HCIE-Security Day31:IPSec:实验(六)配置PPPoE拨号分支与总部建立IPSec隧道示例
需求和拓扑FWA为企业分支网关,FWB为企业总部网关,分支与总部通过公网建立通信。分支网关通过PPPoE方式接入公网,PPPoE_Server为分支网关分配IP地址的服务器。企业希望对分支与总部之间相互访问的流量进行安全保护。分支与总部通过公网建立通信,可以在分支网关与总部网关之间建立一个IPSec隧道来实施安全保护。由于分支网关作为PPPoE客户端获取IP地址,总部无法获取其IP地址,所以总部网关只能响应分支网关发起的IPSec协商。操作步骤1、配置接口地址和安全区...
2022-03-22 23:59:07
1227
2
原创 HCIE-Security Day30:IPSec:实验(五)配置基于路由的IPSec PN(采用预共享密钥认证)
IPSec是基于定义的感兴趣流触发对特定数据的保护,至于什么样的数据是需要IPSec保护的,可以通过以下两种方式定义。其中IPSec感兴趣流即需要IPSec保护的数据流。此前使用的都是acl方式定义的感兴趣流。还有一种方式是路由方式。通过ipsec虚拟隧道接口建立ipsec隧道,将所有路由到ipsec虚拟隧道接口的报文都进行ipsec保护,根据该路由的目的地址确定哪些数据流需要ipsec保护,其中ipsec虚拟隧道接口具有以下优点。简化配置:不需使用acl定义流量特征支持动态路...
2022-03-21 00:16:05
5132
原创 HCIE-Security Day29:IPSec:实验(四)总部与分支机构之间建立IPSec PN(采用策略模板方式,总部采用固定IP)
采用策略模板方式ipsec安全策略可以简化多条ipsec隧道建立时的配置工作量。适用于对端ip地址不固定,比如dhcp或者pppoe,一般用于总部的配置。建立时,未定义的可选参数由发起方来决定,响应方会接受发起方的建议,本端配置了策略模板方式ipsec安全策略时不能发起协商,只能作为协商响应方接受对端的协商请求。(比如ike peer中定义的隧道对端ip地址)只能有一方是配置策略模板,另一方必须配置isakmp方式的ipsec安全策略。需求和拓扑企业分为总部(HQ)和两个分支机...
2022-03-20 20:53:51
1874
1
原创 HCIE-Security Day28:IPSec:实验(三)总部采用ISAKMP方式安全策略组与分支机构之间建立IPSec PN
ISAKMP方式IPSec安全策略适用于对端IP地址固定的场景,一般用于分支的配置。ISAKMP方式IPSec安全策略直接在IPSec安全策略视图中定义需要协商的各参数,协商发起方和响应方参数必须配置相同。配置了ISAKMP方式IPSec安全策略的一端可以主动发起协商。如果说isakmp方式中ike的协商过程让我们感觉到采用手工配置的方法更简单,更好理解ipsec,那么我们使用总部分支的结构来理解isakmp的方式,就会发现比手工方式还是简单一些的。需求和拓扑某企业分为总部和两个分支...
2022-03-20 14:53:32
665
原创 HCIE-Security Day27:IPSec:实验(二)两个网关之间通过手工方式创建IPSec PN隧道
手工方式ipsec安全策略所有的安全参数都需要手工配置,配置工作量大,因而适用于小型静态环境。需要用户分别针对出入方向sa手工配置认证/加密密钥、spi等参数,并且隧道两端的这些参数都需要镜像配置,即本段的入方向sa参数必须和对端的出方向sa参数一样,本端的出方向sa参数必须和对端的入方向sa参数一样。需求和拓扑网络A和网络B之间采用网关对网关组网模式进行资源传输。网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下: 网络A属于10.1.1.0/24子网.
2022-03-20 12:40:04
979
【软考信息安全工程师】每日一题
2020-02-01
【软考网络工程师】2019年下半年希赛考前预测模拟卷第4卷
2020-02-01
【软考网络工程师】2019年下半年希赛考前预测模拟卷第三卷
2020-02-01
【软考网络工程师】2019年下半年希赛考前预测模拟卷第二卷
2020-02-01
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人