网络安全设备防护原理 网络安全防护装置
🍅 点击文末小卡片 ,免费获取网络安全全套资料,资料在手,涨薪更快
防火墙
简介
网络层的防护设备,依照特殊的规则允许或者限制传输的数据通过
是由软件和硬件设备组合而成,在内部网和外部网之间、专用网和公共网之间的界面上构造的保护屏障
下一代防火墙(NG Firewall)是一款可以全面应对应用层威胁的高性能防火墙,提供网络层应用层一体化防护
防火墙主要用于边界安全的防护的权限控制和安全域的划分
防火墙主要在网络第二到第四层起作用,它的作用在第四到第七层一般很微弱
而反病毒软件主要在第五到第七层起作用
防火墙分类
硬件如华为的硬件防火墙
软件防火墙:如微软自带的防火墙、云防火墙如阿里云的ECS规则
WAF(Web应用防火墙):如 安全狗、 D盾
云WAF:阿里 云盾
功能:
所谓“防火墙”,是指一种将内部网和公众访问网分开的方法,它实际上是一种隔离技术。 单向防护控制,只管进,不管出。所以很多木马从内网网外网连接,这叫反向连接。
部署:
部署于内、外网络边界和各个区域之间,用于权限访问控制和安全域划分。
防火墙的部署主要有三种模式:透明、路由和混合
1.透明模式
此时防火墙对于子网用户和路由器来说是完全透明的,也就是说,用户完全感觉不到防火墙的存在。
无需修改任何已有的网络配置,内部网络和外部网络必须处于同一个子网。
2.路由模式
当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP
地址,重新规划原有的网络拓扑,此时相当于一台路由器。采用路由模式时,可以完成ACL 包过滤、ASPF 动态过滤、NAT
转换等功能。然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等)3.混合模式
防火墙既存在工作在路由模式的接口(接口具有IP 地址),又存在工作在透明模式的接口(接口无IP 地址),则防火墙工作在混合模式下。
混合模式主要用于透明模式作双机备份的情况,此时启动VRRP(Virtual Router Redundancy
Protocol,虚拟路由冗余协议)功能的接口需要配置IP 地址,其它接口不配置IP地址。内部网络和外部网络必须处于同一个子网。
功能模块:
**NAT:**把内网地址映射到外网
**路由:**路由寻址
**策略:**过滤规则
UTM
(Unified Threat Management),统一威胁管理 具备防火墙、IPS入侵检测、防病毒、防垃圾邮件等综合功能。 同时开启多项功能会大大降低UTM性能、所以主要用于对性能要求不高的中低端领域。 在高端领域,比如电信、金融仍然以防火墙和IPS为主流。
负载均衡
负载均衡(Load Balance)建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽
增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
把任务分摊到多个操作单元上进行执行,从而共同完成工作任务。
主要目的是实现资源的有效利用,分担共同压力,避免资源分布不均。
**部署三种模式:**路由模式、桥接模式、服务直接返回模式。
路由模式部署灵活,越60%用户采用这种方式部署; 桥模式不改变现有的网络架构;
服务直接返回(DSR)比较适合吞吐量大,特别是内容分发的网络应用。30%用户采用这种模式。
GAP网闸
(安全隔离网闸) 安全网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。 专门用来做数据交换,相比于防火墙,能够对应用数据进行检查,防止泄密、进行病毒和木马检查。 物理隔离,只有数据文件的无协议摆渡,阻断具有潜在攻击的一切连接。
保密单位、科研单位、石化、石油对网闸的需求非常大。要做内外网隔离、大网透传、数据摆渡。 安全性高于防火墙,性能不如防火墙。
主要功能:
安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证
部署:
部署于不同区域之间物理隔离、不同网络之间物理隔离、网络边界物理隔离,也常用于数据同步、信息发布等。
VPN虚拟专用网络
(Virtual private network),在公用网络上建立专用网络,进行加密通讯。 VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。 VPN隧道协议主要有三种:PPTP、L2TP、IPSec 常用类型有SSL VPN (以HTTPS为基础的VPN技术,外网访问内网平台)和IPSec VPN
IDS和IPS
IDS 专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视
尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。
因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。
IPS同时具备检测和防御功能,IPS在入口处就开始检测, 而不是等到进入内部网络后再检测这样,检测效率和内网的安全性都大大提高。
入侵预防系统专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。
IPS是一种失效既阻断机制,当IPS被攻击失效后, 它会阻断网络连接, 就像防火墙一样, 使被保护资源与外界隔断。
HIDS 基于主机的入侵检测系统
作为计算机系统的监视器和分析器,它并不作用于外部接口
而是专注于系统内部,监视系统全部或部分的动态的行为以及整个计算机系统的状态
HIDS动态地检查网络数据包、文件、日志等。
企业安全建设之HIDS
堡垒机
堡垒机,也叫做运维安全审计系统
核心功能:4A
身份验证 Authentication
账号管理 Account
授权控制 Authorization
安全审计 Audit
堡垒机是用来控制哪些人可以登录哪些资产(事先防范和事中控制),以及录像记录登录资产后做了什么事情(事后溯源.)
jumpserver是全球首款完全开源的堡垒机 。
应用:比如用堡垒机实现 单点登录
蜜罐
蜜罐是一种软件应用系统,用来称当入侵诱饵,引诱黑客前来攻击。
攻击者入侵后,通过监测与分析,就可以知道他是如何入侵的,利用了什么漏洞和工具。
有两种基本类型的蜜罐技术:
- 高交互性蜜罐—设置一个全功能的应用环境,引诱黑客攻击。
- 低交互性蜜罐—模拟一个生产环境,所以只能提供有限的信息。
一个专注蜜罐技术研究的网站
Github-project: 最优秀的蜜罐列表
SOC
SEM,security event management,安全事件管理,指对事件进行实时监控,收集信息差展生通知和告警的行为。
SIM,security information
management,安全信息管理,指对SEM收集和产生的数据进行长期保存以供历史和趋势分析的行为。SIEM,security information and event management,安全信息和事件管理,即SEM和SIM的结合体。
SOC,security operations center,安全运营中心。
TI,Threat
Intelligence,威胁情报。SOC偏重内部网络态势感知,而TI偏重于外部网络态势感知比如新出了什么漏洞、病毒、安全事件等等。SA,situational awareness,态势感知。
SRC,Security Response
Center,安全响应中心。狭义上只是一个提交产品漏洞的入口,但广义上包含各种安全系统及系统维护人员。
**他们的关系是:**SRC > SA >= SOC [ + TI ] >= SIEM = SEM+SIM。
一款典型的SIEM产品具有以下功能:资产发现、漏洞扫描、入侵检测、日志存储分析和可视化展示
OSSIM,开源安全信息管理系统(Open Source Security Information Management)
在产品形式上和Kali类似是一个基于Debain进行二次开发的Linux发行版
OSSIM使用Nmap等实现资产发现、使用Nessus等实现漏洞扫描、使用Snort等实现入侵检测
使用MySQL等进行数据存储,自己实现的部分主要是工具、数据整合和可视化展示
安装:
ISO文件下载地址:https://www.alienvault.com/products/ossim/download
基础配置:CPU----2*2,内存----8G,硬盘----20G以上
OSSIM包含服务器组件+Sensor,Sensor相当于一个Client
实验心得
通过结对,我认识到了合作的重要性,紧密的合作能够提高我们的能力。代码测试过程中出现很多错误,但经过互相的合作和探讨,加以改进,便成功运行。
最后感谢每一个认真阅读我文章的人,礼尚往来总是要有的,虽然不是什么很值钱的东西,如果你用得到的话可以直接拿走:
上述所有都有配套的资料,这些资料,对于做【网络安全】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴我走过了最艰难的路程,希望也能帮助到你!凡事要趁早,特别是技术行业,一定要提升技术功底。
相关文章:
网络安全设备防护原理 网络安全防护装置
🍅 点击文末小卡片 ,免费获取网络安全全套资料,资料在手,涨薪更快 防火墙 简介 网络层的防护设备,依照特殊的规则允许或者限制传输的数据通过 是由软件和硬件设备组合而成,在内部网和外部网之间、专用网…...
Python的那些事第二十八篇:数据分析与操作的利器Pandas
Pandas:数据分析与操作的利器 摘要 Pandas是基于Python的开源数据分析库,广泛应用于数据科学、机器学习和商业智能等领域。它提供了高效的数据结构和丰富的分析工具,能够处理结构化数据、时间序列数据以及复杂的数据转换任务。本文从Pandas的基础概念入手,深入探讨其核心…...
学习threejs,使用MeshBasicMaterial基本网格材质
👨⚕️ 主页: gis分享者 👨⚕️ 感谢各位大佬 点赞👍 收藏⭐ 留言📝 加关注✅! 👨⚕️ 收录于专栏:threejs gis工程师 文章目录 一、🍀前言1.1 ☘️THREE.MeshBasicMaterial 二…...
【git-hub项目:YOLOs-CPP】本地实现05:项目移植
ok,经过前3个博客,我们实现了项目的跑通。 但是,通常情况下,我们的项目都是需要在其他电脑上也跑通,才对。 然而,经过测试,目前出现了2 个bug。 项目一键下载【⬇️⬇️⬇️】: 精…...
)
Html5学习教程,从入门到精通,HTML5 元素语法知识点及案例代码(2)
HTML5 元素语法知识点及案例代码 一、HTML5 元素概述 HTML5 元素是构成网页的基本单位,每个元素都有特定的语义和功能。HTML5 元素由开始标签、内容和结束标签组成,例如: <p>这是一个段落。</p><p> 是开始标签这是一个段…...
【python】协程(coroutine)
协程(coroutine)可以理解为一个可以中途暂停保存当前执行状态信息并可以从此处恢复执行的函数,多个协程共用一个线程执行,适合执行需要“等待”的任务。 所以严格意义上,多个协程同一时刻也只有一个在真正的执行&#…...
【编译器】-LLVMIR
概述 LLVM 是一种基于静态单赋值 (SSA) 的表示形式,提供类型安全、低级操作、灵活性以及干净地表示“所有”高级语言的能力。 LLVM IR 是一门低级语言,语法类似于汇编任何高级编程语言(如C)都可以用LLVM IR表示基于LLVM IR可以很…...
java面试场景问题
还在补充,这几天工作忙,闲了会把答案附上去,也欢迎各位大佬评论区讨论 1.不用分布式锁如何防重复提交 方法 1:基于唯一请求 ID(幂等 Token) 思路:前端生成 一个唯一的 requestId(…...
算法菜鸡备战3月2日传智杯省赛----0221
2209. 用地毯覆盖后的最少白色砖块 - 力扣(LeetCode) 力扣每日一题 class Solution { public:// 白色最少 黑色最多int minimumWhiteTiles(string floor, int numCarpets, int carpetLen) {int n floor.size();// 记忆化搜索vector memo(n 1, vector&…...
python pandas下载
pandas pandas:就是一个可以处理数据的 python 库 核心功能: 数据的清洗:处理丢失值,重复值数据分析:计算和统计信息,或分组汇总数据可视化:结合 图标库(Matplotlib)完成数据可视化…...
与列文伯格-马夸尔特方法在ORB-SLAM3中的应用)
高斯牛顿法(GN)与列文伯格-马夸尔特方法在ORB-SLAM3中的应用
问题背景 高斯牛顿法(Gauss-Newton, GN)和列文伯格-马夸尔特方法(Levenburg-Marquadt, LM)是两种最常用的非线性优化方法,这两种方法在ORB-SLAM3系统中均有使用。 在ORB-SLAM3前端跟踪线程(Tracking)中,局…...
Python+Selenium+Pytest+POM自动化测试框架封装
🍅 点击文末小卡片 ,免费获取软件测试全套资料,资料在手,涨薪更快 1、测试框架简介 1)测试框架的优点 代码复用率高,如果不使用框架的话,代码会显得很冗余。可以组装日志、报告、邮件等一些高…...
猿大师中间件:网页直接内嵌本机EXE、OCX控件、ActiveX控件或桌面应用程序神器
猿大师中间件自从2019年发布以来,迄今为止不断迭代升级,给第三方提供了将自己的桌面程序和OCX控件支持直接内嵌到浏览器网页运行的赋能SDK开发包。 目前针对不同需求发布了三个成熟且商用的产品: 猿大师播放器:浏览器中直接原生…...
【Python】03-Python语法入门
文章目录 1、基本概念1.1、表达式1.2、语句1.3、程序(program)1.4、函数(function) 2、基本语法3、字面量与变量4、变量与标识符 1、基本概念 1.1、表达式 表达式就是一个类似于数学公式的东西,表达式一般仅用来计算一…...
C++,设计模式,【工厂方法模式】
文章目录 如何用汽车生产线理解工厂方法模式?一、传统生产方式的困境二、工厂方法模式解决方案三、模式应用场景四、模式优势分析五、现实应用启示✅C++,设计模式,【目录篇】 如何用汽车生产线理解工厂方法模式? 某个早晨,某车企CEO看着会议室里堆积如面的新车订单皱起眉…...
)
跟着 Lua 5.1 官方参考文档学习 Lua (5)
文章目录 2.10 – Garbage Collection2.10.1 – Garbage-Collection Metamethods2.10.2 – Weak Tables 2.10 – Garbage Collection Lua performs automatic memory management. This means that you have to worry neither about allocating memory for new objects nor abo…...
第2遍)
9.PG数据库层权限管理(pg系列课程)第2遍
一、PostgreSQL数据库属主 Postgres中的数据库属主属于创建者,只要有createdb的权限就可以创建数据库,数据库属主不一定拥有存放在该数据库中其它用户创建的对象的访问权限。数据库在创建后,允许public角色连接,即允许任何人连接…...
鸿蒙-canvas-画时钟
文章目录 前言准备分析组成部分数值计算过程 开始第一步 画圆环第二步 画格子第三步 画数字第四、五步 画指针&定时更新最后一步 前言 你在 Android 上能画出来的东西,在鸿蒙上画不出来? 画个时钟嘛,有啥难的? 你行你上&…...
【AI实践】阿里百炼文本对话Agent安卓版搭建
环境:安卓手机运行环境;WinsurfAI编程工具;阿里百炼提前创建Agent应用; 耗时:2小时; 1,新建安卓项目 完成文本输入,并将输入的文字显示出来。 2,安装SDK 参考文档 安…...
算法很美笔记(Java)——动态规划
解重叠子问题(当前解用到了以前求过的解) 形式:记忆型递归或递推(dp) 动态规划本质是递推,核心是找到状态转移的方式,也就是填excel表时的逻辑(填的方式),而…...
Jest单元测试
由于格式和图片解析问题,可前往 阅读原文 前端自动化测试在提高代码质量、减少错误、提高团队协作和加速交付流程方面发挥着重要作用。它是现代软件开发中不可或缺的一部分,可以帮助开发团队构建可靠、高质量的应用程序 单元测试(Unit Testi…...
《Stable Diffusion绘画完全指南:从入门到精通的Prompt设计艺术》-配套代码示例
第一章:模型加载与基础生成 1.1 基础模型加载 from diffusers import StableDiffusionPipeline import torch# 加载SD 1.5基础模型(FP32精度) pipe StableDiffusionPipeline.from_pretrained("runwayml/stable-diffusion-v1-5",…...
OnlyOffice:前端编辑器与后端API实现高效办公
OnlyOffice:前端编辑器与后端API实现高效办公 一、OnlyOffice概述二、前端编辑器:高效、灵活且易用1. 完善的编辑功能2. 实时协作支持3. 自动保存与版本管理4. 高度自定义的界面 三、后端API:管理文档、用户与权限1. 轻松集成与定制2. 实时协…...
springboot多实例部署时,@Scheduled注释的方法重复执行
问题:springboot多实例部署时,Scheduled注释的方法重复执行 在 Spring Boot 中要实现 Redis 的SET NX EX命令,可以借助 Spring Data Redis 来完成。SET NX EX命令用于在键不存在时设置键值对,并同时设置过期时间。 <dependen…...
coco格式
COCO(Common Objects in Context)格式是一种广泛用于图像识别和分割任务的数据格式,尤其是在目标检测、语义分割等任务中。COCO格式的核心包括以下几个部分: images: 包含图像的基本信息(如文件名、大小、ID等&#x…...
骶骨神经
骶骨肿瘤手术后遗症是什么_39健康网_癌症 [健康之路]匠心仁术(七) 勇闯禁区 骶骨肿瘤切除术...
Nacos学习(二)——继承Feign与Config中心
目录 一、集成Feign (一)基础用法 1.添加openfeign依赖 2. 开启openFeign注解扫描 3.创建ProviderService接口 4.修改ConsumerController (二)OpenFeign日志配置 (三)参数传递 1.参数传递的问题 2.参数传递的方式 2.1URL路径传参 2.2URL上拼接参数 2.3body传参 …...
计算机网络安全之一:网络安全概述
1.1 网络安全的内涵 随着计算机和网络技术的迅猛发展和广泛普及,越来越多的企业将经营的各种业务建立在Internet/Intranet环境中。于是,支持E-mail、文件共享、即时消息传送的消息和协作服务器成为当今商业社会中的极重要的IT基础设施。然而࿰…...
未来SLAM的研究方向和热点
SLAM(Simultaneous Localization and Mapping)是同时定位与地图构建的缩写,指的是机器人或设备在一个未知环境中一边进行自我定位,一边构建出环境的地图。SLAM广泛应用于机器人、自动驾驶、无人机等领域,涉及多个研究方…...
DuodooBMS源码解读之 purchase_change 模块
采购变更模块用户使用手册 一、模块概述 本扩展模块主要用于处理采购变更相关业务,包括采购变更单的创建、展示以及将采购变更信息导出为 Excel 文件等功能。以下将详细介绍该模块的具体使用方法。 二、模块功能及使用方法 (一)采购变更单…...