安全网关：

 网关：网关相当于你网络数据最外面的访问点，可以做最初始的流量控制。

• 确保对入站和出站的网络流量应用控制措施
• 邮件的安全网关，过滤一些疑似垃圾邮件的网关，把邮件放到
• DLP方案阻止数据泄露到网络外部

统一威胁管理设备：

• UTM设备，将所有安全设备集中在同一台控制台中，所有功能就是一个独立的模块，各个模块中所有不关联，带宽会很大。
• IDS，杀毒软件 我们的下一代防火墙的各个模板有相互协同的作用，比UTM会更加可靠些

NAC通过健康检查来确定满足最低安全标准

IDS：网络入侵检测系统

DMZ非军事化区：内网需要直接被保护，吧需要对外服务的服务器或特定的端口放到DMZ中。是在防火墙中开辟的一种规则。

空隙：从物理上一个网络与其他所有网格分离的一种隔离做法。

分段、子网划分：讲一个网络分成多个子网的隔离做法

• 攻击者无法轻易从一个网段到另一个网段
• 限制攻击者造成的破坏
• 可以通过多种方式实现分段，包括物理手段

虚拟局域网：（VLAN）

• 与子网相似
• 但是子网位于网络层（第三层）
• VLAN实现了不同物理交换机上网络主机的分组
• VLAN可以为一个或多个子网进行配置

网络地址的转换：

• 在不同IP殉职机制之间进行转换的一种服务，如面向公共IP地址和私有IP
• 原地址被替换为路由器的地址，提高隐藏性

开发系统互联模型

应用层->表示层->会话层->网络层->数据链路程->物理层

• 每一层协议的协议和漏洞

域名系统: DNS 53、123号端口 常用udp传输，特殊情况下tcp传输，区域传送的时候才会用tco传输，传输数据大。

• 将计算机名称映射到IP地址的一种分层数据库系统

超文本传输协议：

   使用户能连接到网站并与之进行交互的TCP/IP协议。

• 如果你采用http程序，黑客只要和你在同一网段进行抓包，因为是明文，很不安全。

SSL/TLS加速器：可以从服务器中卸载加密计算负荷的硬件设备

• 加速器使服务器能有效地类型其主要职责
• SSL不安全，只能使用TLS，最新的TLS1.3以上
• 加速器可以插入到任何需要加密的服务器上

安全套接子层、传输层安全，采用https使用了，降级打击，强制使用HTTP

请求安全连接->发送证书和公钥->协商解密

• HTTPS：的安全版本，支持浏览器和服务器之间的加密通讯
• 使用SSL/TLS加密数据
• 几乎所有WEB浏览器和服务器软件都支持HTTPS
• 启用SSL/TLS的web地址一https://开头

数字证书是为了证明网站的真实性。

1.信息安全的目标—预防、检测、恢复 —安全的控制手段

2.预防 — 事前

   检测 — 事中或事后 

   恢复 — 事后

3.风险的概念：表示面临损坏或者丢失的可能性的概念，并说明了发生灾难或者威胁的概率。

  * IT设计的时候就应该考虑风险

4.漏洞：任何可能使信息系统遭受损坏的情况。

5.在security+中，控制的手段 预防控制、检测控制、校正控制

6.安全管理流程：确定安全控制、实施安全控制、监控安全控制

7.CIA 机密性 完整性 可用性

8.不可否认性（抗抵赖）、可追责性

9.最小特权：只分配职责的权限

10.特权管理：root、administrator这些账号、SSO是特权管理的一个方面

11.身份认证：Something you know\ have\ are

12.密码学：加密和解密  重要的是秘钥

13.hash（不可逆）：数据完整性、不可否认性

14.隐写术：一种加密技巧，得有载体将信息带出去

法拉第笼：金属丝网容器，组织外部电磁场进入容器、防止无线信号干扰、保障无线电子证据的完整性

屏幕过滤器（防窥屏）、运动检测

HAVC系统：监测湿度和温度、气流，排除灰尘和污染物

FM-200 七氟丙烷灭火剂

SOC Security Operation Center

恢复顺序、恢复站点（热站、温站、冷站）

备份类型：完整、差异（完整备份以来发生更改的）、增量备份（上次备份以来任何更改的，比差异备份时间更少，恢复速度最慢）。起点开始、上次开始。

渗透测试的工具（框架利用、数据清除工具、信息隐藏工具、社交工程工具、压力测试器）

僵尸网络Botnet、勒索软件、高级持续性攻击（掩盖痕迹、不被发现）

路由器

交换机

代理

负载均衡

实现交换功能的路由器

网络风暴（回环）

网络扫描和分析工具

1.数据报分析器

2.协议分析器 -->网络排查

3.网络枚举器

负载均衡：轮循、关联

TLS相当于SSL的开源版本，目前阶段SSL3.0及以下都是不安全的，TLS版本至少为1.2以上才是较为安全的推荐TLS1.3

SLA、BPA、MOU、ISA

对称密钥有点：速度快 ，大容量加密。

非对称加密：采用密钥队进行加密方式。

A使用B的公钥进行加密  ---> B使用自己私钥进行解密。

非对称加密适合使用加密重要的东西， 体积小的数据

不可否认性   以及  信息完整性

会话密钥匙 对称加密   一次性密钥。

ECC  椭圆加密算法  与无线和移动设备使用 

替换密码==古典密码  

CRL（小型离线证书数据库） 可以离线进行证书检查。

DNS的漏洞：DNS服务器不会验证身份，会被黑客假冒，后来诞生了DNSsec

hello hi good boy hello hiwhfnvjsidad

ffuhqwukxvevp

jjivfj9e

代理和反向代理

SIEM和DLP

VPN集中器(了解即可,不会考)

安全网关(可以在安全网关上配置上网行为管理限制上网的网速,DLP,垃圾邮件过滤器)

统一威胁管理(UTM):防病毒,防火墙,上网行为管理,IPS/IDS等功能放在同一设备上

下一代防火墙(NGFW):各功能模块可以相互协作,可以减少网络带宽,网络负载,性能比UTM好很多

配置防火墙参数:
启用日志记录功能

禁用不安全的PPTP流量

配置网络IDS

1.配置文件会检测从任何内部ip地址向域控制器发送的所有ICMP流量;包含一个自定义的警报消息;这将是当时Snort检测到的唯一流量

域控制器

*****网络访问控制(NAC):管理设备网络互连访问权限的收集协议,策略和硬件

(对接入内网的设备进行一系列安全标准的检查后才允许接入内网,比如杀毒软件是否是用了最新的病毒库,防火墙等)

外部网络   DMZ(外部DMZ 内部DMZ) 内部网络

空隙(Air gap):从物理上将一个网络与其他所有网络分离的一种隔离做法

子网(子网位于网络层)(在路由器上写acl控制不同子网之间的访问)

虚拟局域网(在数据链路层分割网络的逻辑方法)

网络安全设备的布局:

软件定义网络(SDN):将网络控制系统和流量转发系统分离开来的网络设计方式

云计算的虚拟化(包括1.服务器硬件资源的虚拟化  2.网络的虚拟化 )

dnssec机制用来弥补dns本身设计上的缺陷

SSL/TLS (安全套接字层/传输层安全)

TLS 1.2或1.3 一定要使用最新版本的

安全Shell:一种用于安全远程访问和安全数据传输的协议,在Unix/Linux上使用,在Windows上使用时需要第三方软件

SSH协议簇:不只是ssh,还包括sftp,scp这两个协议

SNMPv3 : 增加了加密支持

smuf攻击的原理

电子邮件协议(SMTP , POP3 ,IMAP)

无线网络安全

信息安全：

定义：保护可用信息或信息来源不会受到未授权访问、攻击、盗取或数据损坏。

负责的个人和机构必须保护他们的机密信息。

所有形式的数据都必须加以保护

将商业风险和丢失关键数据造成的其他影响降到了最低。

拓展：

狭义的安全：IT安全、安全技术（渗透测试、安全配置、安全运维）

广义的安全：作为风险管理的一部分，包括物理安全（机房、安保）、内部安全（人员入职背调、业务连续性安全（在影响人无法工作的情况下促进业务继续进行的行动措施），信息安全。

信息安全控制的手段：（用于对抗风险）

预防（事前）

1. 各种类型的信息都需要加以保护
2. 减少安全
3. 例子：备份恢复测试

检测（事中）（发现并报警）

     发现访问未授权数据的尝试，或已经丢失的信息。

    对个体进行调差、扫描数据和网络、寻找入侵者留下的蛛丝马迹

恢复（事后）

      灾难或入侵会导致受损或数据损坏，需要执行一个进程来从崩溃的系统或设备中恢复数据，还能恢复丢失或被盗的物理资源

又可分为

物理性的控制：

      机房的栅栏、中央空调、

管理型的控制

       行政性的文件、规章制度，用于规范员工行为

逻辑性的控制（技术性）：

       防火墙 IPS 等安全设备。

风险：

定义：表示了面临损坏或丢失的可能性的概念，并说明了发生灾难或重大威胁的概率。（S+)

威胁主体利用脆弱性对应用系统或操作系统发动攻击，并对业务造成影响的潜在的可能性。(CISA）

• IT风险常常与系统、电力、网络或物理性损失有关。可能还会影响人员、实践活动和财产。
• 所有形式的数据都必须加以保护
• 设计和实施信息安全时，组织必须将风险考虑在内。

漏洞：

定义：任何可能使信息系统遭受损害的情况

由于应用程序开发的bug或人为配置的失误而产生的脆弱性。

• 不合理地配置或安装软硬件
• 未及时应用和测试软件及固件补丁
• 未经测试的软件及固件补丁
• 软件或操作系统中的错误
• 软件或通讯协议的错误使用
• 设计拙劣的网络
• 糟糕的物理安全
• 不安全的密码
• 软件或操作系统中的设计缺陷
• 未经检查的用户输入

威胁：

威胁主体发动的攻击的客观情况。可能对资产造成损害的任何事件或行动。

攻击：

未经授权的情况下、

控制

为避免、缓解或抵消由威胁或攻击引起的安全风险而必须部署的应对对策。

CIA

confidentiality机密性

integrity完整性

accessibility可用性

undeniably不可否认性 抗抵赖 数字签名

可追责性

最小特权

职责分离、权限分离、只应该知道应该知道的

特权管理

管理员账号、windows powershell账号，数据库账号，shutdown账号的特殊管理

识别方式

密码：

口令：用于特殊目的特定场景的密码、门禁卡，ping码

• 可以存储PIN，用户信息和密码（你有什么）
• 通过响应认证服务器生成的密码

生物特征

地理定位

击键认证

密码学

对称加密、非对称加密(RSA）

HASH

实现网络的安全性：

配置网络安全技术

保护网络设计要素

无线网络安全

实施安全的联网协议和服务

网络的组成

设备 

媒介 网线 交换机

网络适配器 网卡

网络操作系统

协议 

路由器：

ACL

交换机：

根据mac地址限制对特定端口的访问（交换机端口绑定MAC）

限定流量和最大会话数

实现防洪功能，保护不受DoS攻击

实现环路预防，关闭网络环路（STP）

代理：

与连接的一端进行通讯时，充当网络连接另一端的设备

用作过滤内容的一种方方式（web过滤）

转发代理可以在客户端的流量离开内部网络之前对其进行拦截

代理可以修改流量或只是转发流量

专门用户保护目标服务器不被破坏

流量监听

反向代理可以拦截来自外部网络的流量。（拦截或检测对）

一些代理是多用途的，并且拥有应用程序级别的认识。

防火墙：

通过阻止不必要的网络流量来保护系统或网络

隐式拒绝（Implicit deny）：除非有明确的允许，否则所有流量都会被拒绝的防火墙模式【在规则最后配置deny all】

用于确定需要阻止的流量的预定义规则集。

连接信息保存在日志中用于监控

防火墙的类型：基于主机（360）、基于网络（网关设备）、网络应用程序（部署在前端网站服务器上）(WAF)

负载均衡：分配工作负荷的设备

所有设备都能更高效地运行

独立的设备可以免受DDoS威胁

类型：硬件（F5） 软件（LVS）

调度方式（scheduling）：

轮询调度（round robin）：按顺序依次转发流量给列表中的每个服务器

关联（Affinity）：将流量转发到已经与客户端建立连接的服务器，特定IP交给特定服务器。

集群: 资源池 冗余 由两台以上的设备构成

网络扫描器和分析工具

数据包分析器

  监听数据包+协议分析（查看数据包内容）

  监控有线和无线网络通讯

  捕捉流量数据

协议分析器

 使用数据包分析器捕获的数据

 确定流量使用的应用程序

 揭示使用特定矢量的恶意流量

网络枚举器

 爬取网络结构（namp、bp）

 提供网络架构的高级概况

入侵检测系统（IDS）

 扫描，评估和监控计算机基础设施，查找其中正在进行的攻击迹象的系统

分析数据并发送警报

每种实施方案都有独特性，取决于组织的安全需求。

可能包括：

   硬件传感器

   入侵检测软件（分析、判断）

   管理软件（触发报警）

入侵防御系统（IPS）

IDS+阻断功能

网络监控系统的类型（杀毒平台等）

基于签名（无法抵御0day）

  识别已知特征。

  使用预定义的规则集确定不可接受的事件

基于异常

  预期模式的定义

  识别不遵循模式的事件

  需要预先配置可接受事件的基线

基于行为

   确定当下的行为方式，并将未来的行为方式于此进行比较

  检测未来的行为方式是否偏离了常态

  记录了对被监控实体做出应对的预期模式。

启发式

   确定实体在特定环境中的行为方式

   可能会推断出实体是否会对环境构成威胁

SIEM secure information event management

安全信息和事件管理

一种安全解决方案，对网络迎接和应用程序生成的安全警报提供实施或接近实时的分析，提供预警功能。保证黑客的行为日志不会被擦除

是一种日志工具，收集网络中所有的日志并发现异常及报警，类似态势感知，

汇总确保了所有相关日志都会被包含在内以便提供整体视角。

关联确保了相关事件被放在合适的环境中。

可以以软件，硬件设备或云服务器的形式进行实施。

其他功能：

一次写入多次读取（WORM）（write once read m？）一旦写入就只读

自动警报

时间同步

删除重复事件

DLP data leakage prevention

数据丢失/泄露防御

软件解决方案，可以检测和防止敏感信息被盗或以其他方式落入不法之徒手中

包括信息泄露的政策，处理流程。主要目的是检测敏感信息外泄。

可以通过软件，硬件或基于云来实现，部署在出口，检测信息泄露并触发报警。提供方案时需要考虑到所有业务数据的可能出口（邮件、打印、U盘拷贝、网盘、文件上传、拍摄）。

可以通过软件，硬件或基于云来实现

监控数据，阻止未授权破坏，移动，复制。

具体功能：检测电子邮件发送机密文件并阻止传输，完全阻止USB端口或阻止特定文件被写入USB驱动。

NIST 800系列

COBIT 5

ITIL

ISO/IEC 27001

四大安全：

信息安全

物理安全

业务连续性安全

内部安全

SIEM 日志收集攻击   收集各种网络日志

DLP  数据泄露防护方案

艰苦户籍科不健康博客