网络安全产品的配置和使用
监控技术
- 基于数据采集探针的流量监控技术
- 基于SNMP/RMON的流量监控技术
- 基于NetFlow的流量监控技术
- 基于实时抓包的流量监控技术
深度流检测
一定时间内具有相同的目的地址、源地址、目的端口、源端口和传输协议的报文集合
分为三个部分:
- 流特征选择
- 流特征提取
- 分类器
分析工具
-
Sniffer
- 侦听到任何到达网卡的数据帧
- 网络嗅探器分为四个部分:网络硬件设备、实时分析程、监听驱动程序、解码程序
- 网卡的缺省工作模式:广播模式和直接模式
- Sniffer网卡设置成混杂模式
-
Wireshark
网络协议解析
-
NBAR
- 基于网络的应用识别
- 用户定制应用程序分类
-
MRTG
- 基于SNMP的监控网络链路流量软件,应用层协议
- 所有运行SNMP协议的设备抓取信息
网络安全防护技术应用
日志分析
分析方法
- 集中式日志分析
- 专用日志分析
- 分布式日志分析
分为:
- 基于正则表达式的模式匹配日志分析
- 基于关联分析的日志分析
- 基于聚类分析的日志分析
VPN技术及其应用
含义:通过一个私有的通道在公共网络上创建一个安全的私有连接
协议
- 点对点隧道协议,PPTP,工作在数据链路层,使用 RC4算法
- 第二次隧道协议,L2TP,适合VPN拨号进入专业网络的用户
- IPSec协议,第三层,工作在 网络层
访问控制
-
基于角色的访问控制设计
-
Kerberos协议,对称密码体制,DES加密
- AS认证服务器
- TGS票据发放服务器
- Server 服务器
Web安全威胁
- 注入
- 失效的身份认证和会话管理
- 跨站脚本
- 不安全的直接对象引用
- 安全配置错误
- 功能级访问控制缺失
- 跨站脚本伪造
- 使用含有一直漏洞的组件
- 未验证的重定向和转发
端口扫描
- 完全连接扫描:TCP connect()扫描
- 半打开扫描 TCP SYN扫描:向服务器发送 SYN 连接,如果回复 SYN/ACK,说明端口处于监听状态,如果回复RST/ACK,则认为不在监听状态。该方式不建立一个完整的TCP连接,所以不会在目标系统上产生日志
- TCP FIN扫描:发送FIN分组,如果关闭,返回 RST分组
