qq3250845

华为防火墙的管理方式介绍及配置





一、华为防火墙设备的几种管理方式介绍

由于在对防火墙设备配置管理方式时，涉及到了AAA这个概念，索性就将AAA的相关介绍简单写一下。

AAA是验证（Authentication）、授权（Authorization）和记账（Accounting）三个部分组成，是一个能够处理用户访问请求的服务器程序，主要目的是管理用户访问网络服务器，为具有访问权限的用户提供服务。其中：

验证：哪些用户可以访问网络服务器。
授权：具有访问权限的用户可以得到哪些服务，有什么权限。
记账：如何对正在使用网络资源的用户进行审计。
AAA服务器通常同网络访问控制、网关服务器、数据库及用户信息目录等协同工作。若要访问网络资源，首先要进行用户的入网认证，这样才能访问网络资源。鉴别的过程就是验证用户身份的合法性；鉴别完成后，才能对用户访问网络资源进行授权，并对用户访问网络资源进行计费管理。
网络设备的AAA认证方式有本地身份验证、远程身份验证两大类，本地身份验证通过将用户名和密码在本地创建并验证，而远程身份验证通过各个厂商自有的AAA服务器来完成，这需要设备和AAA服务器进行关联。
华为防火墙支持用户进行本地与远程配置，以下所有配置都将以本地配置来进行身份验证。
华为防火墙常见的管理方式有：

通过Console方式管理：属于带外管理，不占用带宽，适用于新设备的首次配置时使用，在第一次配置时，会配置下面几个管理方式的其中一个或多个，下次在配置直接远程连接即可，无须使用Console连接了。
通过Telnet方式管理：属于带内管理，配置简单，安全性低，资源占用少，主要适用于安全性不高、设备性能差的场景。因为在配置时所有数据是明文传输，所以仅限于内网环境使用。
通过web管理方式：属于带内管理，可以基于图形化管理，适用于新手配置设备（但也要熟知其工作原理）。
通过SSH方式管理，属于带内管理，配置相比较复杂些，资源占用也高，但是欣慰的是安全性极高，主要适用于对安全性要求较高的场景，如通过互联网远程管理公司网络设备。
二、各种管理方式的配置

Console方式的管理，只要连接console线，在客户端使用超级终端连接即可，具体操作请百度吧，这里就不写了。

1、通过Telnet方式管理配置

这个的网络环境没什么好说的，我这里使用eNSP拉了一台防火墙，连接上宿主机即可，连接宿主机主要是为了验证，若需要在eNSP上验证效果，需要给模拟器上的防火墙导入系统，我这里使用的是USG6000的防火墙，可以下载我提供的防火墙系统文件

防火墙配置如下：

USG6000的防火墙，默认编号最小的接口（一般是G0/0/0）已经配置了远程管理的一些相关配置及IP地址，所以有很多配置是可以省略的，不过为了完整的将所需的配置写下来，我不使用它的G0/0/0接口，而使用别的全新没有配置的接口。

如下：

开始配置：

sys
[USG6000V1]in g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]telnet server enable
[USG6000V1]in g1/0/0
[USG6000V1-GigabitEthernet1/0/0]service-manage enable
[USG6000V1-GigabitEthernet1/0/0]service-manage telnet permit
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust  
[USG6000V1-zone-trust]add in g1/0/0
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name allow_telnet
[USG6000V1-policy-security-rule-allow_telnet]source-zone trust
[USG6000V1-policy-security-rule-allow_telnet]destination-zone local
[USG6000V1-policy-security-rule-allow_telnet]action permit
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
[USG6000V1-ui-vty0-4]protocol inbound telnet
[USG6000V1-ui-vty0-4]quit
[USG6000V1]aaa
[USG6000V1-aaa]manager-user lv
[USG6000V1-aaa-manager-user-lv]password
Enter Password:
Confirm Password:
[USG6000V1-aaa-manager-user-lv]service-type telnet
[USG6000V1-aaa-manager-user-lv]level 3
[USG6000V1-aaa-manager-user-lv]quit
[USG6000V1-aaa]quit
经过上面的配置，即可使用Xshell等超级终端软件连接该防火墙了。使用Telnet命令即可连接，如下：


[C:\~]$ telnet 192.168.1.254
Connecting to 192.168.1.254:23...
Connection established.
To escape to local shell, press 'Ctrl+Alt+]'.
Warning: Telnet is not a secure protocol, and it is recommended to use Stelnet.
Login authentication
Username:lv
Password:
The password needs to be changed. Change now? [Y/N]: y

Please enter old password:
Please enter new password:
Please confirm new password:

关于管理级别，在之前的博文提到过，“0”是参观级别，啥都做不了；“1”是监控级别，可以查看相关配置；“2”为配置级别，可以配置部分参数；“3-15”是管理级别，拥有最大的权限

2、配置web方式登录防火墙配置

注意：以下配置是在全新的防火墙上配置的，该防火墙默认没有任何配置，上面配置了Telnet的防火墙已经删除了。

开始配置：

sys
[USG6000V1]in g1/0/0  
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24
[USG6000V1-GigabitEthernet1/0/0]service-manage https permit
[USG6000V1-GigabitEthernet1/0/0]service-manage http permit
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add in g1/0/0
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name allow_web
[USG6000V1-policy-security-rule-allow_web]source-zone trust
[USG6000V1-policy-security-rule-allow_web]destination-zone local
[USG6000V1-policy-security-rule-allow_web]action permit
[USG6000V1-policy-security-rule-allow_web]quit
[USG6000V1-policy-security]quit
[USG6000V1]web-manager security enable

[USG6000V1]aaa
[USG6000V1-aaa]manager-user jian
[USG6000V1-aaa-manager-user-jian]password
Enter Password:
Confirm Password:
[USG6000V1-aaa-manager-user-jian]level 3
[USG6000V1-aaa-manager-user-jian]quit
[USG6000V1-aaa]quit
经过以上配置，现在即可使用web访问测试，防火墙默认情况下开启的https端口为8443，使用客户端访问测试，经过上面的配置，应使用 https://192.168.1.254:8443 进行访问（建议使用谷歌浏览器，可能是eNSP模拟器的原因，若网页加载不出来，多刷新几次就好）：

根据提示，输入相应密码，更改密码（用户首次登陆须更改密码）：

更改新密码后，使用用户名及新密码进行登录：

登录后就可以看到下面的管理界面了（加载不出来就多刷新几次）：

配置web方式管理设备至此就完成了。

3、配置SSH方式登录设备

和Telnet相比，SSH安全性更高，所以一般不推荐使用Telnet方式登录设备，而是通过ssh来登录设备，下面开始配置SSH方式登录设备（注意：防火墙所有配置都没了，现在又是重新开始配置）：

开始配置：

sys
[USG6000V1]in g1/0/0  
[USG6000V1-GigabitEthernet1/0/0]ip add 192.168.1.254 24
[USG6000V1-GigabitEthernet1/0/0]service-manage enable
[USG6000V1-GigabitEthernet1/0/0]service-manage ssh permit
[USG6000V1-GigabitEthernet1/0/0]quit
[USG6000V1]firewall zone trust  
[USG6000V1-zone-trust]add in g1/0/0
[USG6000V1-zone-trust]quit
[USG6000V1]security-policy
[USG6000V1-policy-security]rule name allow_ssh
[USG6000V1-policy-security-rule-allow_ssh]source-zone trust
[USG6000V1-policy-security-rule-allow_ssh]destination-zone local
[USG6000V1-policy-security-rule-allow_ssh]action permit
[USG6000V1-policy-security-rule-allow_ssh]quit
[USG6000V1-policy-security]quit
[USG6000V1]rsa local-key-pair create
The key name will be: USG6000V1_Host
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is greater than 512,
it will take a few minutes.
Input the bits in the modulus[default = 2048]:
Generating keys...
..+++++
........................++
....++++
...........++
[USG6000V1]user-interface vty 0 4
[USG6000V1-ui-vty0-4]authentication-mode aaa
[USG6000V1-ui-vty0-4]protocol inbound ssh
[USG6000V1-ui-vty0-4]quit
[USG6000V1]ssh user zhao
[USG6000V1]ssh user zhao authentication-type password
[USG6000V1]ssh user zhao service-type stelnet
[USG6000V1]aaa
[USG6000V1-aaa]manager-user zhao
[USG6000V1-aaa-manager-user-zhao]password
Enter Password:
Confirm Password:
[USG6000V1-aaa-manager-user-zhao]service-type ssh
[USG6000V1-aaa-manager-user-zhao]level 3
[USG6000V1-aaa-manager-user-zhao]quit
[USG6000V1-aaa]quit
[USG6000V1]stelnet server enable
至此配置完毕，开始使用Xshell连接即可。

qq3250845

正如我们今天所知，物联网让我们的生活变得更轻松——但它并非100%安全。很难理解为什么为物联网制定全面的网络安全标准是如此困难。毕竟，既然我们能够创造这项技术，我们就应该能够保证它的安全。

从理论上讲，应该是这样。但是，在实践中，网络安全专家需要克服很多挑战。以下是实施物联网安全标准的一些常见问题：

通用安全遇到的挑战

通用安全包括我们用来保护设备安全的所有常见网络安全机制。然而，这些过程——认证、访问控制和识别——面临着越来越大的压力，难以适应物联网设备正在开发的所有不同的使用环境和系统。为了简化这一过程，我们需要更多的程序和策略来解决当前物联网情况的复杂性。

脆弱的传统系统

物联网正在迅速扩展，甚至扩展到传统工业系统，因为它有助于提高效率。然而，这只会创建一个部分可信的环境，因为系统运营商倾向于忽略彻底的风险评估和解决漏洞。这是因为缺乏能够帮助他们以足够快的速度完成这一任务的方法论，以便与整体需求保持同步。即使存在网络安全漏洞的风险，但对这些专业人士来说，除非发生什么事情，否则担心安全性并不值得。

物联网安全的人为因素

物联网开发人员往往忽略了人为因素，因为他们并没有考虑到可以使用其设备的所有可能方式。这不是缺乏以人为中心的物联网开发方法的唯一结果，但却是最常见的结果。但是，要实现它，我们需要更好地了解人们如何使用这些设备，并使他们更直观地遵循最佳安全实践。

不同行业有不同的优先级

最后，不同行业有不同的优先级，这取决于它们增长所依赖的物联网设备。对于汽车行业来说，那就是连网和自动驾驶汽车的生产——所以，首要任务是找到一种保护这些系统的方法。而医疗行业则专注于不同类型的物联网设备——从可植入式设备和可穿戴设备到存储患者病史的设备。

所有这些设备和行业都存在大量的安全问题，而全面的网络安全标准甚至可能无法满足其中一些。然而，为确保所有物联网设备的安全，朝着这个方向前进仍然是正确的。

关键要点

克服这些挑战的关键在于提高物联网开发人员和制造商的意识，并为他们提供易于集成到生命周期开发过程中的适应性框架。为了降低发生网络安全攻击的风险，除了制定一套全面的法规体系之外，还必须在发布之前对我们所有连网设备进行基本或实质性的安全评估。

qq3250845

概述

网络安全是一个十分主要的课题，而服务器是网络安全中最主要的环节。Linux被以为是一个比较安全的Internet服务器，作为一种开放源代码操作系统，一旦Linux系统中觉察有安全漏洞，Internet上去自全球各地的意愿者会积极修补它。但是，系统维护员往往无法及时地得到信息并执行更正，这就给黑客以可乘之机。但是，相关于这些系统自身的安全漏洞，更多的安全疑问是由不当的配置形成的，可以以适当的配置来防止。服务器上运转的服务越多，不当的配置呈现的时机也就越多，呈现安全疑问的能够性就越大。

今天主要从4个方面来修改一些适当的配置防止一些安全问题的发生，以增强Linux/Unix服务器系统安全性。

01
系统安全记录文件

操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果你的系统是直接连到Internet，当你发现有很多人对你的系统做Telnet/FTP登录尝试，可以运行"#more /var/log/secure grep refused"来检查系统所受到的攻击，以便采取相应的对策，如使用SSH来替换Telnet/rlogin等。

02
启动和登录安全性

1．BIOS安全

设置BIOS密码且修改引导次序禁止从软盘启动系统。

2．用户口令

用户口令是Linux安全的一个基本起点，很多人使用的用户口令过于简单，这等于给侵入者敞开了大门，虽然从理论上说，只要有足够的时间和资源可以利用，就没有不能破解的用户口令，但选取得当的口令是难于破解的。

较好的用户口令是那些只有他自己容易记得并理解的一串字符，并且绝对不要在任何地方写出来。

3．默认账号

应该禁止所有默认的被操作系统本身启动的并且不必要的账号，当您第一次安装系统时就应该这么做，Linux提供了很多默认账号，而账号越多，系统就越容易受到攻击。

可以用下面的命令删除账号。

# userdel 用户名
或者用以下的命令删除组用户账号。

# groupdel username

4．口令文件

chattr命令给下面的文件加上不可更改属性，从而防止非授权用户获得权限。

# chattr +i /etc/passwd
# chattr +i /etc/shadow
# chattr +i /etc/group
# chattr +i /etc/gshadow
做完这些设置，你的Linux系统对很多安全问题和网络攻击就免疫了

5．禁止Ctrl+Alt+Delete重新启动机器命令

修改/etc/inittab文件，将"ca::ctrlaltdel:/sbin/shutdown -t3 -r now"一行注释掉。然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限，运行如下命令：

# chmod -R 700 /etc/rc.d/init.d/*
这样便仅有root可以读、写或执行上述所有脚本文件。

6．限制su命令

如果您不想任何人能够su作为root，可以编辑/etc/pam.d/su文件，增加如下两行：

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/pam_wheel.so group=isd
这时，仅isd组的用户可以su作为root。此后，如果您希望用户admin能够su作为root，可以运行如下命令：

# usermod -G10 admin

7．删减登录信息

默认情况下，登录提示信息包括Linux发行版、内核版本名和服务器主机名等。对于一台安全性要求较高的机器来说这样泄漏了过多的信息。可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉。

# This will overwrite /etc/issue at every boot. So， make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
# echo "" > /etc/issue
# echo "$R" >> /etc/issue
# echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
# cp -f /etc/issue /etc/issue.net
# echo >> /etc/issue
然后，进行如下操作：

# rm -f /etc/issue
# rm -f /etc/issue.net
# touch /etc/issue
# touch /etc/issue.net

03
限制网络访问

1．NFS访问

如果使用NFS网络文件系统服务，应该确保/etc/exports具有最严格的访问权限设置，也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。

编辑文件/etc/exports并加入如下两行。

/dir/to/export host1.mydomain.com(ro，root_squash)
/dir/to/export host2.mydomain.com(ro，root_squash)
做完这些设置，你的Linux系统对很多安全问题和网络攻击就免疫了

/dir/to/export 是想输出的目录，host.mydomain.com是登录这个目录的机器名，ro意味着mount成只读系统，root_squash禁止root写入该目录。为了使改动生效，运行如下命令。

# /usr/sbin/exportfs -a

2．Inetd设置

首先要确认/etc/inetd.conf的所有者是root，且文件权限设置为600。设置完成后，可以使用"stat"命令进行检查。

# chmod 600 /etc/inetd.conf
然后，编辑/etc/inetd.conf禁止以下服务。

ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth
如果安装了ssh/scp，也可以禁止掉Telnet/FTP。为了使改变生效，运行如下命令：

#killall -HUP inetd
默认情况下，多数Linux系统允许所有的请求，而用TCP_WRAPPERS增强系统安全性是举手之劳，可以修改/etc /hosts.deny和/etc/hosts.allow来增加访问限制。例如，将/etc/hosts.deny设为"ALL: ALL"可以默认拒绝所有访问。然后在/etc/hosts.allow文件中添加允许的访问。

配置完成后，可以用tcpdchk检查:

# tcpdchk　
tcpchk是TCP_Wrapper配置检查工具，它检查tcp wrapper配置并报告所有发现的潜在/存在的问题。

3．登录终端设置

/etc/securetty文件指定了允许root登录的tty设备，由/bin/login程序读取，其格式是一个被允许的名字列表，您可以编辑/etc/securetty且注释掉如下的行。

# tty1
# tty2
# tty3
# tty4
# tty5
# tty6
这时，root仅可在tty1终端登录。

4．避免显示系统和版本信息。

如果希望远程登录用户看不到系统和版本信息，可以通过一下操作改变/etc/inetd.conf文件：

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -
加-h表示telnet不显示系统信息，而仅仅显示"login:"。

04
防止攻击

1．阻止ping

如果没人能ping通系统，安全性自然增加了。为此，可以在/etc/rc.d/rc.local文件中增加如下一行：

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
做完这些设置，你的Linux系统对很多安全问题和网络攻击就免疫了

做完这些设置，你的Linux系统对很多安全问题和网络攻击就免疫了

2．防止IP欺骗

编辑host.conf文件并增加如下几行来防止IP欺骗攻击

order bind，hosts
multi off
nospoof on

3．防止DoS攻击

对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。例如，可以在/etc/security/limits.conf中添加如下几行：

* hard core 0
* hard rss 5000
* hard nproc 20
然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。

session required /lib/security/pam_limits.so
上面的命令禁止调试文件，限制进程数为50并且限制内存使用为5MB。

总结
经过以上的设置，你的Linux服务器已经可以对绝大多数已知的安全问题和网络攻击具有免疫能力，但一名优秀的系统管理员仍然要时刻注意网络安全动态，随时对已经暴露出的和潜在安全漏洞进行修补。

qq3250845

网络防火墙和病毒防火墙的差别，从而保障网络的安全




“防火墙（Firewall）”一词，在网络术语中是指一种软件，它可以在用户的计算机和Internet之间建立起一道屏障（Wall），把用户和网络隔离开来；用户可以通过设定规则（rule）来决定哪些情况下防火墙应该隔断计算机与Internet间的数据传输，哪些情况下允许两者间的数据传输。通过这样的方式，防火墙承受住所有对用户的网络攻击，从而保障用户的网络安全。不过目前网络又流传着所谓的"病毒防火墙"，这种与网络防火墙不同范畴的软件由于有着"防火墙"的名义，所以用户通常把这两种产品给混淆了；甚至有用户问到类似"我已经安装了病毒防火墙，还需不需要安装天网防火墙;这样的问题。所以在这里我们有必要阐述这两种产品之间有些怎么样的本质差别。

病毒防火墙

通过一些病毒防火墙的软件实例我们可以知道，所谓的“病毒防火墙”，其实和网络防火墙根本不是一个范畴的东西，它确却的说应该该称为“病毒实时检测和清除系统”，是反病毒软件的工作模式之。当它们运行的时候，会把病毒特征监控的程序驻留内存中，随时查看系统的运行中是否有病毒的迹象；一旦发现有携带病毒的文件，它们就会马上激活杀毒处理的模块，先禁止带毒文件的运行或打开，再马上查杀带毒的文件。"病毒防火?quot;就是以这样的方式，监控着用户的系统不被病毒所感染。其实这种病毒实时监控软件也出现了很久远的历史了，早在DOS时代，Norton 和微软(微软购买了一部分Norton的代码）就已经出过类似的产品，不过它们都不称为“Firewall”。在Norton中这被称为“Virus Auto-Protect”就是病毒自动监控保护的意思。所以实际上，病毒防火墙不是说对网络应用的病毒进行监控；它是对所有的系统应用软件进行监控。由此来保障用户系统的“无毒”环境。

网络防火墙

上面已经说过了，网络防火墙是一种控制用户计算机网络访问的软件。通过对它的各种规则设置，使得合法的链路得以建立；而非法的连接将被禁止，同时通过各种手段屏蔽掉用户的隐私信息，以保障用户的对网络访问的安全。同上所说，网络防火墙并不监控全部的系统应用程序进程，它只是对有网络访问那部分应用程序做监控。当它控制了系统的网络传输之后，所有的网络流量都必须通过它的规则匹配。所以利用网络防火墙，可以有效的管理用户系统的网络应用，同时保护用户的系统不为各种非法的网络攻击所伤害。由于目前有许多病毒通过网络的方式来传播，所以，范畴不同的这两种产品有了交叉应用的可能。出于对网络的全权控制，网络防火墙可以切断病毒对网络的访问；而且不管它是如何的变形、变种，只要病毒的危害还是必须通过网络才能实现的话就无法逃离网络防火墙的控制。与此同事，一些网络入侵特有的后门软件（像木马），也被列入“病毒”之列而可以被“病毒防火墙”所监控到并清除。从这样的趋势来看，反病毒产品和网络安全产品一定会有交叉融合的可能。

qq3250845

网络安全主要有哪些关键技术？浅谈网络安全的几个主要技术





网络安全是一个动态的过程，而不是一个静止的产品，同时网络安全也是一个大的系统，而不是单单一些设备和管理规定。尽管从表面上来看，这些确实在网络安全中扮演了很重要的角色，但是网络安全的概念是更为广泛和深远的。所有的网络安全都是始于安全的策略，同时网络安全还涵盖了必须遵循这些安全策略的使用者，以及主要负责实施这些策略的实施者。所以网络安全从广义上定义为：通过相互协作的方式为信息数据资源，提供了安全保障的所有网络设备、技术和最佳的做法的集合。

访问控制技术

访问控制技术用于防止非法用户访问校园网络，去获取和使用校园网络资源，但这种技术具有一定的局限性，因为它无法阻止以合法用户身份去做威胁校园网络安全的事。访问控制主要有自主访问控制、强制访问控制和基于角色访问控制三种类型。

1、自主访问控制

赋予用户访问特定资源的权限，可以设置文件和共享资源，对自己创建的相关资源，可以授权给指定用户或撤销指定用户访问权限。

2、强制访问控制

由系统己经部署的访问控制策略，对所有控制对象的进程、文件和设备等授权用户实施强制访问控制。

3、基于角色的访问控制

权限集合称为角色，通过赋予用户角色而获得相应权限，方便了权限的管理。

防火墙技术

防火墙技术是数据过滤的技术，它主要作为内部网络的安全网关与外网相连，成为一道防御屏障，通过合理正确的配置，可以阻止有安全风险通信数据的渗透。防火墙主要有两类:应用层防火墙和数据包过滤防火墙。

1、应用层防火墙（又称代理防火墙）

应用层防火墙是根据策略规则來判断是否允许数据通过，如果没有则防火墙丢弃数据包，利用各种应用服务作为代理，加强策略规则，达到监视和控制应用层通信数据的目的。应用层防火墙的优点是可以对网络中高层的数据流量进行识别和蹄选，因此应用层防火墙能够提供很强的保护。但缺点是速度比较慢，会成为网络传输的瓶颈，影响网络整体的速度。

2、数据包过滤防火墙

数据包过滤防火墙根据数据包的TCP、ICMP、UDP和IP报头来确定是否允许通过。数据包过滤技术的优点是简单容易实现，缺点是无法识别高层的数据，无法防止通过应用层协议传输的数据包带来的安全威胁。

流量控制技术

流量控制是网络通信很重要的一部分，防止网络中的数据发生丢失和阻塞是流量控制要做的工作，数据流在网络安全中作为一个单独的对象被提出，是因为它是网络通信的主体，网络中传输的数据无论是什么性质的，都是以数据流传输的。如果没有数据流，网络就没什么意义了，更别谈网络安全了，而数据流量的控制对网络是否能正常的、安全的运行有非常重要的地位。近些年来，随着网络应用的升级，尤其是流媒体技术和P2P技术出现后，大量网络的带宽被这些应用占用了，这些应用同时也会占用网络设备的大量缓存，导致网速变慢，严重的甚至会导致网络设备死机，如路由器等设备数据愁死。其实这一点也被很多的黑客所熟知，.利用大量的无用的数据流去阻塞网络，导致网络瘫瘦。

防病毒软件

防病毒软件是保护系统抵抗病毒破坏的软件，主要以被动的防为主，通过病毒库，对不同种类的病毒入侵方式、造成的破坏结果和传播途径有针对的执行相应的防范措施，但是它只能针对病毒程序，对使用合法程序利用网络漏洞造成的破坏无能为力。校园网络是个公共的环境，需要所有用户共同来维护，所以要提高用户的安全意识，在自己的计算机上安装相应的防病毒软件并及时的更新，对保证校园网络不受病毒干扰具有积极的作用。防范病毒的方法:安装专业的防病毒软件、及时的升级防病毒软件以及病毒库、及时的查漏补漏、加强主机设备使用管理制度、访问获信任安全站点和使用安全的浏览器。

智能卡技术

智能卡是一种集成电路芯片卡，应用比较广泛，如身份证、金融和校园卡等领域，它综合了磁卡以及其它类型IC卡的所有优点，有着非常高的安全、防伪和保密能力。智能卡技术是在网络安全中主要用于用户身份认证，它将密码被破解的几率降到一个低点，避免入侵者用已知的内容去破解，但是智能卡如果被窃并且是唯一的认证凭证的话，那入侵者可以用窃取的卡伪装成合法用户通过正常途径入侵校园网络，所以在使用的时候要求使用者妥善保管。

入侵检测技术

入侵检测技术是-种预防和发现入侵的安全机制，但是入侵检测系统不能面面俱到，无法取代其它优秀的安全程序或者优秀的安全操作。不过随着技术的发展，入侵检测技术不断的完善，是非常有前景的安全技术。入侵检测技术一般分为两种，基于主机的入侵检测和基于网络的入侵检测。

1、基于主机的入侵检测

发现入侵风险是利用主机审计数据和FI志，总结后得到的结果。主要是检测主机系统是否受到入侵。这种基于主机的入侵检测的优点是操作简単，还可针对不同操作系统的特点检测出应用层的入侵事件。缺点是大量占用主机资源。

2、基于网络的入侵检测

基于网络的入侵检测是利用网络站点对报文截获后，通过协议分析和网络流量等数据来判断是否有入侵行为。基于网络的入侵检测的优点是能够实时的得到反馈，并且能够迅速做出反应，从而达到实时的保护效果。一般专用网络选择基于网络的入侵检测系统是种普遍现象。

薄弱点扫描技术

薄弱点扫描技术一方面既能被黑客利用攻击网络，另一方面也能被网络管理者使用进行自我安全检查，它会帮助管理者找出入侵者可能利用的一些薄弱点。但是薄弱点扫描技术只能用于辅助管理者，并不能起到保护的作用，所以管理者在找出薄弱点之后就要采取相应的安全措施，来加强保护。薄弱点扫描技术主要分为基于主机的薄弱点扫描和基于网络的薄弱点扫描。

1、基于主机的薄弱点扫描技术主要是针对主机系统的扫描检测和安装在主机上相关应用软件的风险漏洞检测，通过采用被动的、非破坏性的办法对操作系统和应用软件进行检测。主要扫描主机系统的内核、操作系统的补丁情况、应用软件的漏洞和文件的属性等问题，可以非常准确的发现系统的漏洞。

2、基于网络的薄弱点扫描技术采用一系列的脚本模拟对系统进行攻击的行为，然后分析模拟的结果。它还能够检查已知的网络漏洞。基于网络的薄弱点扫描技术常被用来进行安全审计和测试网络安全。但是基于网络的薄弱点扫描技术占用网络资源比较多，会影响到网络的整体性能。

以上是从技术方面阐述了网络安全的关键技术，对于我们来说技术防御是必须的。

qq3250845

安全漏洞XSS、CSRF、SQL注入以及DDOS攻击




随着互联网的普及，网络安全变得越来越重要，程序员需要掌握最基本的web安全防范，下面列举一些常见的安全漏洞和对应的防御措施。

1、XSS简介

跨站脚本(cross site script)简称为XSS，是一种经常出现在web应用中的计算机安全漏洞，也是web中最主流的攻击方式。

XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤不足的缺点，进而添加一些代码，嵌入到web页面中去，使别的用户访问都会执行相应的嵌入代码。

2、XSS攻击的危害

盗取用户资料，比如：登录帐号、网银帐号等
利用用户身份，读取、篡改、添加、删除数据等
盗窃重要的具有商业价值的资料
非法转账
强制发送电子邮件
网站挂马
控制受害者机器向其它网站发起攻击

3、防止XSS解决方案

XSS的根源主要是没完全过滤客户端提交的数据 ，所以重点是要过滤用户提交的信息。
将重要的cookie标记为http only, 这样的话js 中的document.cookie语句就不能获取到cookie了。
只允许用户输入我们期望的数据。例如：age用户年龄只允许用户输入数字，而数字之外的字符都过滤掉。
对数据进行Html Encode 处理：用户将数据提交上来的时候进行HTML编码，将相应的符号转换为实体名称再进行下一步的处理。
过滤或移除特殊的Html标签。
过滤js事件的标签。例如 "onclick=", "onfocus" 等。
0x02：CSRF攻击(跨站点请求伪造)

1、CSRF简介

CSRF(Cross-site request forgery)跨站请求伪造，也被称为“One Click Attack”或者Session Riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。

XSS主要是利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求，来利用受信任的网站。与XSS攻击相比，CSRF更具危险性。

2、CSRF攻击的危害

主要的危害来自于，攻击者盗用用户身份，发送恶意请求。比如：模拟用户发送邮件，发消息，以及支付、转账等。

3、防止CSRF的解决方案

重要数据交互采用POST进行接收，当然是用POST也不是万能的，伪造一个form表单即可破解。
使用验证码，只要是涉及到数据交互就先进行验证码验证，这个方法可以完全解决CSRF。
但是出于用户体验考虑，网站不能给所有的操作都加上验证码。因此验证码只能作为一种辅助手段，不能作为主要解决方案。
验证HTTP Referer字段，该字段记录了此次HTTP请求的来源地址，最常见的应用是图片防盗链。
为每个表单添加令牌token并验证。
0x03：SQL注入漏洞

1、简介

SQL注入是比较常见的网络攻击方式之一，主要是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，实现无帐号登录，甚至篡改数据库。

2、SQL注入的危害

数据库信息泄漏：数据库中存放的用户的隐私信息的泄露;
网页篡改：通过操作数据库对特定网页进行篡改;
数据库被恶意操作：数据库服务器被攻击，数据库的系统管理员帐户被窜改;
服务器被远程控制，被安装后门;
删除和修改数据库表信息.

3、SQL注入的方式

通常情况下，SQL注入的位置包括：

表单提交，主要是POST请求，也包括GET请求;
URL参数提交，主要为GET请求参数;
Cookie参数提交;
HTTP请求头部的一些可修改的值，比如Referer、User_Agent等;

4、防止SQL注入的解决方案

对用户的输入进行校验，使用正则表达式过滤传入的参数;
使用参数化语句，不要拼接sql，也可以使用安全的存储过程;
不要使用管理员权限的数据库连接，为每个应用使用权限有限的数据库连接;
检查数据存储类型;
重要的信息一定要加密;
0x04：DDOS攻击

1、DOS攻击和DDOS简称

DOS攻击(Denial of Service 拒绝服务攻击)：凡是利用网络安全防护措施不足导致用户不能继续使用正常服务的攻击手段，都可以被称为是拒绝服务攻击，其目的是通过消耗网络宽带或系统资源，使网络或计算机不能提供正常的服务。
DDOS(Distributed Denial of Service ，分布式拒绝服务)，凡是攻击者通过控制在网络上的傀儡主机，同时发动他们向目标主机进行拒绝服务攻击的方式称为分布式拒绝服务攻击。

2、DDOS的危害

造成客户业务不可用、利益受损
客户网内一个业务受到攻击，客户联网全面受阻，所有业务瘫痪，连锁反应严重
攻击引发的政治影响、社会舆论的压力给企业带来名誉损失

3、如何防御DDOS攻击

及时更新系统补丁
安装查杀软硬件，及时更新病毒库
设置复杂口令，减低系统被控制的可能性
关闭不必要的端口与服务
经常检测网络的脆弱性，发现问题及时修复。
对于重要的web服务器可以建立多个镜像实现负载均衡，在一定程度上减轻DDOS的危害

总之就是既要做好过滤与编码并使用参数化语句，也要把重要的信息进行加密处理，这样SQL注入漏洞才能更好的解决。

qq3250845

现代网络安全架构必备功能


信息技术行业发展早期，Sun Microsystems 代表着计算界的远见卓识。Sun 公司率先提出了 “网络就是电脑” (The network is the computer) 的独特理念。什么意思呢?这意味着，IT 基础设施在松耦合架构中通过以太网线和 TCP/IP 之类联网技术连接在一起。因此，必须要正确设计和配置网络才可以最大化网络可用性、性能和业务效益。

当然，从上世纪九十年代早期到现在，世界已经改变太多。如今有些网络根植端，有些是虚拟的，还有些依赖应用间的连接，但 IT 系统依然通过各种方式靠网络连接在一起。

现代网络安全

网络的变迁自然对网络安全也提出了与时俱进的要求。现代网络安全必须支持以下几点：

(1) 端到端覆盖：检查进/出流量的边界安全已不再满足需要。现代网络安全控制必须深入所有网段，审查横向流量、端网络通信，以及根本不触及公司网络的软件即服务 (saas) 远程网络通信。换句话说，所有网络流量都应纳入审查覆盖范围。

(2) 全面加解密：企业战略集团 (ESG) 研究指出，当今 50%~60% 的网络流量都是加密的，且未来加密流量的比例只会越来越高。这意味着网络安全架构必须具备在大量控制点上解密并检查流量的能力。现代网络安全技术还应能够无需解密全部就可以检测可疑流量。思科 Encrypted Traffic Analytics (ETA) 加密流量分析解决方案和 Barac.io 等公司推出的独立解决方案均已包含此功能。

(3) 以业务为中心的分隔：所有现代网络安全技术都应以减小攻击界面为主要要求。这包括两个方面的功能：

分隔各应用层间的横向流量;
强制实现用户/设备和网络服务间的软件定义边界网络分隔规则。此类功能也常被称为“零信任”。
中央控制面板与分布式实施：这是 “必备” 要素。所有网络安全控制(如物理控制、虚拟控制、基于的控制)都必须向一个通用控制面板报告管理行为(如配置管理、策略管理、变动管理等)。中央控制面板很可能设在端，所以 CISO 应为此变化做好对风险规避审计员和业务经理的培训。有来自中央命令与控制的指令支持，网络安全系统在阻止恶意流量和实施策略时应不用考虑自身位置或尺寸了。需注意的是，尽管每家网络安全供应商都推崇自身中央管理服务，FireMon、Skybox 和 Tufin 等第三方软件提供商在这一领域也占有一席之地。

全面监视与分析：安全界有句老话：“网络不会说谎。”因为所有网络攻击的杀伤链都绕不过网络通信这一环，安全分析师必须能够访问 OSI 技术栈所有层上的端到端网络流量分析 (NTA)。最好的 NTA 工具应在基本流量监视基础之上附加检测规则、启发式分析、脚本语言和机器学习，以便帮助分析师检测未知威胁，将恶意行为映射进 MITRE ATT&CK 框架。CISO 必须广撒网，因为可供选择的强大解决方案太多了，有纯初创公司 (Bricata、Corelight、DarkTrace、IronNet、Vectra Networks 等)，有网络专家(思科、ExtraHop、NETSCOUT 等)，还有网络安全供应商(Fidelis、火眼、Lastline、惠普企业等)。购者自慎!

网络安全技术必须支持细粒度策略与规则，基于用户位置、网络配置或新发现的威胁/漏洞迅速做出相应改变。公司企业必须拥有无论何时何地都能启动/关闭或修改网络安全服务的能力。现代网络安全控制须能适应物联网 (IoT) 设备及协议，在标准操作系统上用的健壮策略与实施应能同样应用到物联网设备上。最后，网络安全架构必须围绕易于访问的 API 打造，以便能够快速集成。

Sun Microsystems 早已消逝在 IT 发展的历史洪流中(顺带一提，这家公司目前归属 Oracle)，但无论外在形式如何，网络依旧是 IT 关键组成部分。现代网络安全架构不仅仅保护所有网络流量，还帮助企业减小攻击界面，改善威胁检测/响应，缓解网络风险。这就很能说明问题了。

qq3250845

加密HTTPS证书



最近几年互联网发展迅猛，游戏、金融、娱乐、政治、生活消费各类群体纷纷与互联网争相牵手。我们在享受信息服务的同时，存在的隐患也在缓缓逼近我们的企业平台。每隔一段时间都会听到一些公司发生信息泄露的事件，究其原因往往都是站点的安全系数不够高的原因所致。

https加密协议已经开始渗透到整个互联网，那么http和ssl究竟是什么关系呢？其实就是在http协议的站点上去部署ssl数字证书一致其改变其自身的安全性升级为https安全协议！部署ssl证书的HTTPS网站已经被用于保护用户与服务端之间的安全通道。ssl证书目前已经可以支持 apache环境、Nginx环境、Windows系统 II6环境、Windows系统 II7、tomcat环境的配置。

我们知道http协议最大的隐患就是没有对报文进行加密操作，当我们的内容被相当一部分人给窃取之后对用户本身的隐私和安全构成了极大地威胁。拿谷歌来讲最近几年一再的倡导网站使用http协议以此来引导网站形成加密流量，在此同时也会相应的提升https加密协议的站点排名。斯诺登和勒索病毒事件引发了越来越多的人对信息安全的恐慌，用户安全意识的提升也促进了企业网站的进一步调整。

ssl是一种安全协议，是Netscape推出的一款与WEB浏览器同时提出的产品，主要就是可以在对信息的传输过程中进行加密操作。其目的就是要为网络安全提供安全完整的信息安全保障，现行的WEB浏览器也已经将http和https相结合的模式从而实现安全通信。

企业网站安装加密证书的意义就在于其自身的一些基本属性：

不可修改的特性

通过对称和非对称的加密体制构建起一套严密的身份认证系统，只能实现发送和接收而不被第三方窃取。

信息的保密性

在电商的交易当中，比如说信用卡的账号用被人知晓马上就会被盗用！同时订货和付款的信息也会被竞争对手暗自抄写，从而丧失正常的交易商机。因此在电子商务的信息推广当中需要有一定的保密规则。

一般就是说你可以自己生成https证书，也可以到CA机构申请https证书。

加密简单理解就是将一串需要传递的明文信息转换为密文信息后再进行传输。接收方收到密文后，再按照规律进行解密，得到原始的明文信息。在这个信息的传输过程中，如果被黑客截获，但是因为信息内容是密文，所以黑客也无法得知信息的具体内容，从而保障了信息的安全性。

qq3250845

你的Linux服务器果真得到保护了吗？


人们常认为，由于服务器在数据中心锁起来，又由于数据在持续使用，因此不需要加密服务器驱动器，因为数据永远不处于静止状态。

考虑IT安全时，可能会疏忽的一个方面是企业服务器的物理安全。人们常认为，由于服务器在数据中心锁起来，又由于数据在持续使用，因此不需要加密服务器驱动器，因为数据永远不处于静止状态。

不过，这种想法带来了一大潜在问题。最终，所有驱动器都需要维修或处置，势必离开数据中心。对它们进行加密是保护其数据免受无意或有意泄露的最佳方法。除此之外，鉴于似乎没完没了的泄密事件见诸报章，加上需要遵守GDPR、HIPAA和所有50个州的法规，明智的建议是随时随地加密所有内容。

如果你有Linux服务器，可能以为自己受到了保护，因为Linux内置加密技术已有数年。但事实上可能并非如此。原因何在?

以下是Linux内置的磁盘加密功能：

dm-crypt

dm-crypt是Linux内核中一种透明的磁盘加密子系统。它是一种基于块设备的抽象机制，可以嵌入到其他块设备(如磁盘)上。因此，它是用于全盘加密(FDE)的理想技术。实际的加密技术并不内置于dm-crypt中，而是它充分利用来自内核的Crypto API的加密例程(比如AES)。

LUKS

LUKS(Linux统一密钥方案)是一种磁盘加密规范，详细表明了用于各种工具(比如标准加密头)的与平台无关的标准磁盘格式，为实施密码管理机制提供了基础。LUKS在Linux上运行，是基于cryptsetup的增强版，它使用dm-crypt作为磁盘加密后端。

dm-crypt和LUKS共同为一款简单的“独立”密码验证FDE应用软件构筑了基础。然而这不是企业级解决方案。

问题是，Linux原生FDE在数据保护方面留下了空隙，包括：

没有集中式密码、密钥管理和加密服务器的备份。
困难的根卷加密为错误留有余地。
没有简单的方法来加密擦除中招的驱动器。
对加密设备缺乏统一的合规视图，以证明所有服务器的加密状态。
缺少Linux服务器内置的管理和合规功能，导致企业难以做好加密和数据保护工作。

那么，使用Linux服务器的企业如何才能最好地解决这个问题?它们应该寻求含有以下功能特性的解决方案：

加密与密钥管理相分离

想获得最大效果，加密产品应分为两个组件：加密和密钥管理，因为提供这两个组件的专长大不一样。为了获得额外的保护，请考虑建立在dm-crypt上的解决方案而不是更换dm-crypt，以便更好地管理加密。

强大的验证

由于如今身份和访问控制备受关注，拥有一种可以提供更强大的服务器验证机制，确保数据免受危害的加密解决方案，这很重要。基于网络的预启动验证可以提供此功能，在操作系统引导之前加强安全。

确保根和数据卷加密以及加密擦除中招驱动器的简单方法

根卷加密、数据卷加密和加密交换分区都是安全和合规所需要的。寻找能够以简单方式做到这点的解决方案。此外，解决方案应该有一种简单的机制，可在驱动器中招或另作他用时加密擦除所有数据。出于合规原因，还必须记录此操作。

加密设备、密钥以及恢复信息的集中式合规视图和管理

有了这种类型的可见性，你可以查看贵企业中的Linux服务器是否已加密、并符合加密政策。服务器会将其加密状态(针对所有磁盘)传达给中央控制台。因此，如果某台服务器丢失，IT部门将为审计员提供其加密状态的证明。此外，从中央控制台对加密的Linux服务器执行总体的密码恢复、操作和管理至关重要。控制台还应该能提供集中备份加密密钥和恢复信息的功能。

为服务器(包括Linux服务器)提供无缝集成的加密解决方案至关重要。有了上面列出的几类功能，万一发生数据泄露，企业完全有能力保护拥有的机密信息，并满足越来越多的合规法规的要求。

qq3250845

了解网络安全AI的4个主要用例





网络安全可能是现在所有企业面临的最大威胁。尽管这不是新的挑战，但是系统、数据、云技术、应用程序、设备和分布式端点的激增正在加剧网络安全威胁。企业必须比以往更加努力地保护自己的资产和客户。而这超出了自动化响应性措施的范围，现在信息安全专业人士需要努力实现主动检测，以提前避免或阻止威胁。

目前企业开始寻求AI的帮助来增强安全性和保护其业务资产。具体来说，当今的安全软件使用机器学习、深度学习、机器推理和很多相关技术来审查大量数据。其目的是加快对正常与异常的了解，以检测恶意行为和实体。

据统计，到2022年，全球信息安全支出预计将达到1,700亿美元，网络安全行业正在努力创建更有效、更具弹性的机制和工具。由于技术方面的进步，AI和机器学习在信息安全领域有4个主要用例，你可能很快会在身边的企业中看到这些用例。

网络威胁分析

现在企业将越来越多的业务数字化。他们更新旧的并开发新的内部网络(通常是混合网络)，这些庞大的网络拓扑不仅复杂，而且还需要大量的网络安全资源来管理所有通信、事务、连接、应用程序和策略。

在企业规模，这意味着巨大的投资-更不用提出错的风险。而网络安全AI通过多种方式可应对这一严峻的挑战。重要的是，网络安全AI可监视所有传入和传出的网络流量，以识别可疑活动并分类威胁类型。

恶意软件检测

恶意软件是故意被设计为恶意的代码或软件类别的总称。恶意软件检测已经存在多年-通常是将可疑代码与基于签名的系统相匹配，而现在机器学习正在将其转向推理技术。

在分析大量数据、事件类型、来源和结果时，网络安全AI会在恶意文件被打开前检测到恶意软件的存在。它还可以识别新型恶意软件，这一点至关重要，因为恶意软件也会借助新技术不断发展，从僵尸程序和僵尸网络到恶意广告、索软件等。

到目前为止，我们已经有恶意软件和良性应用程序的数千万个带有标签的样本，这也使得恶意软件检测成为网络安全中深度学习和AI的最成功用例之一。经过精心训练的算法依赖于大型准确标记的数据集。

安全分析师能力得到增强

网络安全AI最擅长管理潜在威胁媒介的数量。因此，人类分析人员仍然是控制、知识和可解释性的重要仲裁者。现在，机器学习通过两种关键方式增强人类分析师的能力：

AI自动化重复性任务。例如，它会对低风险警报或繁琐数据填充型任务进行分类，以让分析师去进行更高价值的战略决策。
机器学习提高威胁情报起点。其结果是，人类分析师从更高级别的威胁入手，利用机器学习来更快分析、整理、可视化和提出潜在行动。
测试表明，理想的网络安全性能或准确性，通常需要结合人类和AI -并非单靠其中一者。在未来几年，对于安全团队而言，增强的安全工具至关重要。实际上，市场上的某些技术已经支持UI工具，以使网络专家能够结合新的威胁类型来重新训练机器学习模型，并根据问题配置特定的修复程序。

基于AI的威胁缓解

网络安全技术和风险与AI同步发展。如今，企业必须训练机器学习算法以识别其他机器学习算法所进行的攻击。例如，攻击者被发现使用机器学习来识别企业网络中的薄弱环节。他们利用这些信息通过网络钓鱼、间谍软件或分布式拒绝服务攻击来入侵企业。

其他威胁行为者已经开发智能恶意软件(甚至是人工黑客)，以针对受害者的特定情况量身定制攻击。基于AI的攻击证明了AI的共同价值主张：快速可扩展性、行为分析和个性化。这些功能可广泛应用在数据泄露、爆发或其他安全事件中。

企业和攻击者之间的猫捉老鼠游戏代表着网络安全创新中重要而危险的相互作用。企业利用投资进行保护仍然至关重要，尤其是在无法轻松更新或更换旧系统的情况下。

以上用例只是网络安全AI众多应用中的少数应用。但需要注意的是，在任何情况下，机器学习不是万能解决方案，它只是一个工具。并且，请记住：不要将它视为救命稻草，而应将它视为一线希望。尽管供应商大肆宣传，但现实是企业安全环境是巨大的动态网络。企业必须不断监控、审计和更新网络，以抵御持续不断的内部和外部威胁向量。为了定义什么是异常，首先需要定义什么是正常。这是极其困难的，因为计算和经济环境的变化非常快。

传统的基于签名的威胁检测方法(更不用提人类)有盲点，机器学习技术也有盲点。对于任何工具，明确的应用意图都是至关重要的，其输出仅与数据输入一样好。最后，与任何行动-反应一样，人们也有乐观的理由：越来越复杂的威胁正在带来越来越先进的缓解工具。