上一篇:网络安全基础面试题①
防火墙
防火墙的应用场景
防火墙:部署在网络出口处/服务器区(数据中心)/广域网接入,用于防止外界黑客攻击/保护内部网络安全性的安全硬件。
传统防火墙和下一代防护墙的区别
传统防火墙的功能有包过滤、状态检测、应用网关;工作模式有路由模式、透明模式、混合模式三种
下一代防火墙是基于传统防火墙基础上增加了一些功能:增强的应用识别和控制、web攻击防护、信息泄密防护、恶意代码防护、入侵检测等;工作模式有路由模式、透明/网桥模式、混合模式以及旁路模式
防火墙的功能,以及区别
包过滤防火墙
是最基本的防火墙类型,它基于预设的规则检查经过网络的数据包头部信息(如IP地址、端口号等)。如果数据包符合规则,就允许通过;否则,就拒绝或丢弃。这种防火墙工作在较低的网络层,处理速度快,但只能进行较为简单的安全控制。
状态检测防火墙
在包过滤的基础上增加了对数据包状态信息的跟踪。它不仅检查数据包头部信息,还维护一个状态表来跟踪连接的状态(如TCP序列号、确认号等)。这允许防火墙更准确地判断数据包是否属于合法的会话,从而提高安全性。尽管这种防火墙性能略低于纯包过滤,但它能更有效地防止伪装攻击。
应用网关防火墙
也称代理服务器,工作在应用层,完全接管了客户端和服务器之间的通信。它作为中间人,对通信内容进行深度检查和控制。应用网关能够理解和处理应用层协议(如HTTP、SMTP等),从而提供更精细的安全策略。然而,由于需要处理所有应用层数据,这种防火墙可能会对网络性能产生较大影响,并且配置和维护也相对复杂。
区别
功能 包过滤 状态检测 应用网关 工作层次 网络层和传输层 网络层和传输层(增加状态跟踪) 应用层 过滤依据 数据包头部信息(如IP地址、端口号) 数据包头部信息 + 状态信息 应用层协议内容 安全性 中等 高 最高 性能影响 较小 适中 较大(可能成为瓶颈) 灵活性 较高(可设置复杂规则) 较高(支持状态跟踪) 较低(受限于应用层协议) 应用场景 对性能要求较高、安全需求适中的场景 需要较高安全性的场景 需要深度应用层控制和用户认证的场景
防火墙的工作模式,以及区别
路由模式
路由模式下,防火墙作为路由器进行IP包过滤和转换。防火墙的接口配置有IP地址,并位于内部网络与外部网络之间,重新规划原有的网络拓扑。此时,防火墙相当于一台路由器,能够实现ACL包过滤、ASPF动态过滤、NAT转换等功能。透明/网桥模式
透明模式下,防火墙像网桥一样工作,对网络拓扑无影响。所有接口都不配置IP地址,工作在数据链路层,对用户透明。防火墙根据报文的MAC地址来转发数据,同时进行相关的过滤检查。混合模式
混合模式结合了路由模式和透明模式的特点,部分接口配置IP地址(工作在路由模式),其他接口不配置IP地址(工作在透明模式)。这种模式常用于双机热备等场景。旁路模式
旁路模式下,防火墙通过连接到交换机的特定镜像端口(SPAN或Mirror Port)获取网络流量的副本。防火墙仅对流量进行监控和分析,而不影响正常流量的传输。区别总结
模式 工作层次 接口配置 对网络拓扑影响 主要功能 路由模式 网络层 配置IP地址 需要修改 ACL包过滤、NAT转换、防攻击检查等 透明/网桥模式 数据链路层 不配置IP地址 无影响 MAC地址转发、ACL规则检查等 混合模式 网络层+数据链路层 部分配置IP地址 部分影响 结合路由和透明模式的优点 旁路模式 网络层 不配置IP地址 无影响 流量监控和分析
防火墙各个区域的作用是什么?
Local区域
是防火墙自身的区域,用于处理防火墙自身产生的或接收到的流量。例如,当其他网络尝试通过ping、HTTPS、telnet等方式访问防火墙时,这些报文将由Local区域接收并处理。同样,防火墙主动发起的报文(如防火墙ping其他网络、与其他分支建立IPSEC连接等)也是从Local区域发送出去的。
Trust区域
用来定义内部用户所在的网络,这些网络被认为是受信任的。在Trust区域中,用户可以自由访问内部资源,并且防火墙会放宽对来自该区域流量的安全限制。
DMZ(Demilitarized Zone,非军事区)区域
用来定义内部服务器(如公司OA系统、ERP系统等)所在的网络。这些服务器对外部用户提供服务,但同时又需要受到一定程度的保护。DMZ区域允许外部用户访问特定的服务,同时阻止对内部网络的直接访问。
Untrust区域
不受信任的网络,通常用来定义Internet等不安全的网络。在Untrust区域中,流量被认为是潜在的危险源,防火墙会对来自该区域的流量进行严格的检查和过滤。
内网有一台DNS服务器,网络出口处部署一台防火墙,外网对内网服务器的访问,如何配置?
1.在防火墙上配置到内网服务器的路由,实现网络连通性(回程有状态表)
2.在防火墙配置ACL,允许外网主机访问内网服务器
3.在防火墙上配置静态NAT映射,映射内网服务器
内网有一台DNS服务器,网络出口处部署一台防火墙,内部主机要访问外网需要,如何配置?
1.在防火墙上配置到内网服务器的路由,实现网络连通性(回程有状态表)
2.配置ACL策略,把DNS的53端口打开,其他端口不用放开。
3.配置NAT,将服务器映射到公网区。
4.如果要保证安全,可以在下一代防火墙上配置一些安全防护策略
网站服务器区域边界的防火墙配置应包括哪些方面?
安全区域划分:明确区分外部(untrust)、中间(dmz,如放置Web服务器)、内部(trust)网络区域。
访问控制策略:设定明确的允许或拒绝规则,基于源IP、目的IP、协议和端口号等条件。
NAT与端口转发:为需要外部访问的内部服务器配置NAT和端口转发规则。
远程管理安全:限制远程管理访问的IP地址和端口,使用加密协议如HTTPS或SSH。
入侵防御与日志:启用入侵防御系统,记录并分析流量日志,以便检测和响应潜在威胁。
定期更新与维护:保持防火墙固件和配置的最新状态,定期审查和测试配置。
AV如何杀毒?
AV是防毒墙
检查通信中所带的文件是否含有特定的病毒特征,防止病毒的扩散,即防病毒网关/网关杀毒。有代理扫描、流扫描两种方式。用在互联网出口、服务器。
代理扫描
将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自身的协议栈,通过网关自身的协议栈将文件全部缓存下来后,再送入病毒检测引擎进行病毒检测。
流扫描
简单的提取文件特征与本地的病毒库进行匹配,依赖于状态检测技术以及协议解析技术。
IDS和IPS的区别和作用?
IDS入侵检测系统:阻断能力弱,只能发RST置位阻断TCP连接;
IPS入侵防御系统:通过对数据包应用层里的数据内容进行威胁特征检查,并与IPS规则库(攻击或入侵行为特征:蠕虫、木马后门、系统漏洞、网络设备漏洞、口令破解)进行比对,匹配到了则丢弃
VPN
VPN的作用以及如何部署?
作用
在公用网络(Internet)上,通过隧道技术虚拟出来的一条企业内部专线;具有安全,身份认证、加密、完整性校验、防重放、便宜等优点
设备选型
了解公司是否有自己的局域网,没有就部署,有就申请公网出口,购买两台VPN设备,分别放在总部和分部,如果需要不改变原有网络,选择旁挂模式。
技术选型
IPsecVPN和SSLVPN,IPsecVPN对于出差用户需要安装VPN软件,对于一些非专业人氏,选择SSL VPN更加方便
IPsce VPN的建立过程和原理
基本概念
五元组:包含加密算法、哈希算法、DH组、身份认证方式和ISAKMP SA生存周期。
工作模式:有两种模式,隧道模式和传输模式。
传输模式:用于主机到主机的通信,只在原有IP头部后添加IPSec头部。
隧道模式:用于私网到私网的通信,会添加新的IP头部,并封装整个数据包。
协议模式
AH(协议号51):用于数据验证,不加密数据。它通过哈希计算生成摘要。
ESP(协议号50):支持加密和数据验证。数据首先通过加密算法(如DES、3DES、AES)加密,然后ESP头部和加密数据一起进行哈希计算生成摘要。
密钥传递
通过交换公钥和私钥生成共享密钥。每一方生成一个随机数,并通过DH算法生成共享密钥
安全关联(SA)
SA是IPSec通信中的协定,决定了使用的IPSec协议(AH或ESP)、模式(传输或隧道)、验证算法、加密算法、密钥等。SA可以通过手工配置或IKE(互联网密钥交换)协议协商。
IKE协议
ISAKMP(Internet Security Association Key Management Protocol):提供协商和管理SA的框架。使用UDP端口500。
阶段1:协商IKE SA,用于保护后续的IPSec SA。包括两种模式:
阶段2:使用第一阶段协商出的IKE SA来生成IPSec SA,对数据进行加密。
主模式、野蛮模式、快速模式的区别?
主模式(一阶段):发送6条报文,在第1、2条报文中进行加密参数的协商。在第3、4条报文中交换DH值,生成密钥。第5、6条信息是加密的。进行验证身份信息(加密)。
IKE的主模式适用于两设备的公网IP固定、且要实现设备之间点对点的环境.
特点:严谨,安全
野蛮模式(一阶段):野蛮模式发送三条报文,在第1、2条发送身份信息和协商加密算法,明文传输,在第3条信息进行哈希验证。由此可知在第一条信息就发送身份ID,所以安全性低,但是发送三条报文,所以速度快。
快速模式(二阶段):交换3条信息,三条都加密,发送三条报文,使用IKE SA(第一阶段协商的安全联盟)进行加密,是安全的aun
主模式和野蛮模式还有一个区别,主模式只能用IP地址作为身份ID。野蛮模式可以手动设置ID(IP/域名(FQDN,即全域名/主机名(host name))。所以主模式不支持NAT穿越,野蛮模式支持NAT穿越。ADSL拨号用户,其获得的公网IP不是固定的,且可能存在NAT设备的情况下,采用野蛮模式做NAT穿越。
SSL VPN的建立过程和原理?
过程
1.pc和server双方建立443端口的TCP连接
2.pc发送hello包(包内含加密算法、hash、压缩方法、随机数)
3.server发送hello包(包内含确认加密、hash、压缩方法、随机数)
4.server发送证书报文
5.pc信任网关证书,保存证书
6.pc产生key,用服务器公钥对其加密,发送密钥交换报文,把key给ssl server
7.双方本地计算密码,协商完成,发送finished报文,后续开始加密传视
IPsec VPN 和SSL VPN的工作过程和两者的区别?
工作层级:IPsec VPN主要提供网络层连通性,目标地址主要是看对方的IP,哪个IP能访问,就是指哪个IP上面的所有服务都能访问;SSL VPN是应用层控制,力度会更细,直接到服务,哪些服务能访问,哪些服务不能访问。
安装客户端:IPsec VPN需要安装客户端,SSL VPN可以有客户端,也可以没有客户端。如果访问基于浏览器的web应用,只需要浏览器就可;如果对TCP或者L3VPN资源进行访问就需要安装插件或者虚拟网卡,如果是实现IP连通性,对于一些远程应用资源 才需要安装EasyConnect客户端。
支持NAT:IPsec VPN在穿越NAT的时候要支持NAT穿越,只能在ESP+隧道模式下支持NAT穿越,可以用NAT-T技术解决这个问题,为ESP增加UDP头部,防止端口不能复用。(开启源端口就可以不用固定500,只需要目的端口固定4500),
而SSL VPN不需要考虑穿越问题,因为SSL数据本身是基于TCP的443,本身就是TCP,本身支持NAT穿越。
VPN都配置了,私网访问不了如何排错
1.物理层原因,对端设备坏了;
2.不同厂商的VPN设备会存在兼容性问题;
3.公网不通,所以VPN隧道建立失败
4.没有购买VPN的许可证,或者VPN允许的隧道数已经达到许可上限
5.用户的网关设备需要开放AH,ESP协议,单臂部署模式需要放通udp的500和4500端口;
6.两端内网IP在同一个网段,定义感兴趣流量错误;
7.IKE协商不一致,一边配置主模式,一边配置野蛮模式导致IKE SA协商失败;
8.IPSEC变换集使用的算法不一致,导致IPSEC SA协商失败;
9.加密图不一致map1,map2,或者配置的加密图未绑定到接口上;
渗透测试
渗透测试是什么?过程?
定义
通过模拟黑客的技术与方法,挫败目标系统安全控制措施并发现安全隐患的一种安全测试与评估的方法。全面找出安全隐患问题,为信息安全解决方案提供有效的依据。
过程
①前期交互阶段:与客户进行交互讨论,确定渗透测试范围、目标、限制条件以及服务合同、授权函等细节
②情报收集阶段:利用各种信息来源与搜索技术方法,尝试获取更多关于目标组织网络拓扑、系统配置与安全防御措施的信息
③威胁建模阶段:在收集到充分的信息进行威胁建模与攻击策划,确定出最可行的攻击通道
④漏洞分析阶段:找出可以渗透攻击的攻击点,或针对系统与服务进行安全漏洞探测与挖掘
⑤渗透攻击阶段:进行攻击行为,获取访问控制权
⑥后渗透攻击阶段:寻找客户组织最具价值和尝试安全保护的信息和资产,拖库、提权、上传木马后门、做跳板并横向攻击、参考日志并清除日志等
⑦报告阶段:渗透测试的过程详细描述;修补与升级技术方案
等级保护
等级保护是什么?
定义
对信息和信息载体按照重要性等级,然后针对不同分级进行别保护的一种工作。按照重要性分为5个级别,第三级以上的网络运营者应当每年开展一次网络安全等级测评。
工作流程
定级备案、建设整改、等级测评、监督检查
分级保护
等级保护分为五级;根据受到破坏时被侵害的客体及对客体造成侵害的不同程度来进行级别划定,并在主管部门备案(如:银行生产网可定位3级)
上网行为
上网行为管理是什么?
用于控制内部用户自己的上网行为,一般用于互联网出口的用户认证、URL过滤、应用控制、流量管理、内容审计,其中用户认证分为本地认证和AAA认证<认证、计费、审计>
可以防止员工占用正常业务带宽,防止用户访问恶意网站,防止信息泄露。
内网有个网站服务器,外网用户网页访问不了,如何排错?
底层:边界部署防火墙一般默认禁止所有,没有ACL放通或者配置错误;
外网访问私网需要做静态NAT;路由没有或者写错。
应用层:用户做过特殊的SQL注入字符/扫描/XSS,违背了WAF的规则,把该用户IP禁用;
网站被渗透,把主页修改或者删除了
为了使网络更加安全,应该做些什么?
网络安全法:打击网络诈骗、黑客攻击等网络犯罪行为。
等级保护:根据敏感性和重要性,将信息系统分为不同的等级,实施相应的保护措施
部署安全硬件和技术
部署下一代防火墙(NGFW)、防毒墙(Anti-Virus Gateway)、入侵检测系统/入侵防御系统(IDS/IPS)、上网行为管理(URL Filtering/ Web Filtering)、虚拟专用网络(VPN)
Web安全
Web防护作用是什么?如何防护?
保护网站/web服务器不受攻击;
用web应用防火墙防护,主要功能有事前web防护以及事后防护web信息泄露;
工作原理:对HTTP请求进行异常检测、增强的输入验证、基于规则/异常的保护、状态管理
网页防篡改如何实现?
使用文件保护系统和下一代防火墙技术。
文件监控
在服务端上安装驱动级的文件监控软件,监控服务器上的程序进程对网站目录文件进行的操作,不允许的程序无法修改网站目录内的内容.
二次认证
管理员认证流程:
1. 访问网站后台http://www.xxx.com/dede/
2. AF重定向到 提交管理员邮箱地址的认证页面
3. 提交接收验证码的管理员邮箱wangboxkillman@sina.com
4. 发送带有验证码的邮件至wangboxkillman@sina.com
5. 管理员登录邮箱获取验证码
6. 管理员提交验证码通过认证
7. 通过验证后自动跳转到后台页面
黑客认证流程:
第3步时,黑客无法提交正确的管理员邮箱 则无法正常登录网站后台,此过程除非黑客通过社工手段获取管理员邮箱地址,并且破解管理员邮箱后才可破解后台登录。
Cookie的作用?可能遇到的危害?如何防范?
Cookie的作用:跟踪用户的登录状态;存储用户的偏好设置;记录用户行为
可能的危害:未加密的Cookie可能暴露用户的个人信息和浏览习惯;攻击者可能利用用户的Cookie来伪造请求;利用恶意脚本可以窃取存储在Cookie中的敏感信息。
防范措施:减少Cookie的有效期,限制攻击者利用过期Cookie进行攻击;限制Cookie仅在指定的域名下发送,防止跨站点请求;使用
Secure和HttpOnly标志加密Cookie,防止其在未加密的连接中被泄露,并防止脚本访问。
SQL注入漏洞的原理?分类和防范?
原理
未对用户提交的参数数据进行校验或有效的过滤,直接进行SQL语句的拼接,改变了原有SQL语句的语义,传进数据库解析引擎中执行;一切用户可控参数的地方都可能存在,如:URL路径、GET/POST请求参数 、HTTP请求头;
分类
按数据类型分类:数字型/字符型注入 select * from table where id = 1/’test’
按返回结果分类:显错注入,返回错误信息来判断结果;
盲注:基于时间的盲注,查看时间延迟语句是否执行,页面返回时间增加了
基于布尔的盲注,返回页面来判断条件的真假(order by exists)
其他分类:POST注入、Cookie注入、搜索注入、联合查询型注入.
防范
数据库信息加密;使用安全参数;
用户进行分级管理,严格控制用户的权限;
通过专业的扫描工具,可以及时的扫描到系统存在的相应漏洞;
禁止将变量直接写入到SQL语句,必须通过设置相应的参数来传递相关的变量;
在具体检查输入或提交的变量时,对于单引号、双引号、冒号等字符进行转换或者过滤。
HTTP的工作过程?
工作过程
先URL地址解析http://www.baidu.com:80/index.html?name=tom&age=1
可以解析出来协议类型,主机名,端口号,对象路径等,在这一步可以将主机名进行DNS域名解析,等到主机的IP地址,封装HTTP数据包, 客户端发起TCP3次握手,客户端发送HTTP请求,服务器端响应,服务器端收到请求之后,发给客户端请求的消息,将网站返回的网页展示给用户,关闭连接。
无连接
因为HTTP协议是无连接的,所以完成一次响应以后就需要断开连接,而且他是无状态的,对事务处理没又记忆能力,如果后续需要处理前面的信息就得进行重传。(可以使用Cookie和Session解决这个问题)
报文内容
HTTP请求Request、响应Response
请求报文里面有请求行(请求方法,具体资源,HTTP类型)、请求头(域名)、User-Agent/客服端信息、Cookie 保持会话、由服务器分配(唯一);空白行,代表请求头结束 后面就是请求正文。
请求方法
get 方法:发送一个请求来取得服务器上的某一资源。
post 方法:向 url 指定的资源提交数据或附加新的数据。
put 方法:put 方法跟 post 方法很像,也是向服务器提交数据,但是 put 方法指向了资源在服务器上的位置,而 post 方法没有。
head 方法:只请求页面的首部。
HTTP状态码
1xx:表示请求已被成功接收,继续处理。
2xx:请求被成功提交,200客服端请求成功
3xx:客户端被重定向到其他资源,302重定向
4xx:客服端错误状态码,格式错误或者不存在资源。403服务器收到请求,但是拒绝提供服务、401请求未经授权、400客服端语法错误、404资源不存在
5xx:服务器内部错误,500服务器内部错误、服务器当前不能处理
HTTP状态管理
Session:存储在服务器,http会话状态保存在服务器端的技术,使用session维持会话,每个session分配一个session-id,借助cookie来传递session-id。
Cookie:在服务端产生,存储在客户端,一种在客户端保持HTTP状态信息的技术。 由http响应报文中set-cookie字段发给客户端,客户端通过http请求包中cookie字段回送给服务器一个WEB站点可以给一个WEB浏览器发送多个Cookie,一个WEB浏览 器也可以存储多个WEB站点提供的Cookie。识别属于哪个session,身份权限的依据/凭证。
SQL注入过程是什么?
发现注入点:攻击者识别输入字段或参数(如登录表单、搜索框)可能未经过滤。
构造恶意输入:攻击者在输入字段中注入恶意SQL代码(例如
' OR '1'='1),尝试改变原始查询的逻辑。执行注入:应用程序将恶意代码与原始SQL查询一起发送到数据库服务器执行。
获取结果:数据库执行注入的SQL代码并返回结果,攻击者可能会获取敏感信息、修改数据或执行其他恶意操作。
利用漏洞:根据获得的结果进一步操控数据库,如获取用户数据、修改权限或删除记录。
常见的web漏洞,原理及其防范是什么?
上传漏洞
攻击者上传恶意文件(如脚本),在服务器上执行不安全的操作。
防范:验证上传文件类型和内容;存储上传文件在隔离目录中,限制执行权限;使用文件名白名单或正则表达式验证文件名。解析漏洞
攻击者利用解析过程中存在的漏洞(如路径穿越),访问未授权的文件或目录。
防范:对输入路径进行严格验证和规范化处理;避免在文件路径中使用用户输入;实施最小权限原则,只授予必要的文件访问权限。SQL注入漏洞
SQL注入的原理是利用网站动态生成的SQL查询,通过在输入字段中插入恶意SQL代码,改变查询逻辑并获取或操控数据库中的数据。
防范:使用参数化查询或预处理语句;对用户输入进行过滤和转义;实施最小权限原则,只授予必要的数据库权限。命令执行漏洞
攻击者通过注入恶意命令,在服务器上执行不安全的操作。
防范:避免在系统命令中直接使用用户输入;使用安全的库和API来处理系统命令;对用户输入进行严格验证和过滤。文件包含漏洞
攻击者利用文件包含功能,访问或执行服务器上的敏感文件。
防范:避免在包含路径中使用用户输入;使用白名单来限制可包含的文件路径;实施访问控制,限制敏感文件的访问权限。XSS(跨站脚本)漏洞
攻击者将恶意脚本注入到网页中,窃取用户数据或劫持会话。
防范:对所有用户输入进行转义和编码;使用内容安全策略(CSP)来限制脚本源;实施输入验证和输出过滤跨站请求伪造(CSRF)
攻击者诱导用户执行不安全的操作,例如提交伪造的表单。
防范:使用CSRF令牌来验证请求的合法性;确保敏感操作需要用户身份验证。