如何打造网络安全红队攻防实验室?原理篇
互联网到底是如何通信的?(IT 基础设施)
如何将两个电脑连接起来?
互联网诞生之前,电脑之间都是单机运行,没有网卡、没有网线、没有协议栈,数据传输主要通过软盘、光盘等介质。
网线+网卡+协议栈=最小单元网络
- 网线提供物理介质,承载比特流和电磁信号。
- 网卡进行数据处理,将电脑数据转化为比特流,或将比特流转化为数据。
- 协议栈作为沟通语言,实现通信过程中的数据解析、地址寻址、流控制等。
电脑通过IP和MAC地址通信
- 电脑之间通信时,数据包需同时携带IP和MAC地址,好比我们在寄快递时,快递单需同时填写电话号码和收件地址。
- IP地址占32bit,采用十进制记录,例如192.168.1.1;MAC地址占48bit,采用冒号分十六进制,例如a8:c1:63:c7:e4:14
交换机实现同网络多电脑通信
- 交换机是一种局域网产品,一般用于本地网络,无法实现远程广域网通信。
- 交换机端口记录主机MAC地址并生成CAM表,以此实现电脑局域网内部通信。
路由器实现跨网络远程通信
- 路由器是一种网络层产品,采用IP路由表实现数据转发。
- 路由器用于连接不同局域网,实现跨网络远程通信。
防火墙实现安全访问控制
- 防火墙用于在网络边界实施安全访问控制,防止外部黑客攻击。
- 在防火墙的基础上,后面又延伸出了WAF、安全网关、入侵防御等技术。
服务器提供办公(对内)或业务服务(对外)
- 对外服务: Web
- 对内服务:Web / DNS/DHCP / VPN/DC / FTP
网络空间安全如何保障?(安全技术产品)
网络安全技术之防火墙
- 防火墙是最常见的网络安全设备,一般部署在网络边界,拦截非法攻击流量。
- 防火墙通过包过滤、应用代理、状态检测等技术实现对网络的安全防护。
- 除了能够识别数据包中3、4层的IP地址和端口号,防火墙也能够识别7层内容,实现更深级别的防御,例如DDOS攻击、Web入侵、恶意代码等。
网络安全技术之WAF防火墙
- WAF 即网站应用防火墙,专注应用层防御,可以有效防御SQL注入、XSS跨站脚本、木马上传等Web入侵,支持IP,URL路径,Referer ,POST参数等自定义防御规则设置。
- WAF具备大数据智能业务防御能力,支持多维度自定义精准访问控制、配合人机识别和频率控制等对抗手段,可智能高效的过滤垃圾访问,有效防御CC攻击。
- WAF还支持云端备份网站核心内容页面,保障网页内容不会因为源站安全事故而被篡改。
网络安全技术之入侵防御
- 入侵检测或入侵防御(IDS/IPS),能够更加深度的检测并实时拦截黑客攻击,与防火墙实现联动与互补。
- 通过入侵检测或入侵防御的部署,可以检测或防御蠕虫病毒、恶意代码、DDOS等更高威力的黑客攻击手段。
网络安全技术之VPN网关
- VPN ( Virtual Private network )即虚拟私有网络,用于实现互联网上通信数据的加密传输,防止被黑客监听和窃取。
- 企业级VPN部署在网络边缘的VPN网关或路由器或者防火墙上,采用IPsec / SSL等协议进行协商和建立。
网络安全技术之漏洞扫描
- 漏洞扫描技术用于模拟黑客对各种网络、服务器、安全等产品进行自动化安全监测,并输出安全报告。
- 漏洞扫描技术可以帮助IT工程师更快更早的感知漏洞风险,提早修复高危漏洞,实现IT业务的安全加固。
网络安全技术之流量审计
流量审计(行为管理)已成为当前网络安全等保项目中的必选项。大至运营商与政企网络,小至企业与校园网络,都必须依法对接入用户的行为进行审计与记录(6个月)。
通过部署此产品,可实现上网行为审计、日志记录等,为网络做更精细化的流量管理,为用户提供更好的服务体验。
网络安全技术之态势感知│安全运营中心SOC
网络安全架构如何实践?(项目案例解析)
微型家庭网络架构
典型家庭网络,通过无线路由器提供有线与无线热点接入,出口路由器通过拨号上网连接外网,涉及 WiFi、NAT、PPPOE、DHCP等技术。
小型创业企业网络架构
小型创业公司网络,通过路由器、交换机、服务器(官网、OA、Email等)实现联网,分为办公区、DMZ区、互联网区,涉及VLAN、TRUNK、DHCP、WLAN、OSPF、PPPOE、NAT、ACL等。
大中型企业网络架构
- 大中型企业网等最常见的园区网络架构,采用接入汇聚核心三层架构,双核心网络。
- 根据业务需求,分为用户办公区、对内服务区、对外服务区、管理区、互联网区等,通过核心交换机和防火墙进行连接和隔离。
- 互联网采用多出口连接,通过路由器进行拨号和NAT,通过流控产品进行负载均衡/上网行为管理,通过防火墙和入侵防御进行安全隔离。
企业/校园/医院等IT基础设施网络架构
互联网Ⅰ游戏/电商等IT基础设施网络架构
政府/金融/电力等IT基础设施网络架构
