本书是“奇安信认证网络安全工程师系列丛书”之一,全书采用项目式、场景式的知识梳理方式,在目前网络安全背景下立足于企业用人需求,以办公网安全、网站群安全、数据中心安全、安全合规及风险管理四大模块构建完整的知识体系。本书分为4篇。第1篇“办公网安全”,内容包含初识办公网、网络连通性保障、防火墙和访问控制技术、上网行为管理及规范、域控及域安全、恶意代码及安全准入、远程办公安全、无线局域网安全及安全云桌面等。第2篇“网站群安全”,内容包含网站和网站群架构、网站群面临的安全威胁、网站系统的安全建设及安全事件应急响应等。第3篇“数据中心安全”,内容包含数据中心架构、数据中心面临的威胁、数据中心规划与建设、数据中心安全防护与运维,以及数据中心新技术等。第4篇“安全合规及风险管理”,内容包含思考案例、项目、风险评估、等级保护、安全运维、信息安全管理体系建设及法律法规等。本书可供网络安全工程师、网络运维人员、渗透测试工程师、软件开发工程师,以及想要从事网络安全工作的人员阅读。
第1篇“办公网安全”,内容包含初识办公网、网络连通性保障、防火墙和访问控制技术、上网行为管理及规范、域控及域安全、恶意代码及安全准入、远程办公安全、无线局域网安全及安全云桌面等。第2篇“网站群安全”,内容包含网站和网站群架构、网站群面临的安全威胁、网站系统的安全建设及安全事件应急响应等。第3篇“数据中心安全”,内容包含数据中心架构、数据中心面临的威胁、数据中心规划与建设、数据中心安全防护与运维,以及数据中心新技术等。第4篇“安全合规及风险管理”,内容包含思考案例、项目、风险评估、等级保护、安全运维、信息安全管理体系建设及法律法规等。
2.办公网概述办公网是计算机网络的商业应用,企业为了更加有效地办公,自行建设公司内部的计算机服务系统,将所有的办公计算机和系统进行连接,实现统一管理、文件共享等目标。例如,公司为每个员工配备计算机,员工使用这些计算机编写文档、设计产品等,完成后在公司内部的办公网络中自由地传输。在企业网中存在的最大问题是资源共享,资源共享的目的是让企业中的任何人都可以访问相应的程序、设备或数据。在公司中员工可以共享打印机的使用,这不仅降低了公司的花费,而且使打印机更容易维护。有些企业的全部员工都集中在一个办公区域,而有些公司的员工分散在不同的办事处和工厂中,如上海的销售人员有时候需要访问北京的销售系统。这时就需要为企业办公网引入“虚拟专用网”(VirtualPrivateNetwork,VPN)的网络技术,将不同地点的网络连接成一个虚拟的内网。
2.按照使用者分类1)公用网公用网是指电信公司/电信运营商(国有或私有)出资建造的大型网络,如联通、电信、移动提供的宽带、手机网络等,我们日常上网大多使用的是公用网络。2)专用网专用网是指某个部门为满足本单位的特殊业务工作的需要而建造的网络。这类网络跟互联网通常没有直接连接或直接禁止连接,仅供部门内部使用,如电子政务外网是政府的业务专网,主要运行政务部门面向社会的专业性业务和不需要在内网上运行的业务。电子政务外网和互联网之间逻辑隔离,而电子政务内网是政务部门的办公网,与互联网物理隔离。除此之外,银行、税务、检察院、公安、法院、医疗等各个领域都有属于自己的一套专用网络。
(1)需要相同数据流的客户端加入相同的组共享一条数据流,节省了服务器的负载,具备广播所具备的优点。(2)由于组播协议是根据接收者的需要对数据流进行复制并转发,所以服务器端的服务总带宽不受客户接入端带宽的限制。IP允许有两亿六千多万个组播,所以其提供的服务可以非常丰富。(3)组播协议允许在Internet宽带上传输。组播的缺点如下:(1)与单播协议相比,组播协议没有纠错机制,发生丢包错包后难以弥补,但可以通过一定的容错机制和QoS(QualityofService,服务质量,指一个网络能够利用各种基础技术,为指定的网络通信提供更好的服务能力)加以弥补。(2)现行网络虽然都支持组播传输,但在客户认证等方面还需要完善,这些缺点在理论上都有成熟的解决方案,只是需要逐步推广应用到现存网络中。
7.应用层应用层(ApplicationLayer)是OSI七层模型的最高层,即第七层,它为应用程序提供服务以保证通信,但不是进行通信的应用程序本身。应用层直接和应用程序接口一起提供网络应用服务,其作用是在实现多个系统应用进程相互通信的同时,完成一系列业务处理所需的服务。其服务元素分为两类:公共应用服务元素(CASE)和特定应用服务元素(SASE)。CASE提供基本的服务,它成为应用层中任何用户和任何服务元素的用户,主要为应用进程通信、分布系统实现提供基本的控制机制。SASE则要满足一些特定服务,如文卷传送、访问管理、作业传送、银行事务、订单输入等。这些将涉及虚拟终端、作业传送与操作、文卷传送及访问管理、远程数据库访问、图形核心系统、开放系统互连管理等。
2.3.1网络接口层在TCP/IP参考模型中,网络接口层对应OSI七层模型的物理层和数据链路层。1.数据帧数据帧(Frame)传递的单位是帧,是数据链路层的协议数据单元,如图2-20所示,其包括3部分:(1)帧首部:里面有MAC地址,通过这个地址可以在底层的交换机层面顺着网线找到你的计算机。(2)帧的数据部分:包含网络层的数据、IP数据报,即使用IP地址定位的一个数据包。(3)帧尾部:帧首部和帧尾部包含一些必要的控制信息,如同步信息、地址信息、差错控制信息等。
2.MAC地址MAC(MediaAccessControl,介质访问控制)地址也称MAC位址、硬件地址,用来定义网络设备的位置。如图2-21所示,MAC地址由48bit的十六进制数字组成,前24位叫组织唯一标志符(OrganizationallyUniqueIdentifier,OUI),是由IEEE的注册管理机构给不同厂家分配的代码。后24位由厂家自己分配,称为扩展标识符,同一厂家生产的网卡中MAC地址的后24位是不同的。
2.3.2网络层网络层又称互联网层(InternetLayer),是将整个网络体系结构贯穿在一起的关键层,几乎可以看作与OSI七层模型的网络层等同,负责处理主机到主机的通信,决定数据包如何交付,选择是交给网关(路由器)还是交给本地端口。1.IP地址IP是英文InternetProtocol的缩写,表示“网际协议”,IP地址是分配给网络中每台机器的数字标识符,其指出了设备在网络中的具体位置。相对于MAC地址,IP地址是设备的软件地址。IP地址让一个网络中的主机能够与另一个网络中的主机通信,而不关心这些主机所属的网络是什么类型。
2)TCP的三次握手三次握手(Three-wayHandshake)是指建立一个TCP连接时,需要客户端和服务器端发送3个包以确认连接的建立,如图2-30所第一次握手:Client(客户)将标志位SYN置为1,随机产生一个值seq=x,并将该数据包发送给Server(服务器),Client进入SYN_SENT状态,等待Server确认。第二次握手:Server收到数据包后由标志位SYN=1知道Client请求建立连接,Server将标志位SYN和ACK都置为1,ack=x+1,随机产生一个值seq=y,并将该数据包发送给Client以确认连接请求,Server进入SYN_RCVD状态。第三次握手:Client收到确认后,检查ack是否为x+1,ACK是否为1,如果正确,则将标志位ACK置为1,ack=y+1,并将该数据包发送给Server,Server检查ack是否为y+1,ACK是否为1,如果正确,则连接建立成功,Client和Server进入ESTABLISHED状态,完成三次握手,随后Client与Server之间可以开始传输数据了。
3)TCP的四次挥手四次挥手(Four-wayWaveHand)就是指断开一个TCP连接时,需要客户端和服务器端发送4个包以确认连接的断开,如图2-31所示。图2-31四次挥手由于TCP连接是全双工的,因此每个方向都必须单独进行关闭,这一原则是当发送方完成数据发送任务后,发送一个FIN报文给接收方,来表示已完成对接收方的数据发送,接收方会回应一个确认信息告知发送方,它已知道发送方无数据发送。但是在这个TCP连接上接收方能够发送数据,直到接收方也发送了FIN。这时发送方回应确认信息,最终断开TCP连接。首先进行关闭的一方将执行主动关闭,另一方则执行被动关闭。第一次挥手:Client发送一个FIN,用来关闭Client到Server的数据传送,Client进入FIN_WAIT_1状态。第二次挥手:Server收到FIN后,发送一个ACK给Client,确认序号为收到序号+1(与SYN相同,一个FIN占用一个序号),Server进入CLOSE_WAIT状态。第三次挥手:Server发送一个FIN,用来关闭Server到Client的数据传送,Server进入LAST_ACK状态。第四次挥手:Client收到FIN后,Client进入TIME_WAIT状态,接着发送一个ACK给
Server,确认序号为收到序号+1,Server进入CLOSED状态,完成四次挥手。3.UDP传输层的第二个协议是用户数据报协议(UserDatagramProtocol,UDP),其是一个不可靠、无连接协议,适用于那些不想要TCP的有序性或流量控制功能,而宁可自己提供这些功能的应用程序,如图2-32所示。UDP被广泛应用于那些一次性的基于客户机/服务器类型的“请求/应答”查询应用(如DNS服务),以及那些及时交付比精确交付更加重要的应用,如传输语音或视频。
2.3.4应用层1.应用层介绍应用层的任务是通过应用进程间的交互来完成特定网络应用。应用层协议定义的是应用进程间的通信和交互规则。不同的网络应用需要不同的应用层协议。端口号的作用就是将应用层映射到传输层,如图2-33所示。DNS在进行区域传输的时候使用TCP,其他时候则使用UDP,使用TCP的应用层协议有SMTP、TELNET、HTTP、FTP、DNS。使用UDP的应用层协议有DNS、TFTP、RIP、BOOTP、DHCP、SNMP、IGMP。在互联网中应用层协议很多,如域名系统(DNS)、支持万维网应用的HTTP,以及支持电子邮件的SMTP等。应用层协议是为了解决某一类应用问题,通过位于不同主机中的多个应用进程之间的通信和协同工作来完成的。这种通信必须遵守严格的规则,其定义如下:●应用进程交换的报文(应用层的数据单元是报文),如请求报文和响应报文。●各种报文类型的语法,如报文中的各个字段及其详细描述。●字段的语义,即包含在字段中的信息含义。●进程何时、如何发送报文,以及对报文进行响应的规则。
2.路由分类及选路主机A想要通过路由器与主机B进行通信,路由器上必须要有到达主机A和主机B的路由才能完成双方的数据转发。一旦路由器的一个接口与一台网络设备相连,路由器就会学习到该设备所在网段的路由,这是直连路由。除此之外,还有静态路由和动态路由两种路由协议来获取路由,静态路由有直连路由、默认路由;动态路由包括RIP、EIGRP(思科私有)、OSPF、IBGP、ISIS等。在网络中,通往目的地的路径有很多条,具体走哪一条路径主要基于度量值和管理距离。度量值(metric)代表距离,用来在寻找路由时确定最优路由路径。每一种路由算法在产生路由表时,会为每一条通过网络的路径产生一个数值(度量值),最小的值表示最优路径。度量值的计算可以只考虑路径的一个特性,但更复杂的度量值是综合了路径的多个特性产生的。通常影响路由度量值的因素有线路延迟、带宽、线路使用率、线路可信度、跳数、最大传输单元。管理距离是指一种路由协议的路由可信度。每一种路由协议按可靠性从高到低依次分配一个信任等级,这个信任等级就叫管理距离,如表3-1所示。
4.默认路由默认路由(defaultroute)是一种特殊的静态路由,当路由表中与IP数据包的目的地址之间没有匹配的表项时,路由器能够使用默认路由。如果没有默认路由,则目的地址在路由表中没有匹配表项的数据包将被丢弃。当设置了默认路由后,如果IP数据包中的目的地址在路由表中找不到路由,则路由器会选择默认路由0.0.0.0,匹配IP地址时,0表示通配符,任何值都是可以的,所以0.0.0.0和任何目的地址匹配都会成功,从而实现默认路由要求的效果。默的IP地址和子网掩码改成0.0.0.0和0.0.0.0。当数据包到达一个知道如何到达目的地址的路由器时,这个路由器会根据最长匹配原则选择有效路由。子网掩码匹配目的IP地址且位数最多的网络会被选择。默认路由在某些场景(如末端网络)下极其有效,使用默认路由可以大大减少对路由器的配置,降低路由器对路由表的维护工作量,从而降低路由器的性能消耗,提升网络性能。
13.2交换网络3.2.1交换网络的介绍交换机也叫交换式集线器,其基于MAC(网卡的介质访问控制地址)识别能完成封装转发数据包功能的网络设备。交换机对信息进行重新生成,并经过内部处理后转发至指定端口,具备自动寻址能力和交换作用,它是一个扩大网络的器材,能为网络提供更多的连接端口,以便连接更多的计算机。交换机的工作原理如下:(1)交换机根据所收到数据帧中的源MAC地址建立该地址同交换机端口的映射,并将其写入MAC地址表中。(2)交换机将数据帧中的目的MAC地址同已建立的MAC地址表进行比较,以决定由哪个端口进行转发。(3)如果数据帧中的目的MAC地址不在MAC地址表中,则向所有端口转发,这一过程称为泛洪。(4)广播帧和组播帧向所有端口转发。
3.2.3交换机的接口模式在802.1Q中定义VLAN帧后,将接口分为Access接口和Trunk接口,下面分别进行介绍。1.Access接口Access接口是交换机上用来连接用户主机的接口,其只能接入链路,仅允许唯一的VLANID通过本接口,该VLANID与接口的默认VLANID相同,Access接口发往对端设备的以太网帧永远是不带标签的帧,如图3-11所示。图3-11Access接口对报文的处理2.Trunk接口Trunk接口是交换机上用来和其他交换机连接的接口,其只能连接干道链路,允许多个VLAN的帧(带Tag标记)通过。默认的VLANID为VLAN1,可以进行修改,如图3-12所示。1)关于Trunk(干道/干线)(1)Trunk一般用于交换机与交换机之间,或者交换机与路由器之间(配置单臂路由的时候)(2)Trunk有dot1q和ISL两种封装形式。图3-12Trunk接口对报文的处理2)关于dot1q和ISL的区别(1)ISL是思科私有的,dot1q是公有的。(2)ISL会在原始帧前加26字节,在帧尾加4字节,所以有时也被称作封装。dot1q会在原始帧内部添加4字节,所以有时也被称作标记。(3)ISL最多支持1000个VLAN,dot1q最多支持4096个VLAN。(4)ISL对语音的支持不好,dot1q对语音(QoS)的支持比较好。(5)dot1q中有NativeVLAN的概念,ISL中没有。
3.3.3端口多路复用端口多路复用(PortAddressTranslation,PAT)是指改变数据包的源端口并进行端口转换,即端口地址转换。采用端口多路复用方式,内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源,同时可隐藏网络内部的所有主机,有效避免了来自Internet的攻击。因此,网络中应用最多的就是端口多路复用方式,如图3-16所示,端口多路复用还可以通过被转换的地址是源地址还是目的地址而分为源地址转换(SourceNetworkAddressTranslation,SNAT)和目的地址转换(DestinationNetworkAddressTranslation,DNAT)。
4.2.1ACL介绍1.ACL分类ACL是一种基于包过滤的控制技术,其在路由器、三层交换机中被广泛采用。ACL对数据包的源地址、目的地址、端口号及协议号等进行检查,并根据数据包是否匹配ACL规定的条件来决定是否允许数据包通过。华为将ACL分为基本ACL和高级ACL。(1)基本ACL(2000~2999):只能匹配源IP地址。(2)高级ACL(3000~3999):可以匹配源IP地址、目标IP地址、源端口、目标端口等三层和四层的字段。思科将ACL分为标准ACL和扩展ACL。(1)标准ACL(1~99或1300~1999):匹配源地址的所有IP数据包。(2)扩展ACL(100~199或2000~2699):匹配源地址和目标地址、源端口和目标端口等字段。
4.3.1防火墙介绍防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域间信息的唯一出口,能根据企业的安全政策控制(允许、拒绝、监测)网络的信息流,是保护用户资料与信息安全的一种技术,且本身具有较强的抗攻击能力。随着防火墙技术的不断发展,其功能越来越丰富。防火墙最基础的两大功能依旧是隔离和访问控制。隔离功能就是在不同信任级别的网络之间砌“墙”,而访问控制就是在墙上开“门”并派驻守卫,按照安全策略来进行检查和放行。
3)虚拟线路桥接场景虚拟线路桥只能绑定两个物理接口,虚拟线路桥不能绑定桥接口,如图4-12所示。从绑定虚拟线路桥的一个物理接口进入的流量只能被转发到该虚拟线路桥的另一个接口。其他接口流量不能被转发到虚拟线路桥中。内网用户可以通过虚拟线路桥直接访问内网服务器。图4-12虚拟线路桥接4)聚合接口场景聚合接口可以将防火墙的多个物理接口进行汇聚绑定,逻辑上变为一个接口,为防火墙同其他设备之间提供冗余和高效的连接方式,同时能够扩展链路带宽。3.旁路模式接口旁路模式主要用于实现监控功能,完全不需要改变用户的网络环境,通过把设备的监听口连接在交换机的镜像口上实现对流量的检测,检测完成后所有镜像流量都会被丢弃,如图4-13所示。这种模式对用户的网络环境完全没有影响,旁路设备故障不会对业务链路造成影响。接口旁路模式下支持安全防护、在安全策略中引用各种高级功能的安全配置文件对镜像的流量进行检测,检测到匹配安全策略的流量和攻击流量则生成日志,并进行日志统计和分析。
3.域间信任两个域之间必须创建信任关系(TrustRelationship),才可以访问对方域内的资源。而任何一个新域加入域树后,这个域会自动信任其前一层父域,同时父域也会自动信任这个新子域,并且这些信任关系具备双向传递性(Two-wayTransitive)。由于这个信任工作通过KerberosSecurityProtocol来完成,因此也被称为KerrosTrust。图6-4中Beijing.system.com和system.com相互信任,而system.com又与Shanghai.system.com相互信任。Beijing.system.com和Shanghai.system.com也会自动建立起双向信任关系,称为隐形的信任关系(ImplictiTrust)。因此只要拥有适当权限,这个新域的用户便可访问其他域内的资源,同理其他域内的用户也可以访问这个新域内的资源。
4)病毒这里的病毒是狭义上的恶意代码类型,单指那种既具有自我复制能力,又必须寄生在其他应用程序中的恶意代码。它和后门、逻辑炸弹的最大不同在于自我复制能力,通常情况下,后门、逻辑炸弹不会感染其他实用程序,而病毒会自动将自身添加到其他应用程序中。5)蠕虫从病毒的广义定义来说,蠕虫也是一种病毒,但它和狭义病毒的最大不同在于自我复制过程,病毒的自我复制过程需要人工干预,无论是运行感染病毒的实用程序,还是打开包含宏病毒的邮件,都不是由病毒程序完成的。蠕虫能够完成下述步骤:(1)查找远程系统:能够通过检索已被攻陷系统的网络邻居列表或其他远程系统地址列表找出下一个攻击对象。(2)建立连接:能够通过端口扫描等操作过程自动和被攻击对象建立连接,如Telnet连接等。(3)实施攻击:能够自动将自身通过已经建立的连接复制到被攻击的远程系统,并运行。6)ZombieZombie(俗称僵尸)是一种秘密接管其他连接在网络上的系统,并以此系统为平台发起对某个特定系统的攻击功能的恶意代码。其主要用于定义恶意代码的功能,并没有涉及该恶意代码的结构和自我复制过程。
7.2安全准入7.2.1安全准入概述企业通过部署安全准入控制,主要解决传统网络的如下问题:●网络被随意接入,无法定位身份:企业网络可以被外部设备随意接入,外部病毒极易入侵,对企业网络安全造成巨大威胁。●非法外联不可控:终端连接互联网的方式众多,私接无线网卡、无线WiFi、4G手机代理等方式均可以绕过内网的监控直接连接外网,向外部敞开大门。●终端安全性无法保障:企业人员多,终端数量多,无法保障每台终端是否安装了补丁、防病毒软件等。●移动U盘随意使用,导致数据泄密:企业对移动存储介质无法管控,造成U盘泄密事件时常发生,无法跟踪管理。
随着互联网的普及和电子商务技术的飞速发展,越来越多的员工、客户和合作伙伴希望能够随时随地接入公司的内部网络,访问公司的内部资源。很多人通过将终端的3389端口映射出去或在终端上安装TeamViewer等软件接入,但接入用户的身份可能不合法,远端接入主机可能不够安全,这些都为公司内部网络带来了安全隐患。针对这一问题,可使用虚拟专用网络(VirtualPrivateNetwork,VPN)技术来解决。VPN通过在公用网络上建立专用网络进行加密通信,在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目的地址的转换来实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。
8.3VPN技术8.3.1GREGRE是一种隧道协议,从技术上来看也是一种VPN,因为其实现相对比较简单,本章通过GRE实验来简单理解VPN。路由封装(GRE)最早是由Cisco提出的,目前已经成为一种标准,被定义在RFC1701、RFC1702及RFC2784中。简单来说,GRE用来从一个网络向另一个网络传输数据包。GRE并不是一个安全的隧道方式,但我们可以使用某种加密协议对GRE进行加密,如GRE和IPSec协议共同使用。GRE的工作原理如图8-3所示,在原始数据包前封装GRE包头,再封装公网IP,形成最终的数据包从隧道起点发出去。对端即隧道终点,也需要配置GRE。
ESP通常使用DES、3DES、AES等加密算法对要保密的用户数据进行加密,然后封装到一个新的IP包头中。使用MD5、SHA实现数据完整性验证。加密是ESP的基本功能,而身份认证、数据完整性、防止重放攻击都是可选的。ESP有两种模式:隧道模式和传输模式。隧道模式将发送的整个数据报文作为一个数据整体来处理,在整段数据前加上新的IP进行传输,不修改原报文。对于传输模式而言,需要拆解报文,对原报文的数据部分进行处理,加上ESP头部后,再装上原报文的IP部分。
3.工作模式IPSecVPN有两种工作模式,分别是隧道模式和传输模式。(1)隧道模式隧道模式保护所有IP数据并封装新的IP头部,不使用原始IP头部进行路由。在IPSec头部前加入新的IP头部,源IP地址和目的IP地址为IPSecpeer地址,并允许RFC1918(私有地址)规定的地址参与VPN穿越互联网。(2)传输模式传输模式保护原始IP头部后面的数据,在原始IP头部和payload间插入IPSec头部(ESP或AH)。通常,传输模式应用于两台主机之间的通信,或者一台主机和一个安全网关之间的通信。在隧道模式和传输模式下的数据封装形式如图8-16所示,图中data为原IP报文。
3.SSLVPNSSLVPN为远程访问解决方案而设计,不提供站点到站点的连接,主要提供基于Web的应用程序的安全访问,用户通常不需要在桌面上安装任何特殊的客户端软件。SSL协议位于传输层上,用于保障在Internet上基于Web的通信安全,这使得SSLVPN可以穿透NAT设备和防火墙运行。用户只需要使用集成了SSL协议的Web浏览器就可以接入VPN,实现随时随地地访问企业内部网络,且无须任何配置。与IPSecVPN相比,SSLVPN技术具有组网灵活性强、管理维护成本低、用户操作简便等优点,更加符合越来越多移动式、分布式办公的需求。SSLVPN的典型组网架构如图8-24所示。
本篇摘要本篇旨在帮助读者理解以下概念:1.网站和网站群架构●网站架构演化历史,详细了解网站的架构。●HTTP协议,包括HTTP报文、请求方法及状态码等。●网站架构的核心组成,包括操作系统、数据库、中间件及Web应用程序的内容。2.网站群面临的安全威胁●安全威胁,包括数据窃取、挂马、暗链、DDoS、钓鱼等。●攻击流程,包括信息收集、漏洞扫描、漏洞利用、权限提升等内容。●其他漏洞利用手段,包括SQL注入漏洞、上传及解析漏洞、框架漏洞、逻辑篡改漏洞等。3.网站系统的安全建设●Web代码的安全建设,包括安全开发生命周期、代码审计。●Web业务的安全建设,包括各类业务逻辑漏洞。●WebIT架构安全建设,包括WAF、网页防篡改、抗DDOS、云监测、云防护、数据库审计。4.安全事件应急响应●应急响应介绍,包括应急响应分类、分级。●信息安全事件的处理流程。●信息安全事件的上报流程。●应急响应部署与策略,包括应急工作目标及建立应急项目小组。●应急响应具体实施,包括准备阶段、检测阶段、抑制阶段、根除阶段、恢复阶段、跟踪阶段、总结。●Web应急响应关键技术,包括Windows应急响应、Linux应急响应。
11.3HTTP协议HTTP(超文本传输协议)是一个属于应用层的面向对象的协议,其具有简捷、快速的特点适用于分布式超媒体信息系统。它于1990年被提出,经过多年的使用与发展,不断地得到完善和扩展。目前在WWW中使用的是HTTP/1.1。HTTP协议的主要特点如表11-1所示。表11-1HTTP协议的主要特点HTTP是一个基于请求与响应模式的、无状态的、应用层的协议,常基于TCP的连接方式,HTTP/1.1版本中给出一种持续连接的机制,绝大多数Web开发都是构建在HTTP协议之上的Web应用。
●多种DBMS的密码生成技术:提供口令爆破库,实现快速的弱口令检测。Web应用程序漏洞利用已经成为目前黑客渗透攻击最主流的攻击手段,尤其是目前网络环境中针对该种类型的扫描工具相当丰富,比较出名的工具像商业版的AcunetixWebVulnerabilityScanner、IBM公司的AppScan等,其他免费或开源的Web应用程序漏洞扫描工具更是数不胜数,而这些工具都可以通过傻瓜式的操作实现对目标Web应用程序的安全性扫描并给出扫描报告。除此之外还有专门硬件级的漏洞扫描设备,可以通过IP地址段批量反查域名。内网穿透扫描可进行主机漏洞扫描、Web漏洞扫描、弱密码扫描等,可以广泛用于扫描数据库、文件系统、邮件系统、Web服务器等平台。通过部署漏洞扫描系统,能够降低与缓解主机中漏洞造成的威胁与损失,快速掌握主机中存在的脆弱点。
1.XSS简介跨站脚本攻击是客户端脚本安全中的头号大敌,XSS在OWASPTOP10榜单中多次位列榜首,可见该漏洞的重要性。跨站脚本的英文全称为CrossSiteScript,正常缩写是CSS,但为了和html样式的CSS区别,命名为XSS。XSS攻击是一种针对Web前端的攻击,它的代码大部分由JavaScript组成,也就是说JavaScript能完成的事情,XSS攻击都能做到,如窃取Cookie、网站钓鱼、蠕虫等。到底什么是XSS?
13.3.3抗DDoSDDoS(分布式拒绝服务)通常是指黑客通过控制大量互联网上的机器(通常称为僵尸机器),在瞬间向一个攻击目标发动潮水般的攻击。大量的攻击报文,导致被攻击系统的链路阻塞、应用服务器或网络防火墙等网络基础设施资源耗尽,无法为用户提供正常业务访问。如图13-34所示,黑客借助多台计算机或一个僵尸网络,向目标主机发起DDoS攻击,比以前更大规模地进攻受害者,从而成倍地提高攻击威力和效果;通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的,使系统无法响应正常用户的业务请求;通过向服务器提交大量请求,使服务器超负荷。
14.5.4根除阶段根除阶段是指在抑制阶段的基础上,根据事件产生的根本原因,给出清除危害的解决方案的阶段。可以从以下几个方面入手:系统基本信息、网络排查、进程排查、注册表排查、计划任务排查、服务排查、关键目录排查、用户组排查、事件日志排查、Webshell排查、中间件日志排查、安全设备日志排查等。根除阶段的实施有一定风险,在于系统升级或打补丁时可能造成系统故障,所以要做好备份工作。如图14-2所示为根除阶段的流程图。图14-2根除阶段的流程图在信息安全事件被抑制之后,进一步分析信息安全事件,找出事件根源并将其彻底清除。对于单机事件,根据各种操作系统平台的具体检查和根除程序进行操作;针对大规模爆发的带有蠕虫性质的恶意程序,要根除各个主机上的恶意代码,则是一项艰巨的任务。确定根除方案,协助用户检查分析所有受影响的系统是否被入侵,根据所收集的信息,确定根除方案。应急根除分为物理根除、单机根除和网络根除3个层次。为了保证彻底从受保护网络系统中清除安全威胁,针对不同类型的安全事件,综合采取不同层次的根除措施。1)物理根除(1)统一采用严格的物理安全措施:例
第3篇数据中心安全本篇摘要本篇旨在帮助读者理解以下概念:1.数据中心架构●数据中心概念,什么是数据中心、数据中心发展历程;●数据中心组成,包括物理环境、存储、网络、业务、数据。2.数据中心面临的威胁●可用性威胁,包括自然灾害、断电、网络安全、病毒、误操作等;●机密性威胁,包括窃听、社会工程学、入侵、身份冒用等;●完整性威胁,包括误操作、入侵等。3.数据中心规划与建设●数据中心规划,包括需求分析、设计原则、网络架构规划、安全域划分;●服务器虚拟化,包括虚拟化介绍、VMware虚拟化、虚拟化安全;●数据中心高可用性建设,包括接入层面的LACP、路由层面的VRRP、容灾备份等。4.数据中心安全防护与运维●安全防御体系概述,包括边界防御体系、纵深防御体系;●安全管理与运维,包括安全管理、IT运维管理、安全运维;●数据中心常用的安全产品,包括IPS、IDS、漏洞扫描、堡垒机、数据防火墙、DLP防泄密。5.数据中心新技术●SDN技术;●VXLAN技术。
5.应用虚拟化应用虚拟化是将应用程序和操作系统解耦合,为应用程序提供了一个虚拟的运行环境。在这个环境中,不仅包括应用程序的可执行文件,还包括它所需要的运行环境。应用虚拟化是把应用对底层的系统和硬件的依赖抽象出来,应用虚拟化技术原理是基于应用/服务器计算架构,采用类似虚拟终端的技术,把应用程序的人机交互逻辑与计算逻辑隔离开来。在用户访问一个服务器虚拟化后的应用时,用户计算机只需要把人机交互逻辑传送到服务器端,服务器端便可为用户开设独立的会话空间,应用程序的计算逻辑在这个会话空间中运行,把变化后的人机交互逻辑传送给客户端。
18.1安全防御体系概述18.1.1边界防御体系传统的边界防御体系,主要进行边界隔离防护,从最开始的防火墙、IPS到UTM、下一代防火墙等产品,边界防御体系就是将攻击阻截在外部,在网络边界上解决安全问题,部署比较简单;但弱点也非常明显,即黑客一旦渗透进内部,便可长驱直入。18.1.2纵深防御体系纵深防御体系采用一个多层级、纵深的安全措施来保障信息系统的安全。因为信息系统的安全不是仅仅依靠一两种技术或简单的安全防御设施就能实现的,必须在多个层次、不同的技术框架区域中建立保障机制,才能最大限度地降低风险,应对攻击并保护信息系统的安全。这好比在城堡外围建设了几层防御,城堡又分为外城和内城,内部重要设施还配备专职守卫,攻击者必须一层层地攻击进来才能接触到最核心的数据。
性目标的可能性,持续改进的重点在于寻求改进的机会,而不是假设现有的管理活动足够好或尽可能好。安全是动态的,无常的,持续不断的发现问题并改进安全管理体系是保障持续安全的重要手段,这种方式与通用的PDCA(plan-do-check-act)模型一般无二。该模型也称为戴明环,由美国质量管理专家戴明提出,在该模型中,按照P-D-C-A的顺序依次进行,这样运行一次可以看作管理上的一个完整周期,每运行一次,管理体系就优化升级一次,进入下一个更完善的周期,通过不断循环获得持续改进,如图18-1所示。