企业官网建设流程全解析

网站demo怎么做,二级域名建站,网站标题分隔符,获取微信公众号首图一、网络安全基础 OSI参考模型与TCP/IP开放模型对比 应用层 应用层 TehnetHTTPSMTPFTP DNSTFTPSSH 表示层 会话层 传输层 传输层 TCPUDP网络层 网络层 IP协议簇#xff08;RIP、OSPF、SNMP、ICMP#xff09; 数据链路层 物理和数据链路层 以太网 令牌…一、网络安全基础OSI参考模型与TCP/IP开放模型对比应用层应用层TehnetHTTPSMTPFTPDNSTFTPSSH表示层会话层传输层传输层TCPUDP网络层网络层IP协议簇RIP、OSPF、SNMP、ICMP数据链路层物理和数据链路层以太网 令牌环帧中继 ATU物理层OSI/RM参考模型TCP/IP模型网际协议数据链路层协议ARP协议地址解析协议APRAddress Resolution Protocal实现主机IP地址与MAC地址之间的映射。RARP协议用于MAC地址向IP地址转换的与ARP的地址转换方向正好相反。IP协议IP协议是网络层的协议它可以实现跨越不同网路的主机间通信。IP地址32为二进制数转化成十进制时8位一组小数点隔开。IP地址分类其他IP地址私有IPA类10.0.0.0-10.255.255.255B类172.16.0.0-172.31.255.255C类192.168.0.0-192.168.255.255网络地址主机号全为0的地址用来表示一个网络的本网络地址直接广播地址主机号全为1的地址用来表示特定网络的所有主机受限广播地址如果一个IP地址的32位全为1即255.255.255.255则这个地址表示当前网络的广播地址不过这种数据包的广播只限于本地网络中。自环地址IP地址为127.0.0.1数据包将不会离开此设备而是仍返回到软件中。IP数据包格式在网络层中IP数据包由头部和数据两部分组成头部包括一个20字节B的定长部分和一个可选的变长选项部分最大60B15行一行32bitICMP协议Internet Control Message Protocol(ICMPInternet 控制报文协议)在TCP/IP网路中发送出错和控制消息允许主机或网络设备报告差错或异常情况从而提供了一个错误侦测和回馈机制。主要功能包括差错报告和查询检错和反馈可以扫描目标主机的IP地址不能扫描操作系统版本、漏洞和弱口令传输层协议TCP协议传输控制协议Transmission Control Protocol提供了在复杂环境下的一种可靠的端到端传输功能。在连接前需要现进行三次握手TCP数据包格式TCP的三次握手之所有采用三次握手而不是两次握手。是因为防止失效网络阻塞……的服务报文突然有传输到服务器四次挥手服务端发送完数据后发送FIN包FIN包之后客户端发送ACK包并进入超时等待阶段防止服务端未收到ACK包从而重发FIN包当服务器端收到ACK后立马关闭连接UDP协议无连接的传输协议性能损耗小稳定性弱速度快适用于对实时性要求高聊天、隧道网络VPN、VXLAN。应用层协议HTTP协议Hypertext Transfer Protocol超文本传输协议在浏览器和WEB服务器之间进行数据传输基于TCP协议80端口对外提供服务。SMTP和POP3SMTPSimple Mail Transfer Protocol简单邮件传输协议电子邮件系统的重要协议机遇与TCP协议25端口提供网络服务。POP3Post Office Protocol 3邮局协议的第3个版本定义了计算机连接到邮局服务器并下载电子邮局的规范。应用最广泛的邮件访问协议。DNSDomain Name System域名系统将Internet中的域名转换为相应IP。二、网络安全威胁技术1.扫描技术互联网技术收集IP地址扫描端口扫描TCP全扫描利用TCP三次握手原理探测网络端口是否处于打开状态TCP SYN扫描利用三次握手的前两次判断TCP FIN扫描如果未开放返回一个RST标志位为1的数据包UDP的ICMP端口不可扫描向目标主机未打开UDP端口发送数据包时会返回一个ICMP_PORT_UNREACHABLE错误ICMP扫描利用ICMP协议查错和反馈向目标主机发送一个协议项目存在错误的IP数据包根据反馈的ICMP错误信息判断目标主机使用的网络服务以及使用的网络端口乱序扫描和慢速扫描通过设置扫描软件打乱扫描顺序、降低扫描速度从而将端口的数据包淹没在大量正常的网络数据包中从而隐藏端口的扫描行为。Nmap、SuperSan、Netcat、X-Port、PortScanner、Netscan tools、Winscan漏洞扫描网络漏洞扫描、主机漏洞扫描网络漏洞扫描发送一个漏洞探测数据包漏洞脚本库主句漏洞扫描通过漏洞特征扫描技术和补丁安装信息的检测来进行操作系统和应用软件系统的漏洞检测弱口令扫描基于字典、基于穷举基于字典字典收集了常用的口令基于穷举emm……爆破综合漏洞扫描集合体系统管理员的好帮手扫描的防范技术~~~2.网络嗅探 威胁极大的非主动类信息获取技术原理 通过Sniffer类工具监视网络的状态、数据流动的情况以及网络上传输的信息防范 数据加密3.网络协议欺骗IP地址欺骗攻击者冒充第三方的IP地址给第三方发送伪造IP地址的数据包ARP欺骗ARP欺骗原理恶意主机伪装并发送欺骗性的ARP数据包致使其他主机收到欺骗性的ARP数据包后更新其缓存表从而建立错误的IP和MAC地址的对应关系实施中间人欺骗、伪装成网关欺骗防范可以通过IDS、Antiarp或ARP防火墙等查找ARP欺骗的设备或工具检测网络内的ARP欺骗攻击然后定位ARP病毒主机再通过杀毒软件或手工分析清除ARP病毒。此外还可以通过在局域网中进行MAC地址与IP地址的双向静态绑定使ARP欺骗失效。TCP欺骗在伪造IP的情况下将伪造的数据加载到基于TCP协议传输的应用程序数据包中发送到目标主机以实现目标主机与第三方主机传输的数据泄露或者造成数据被破坏。非盲攻击攻击者和目标主机在同一网络时现通过网路嗅探攻击获得目标主机的数据包从而预测出TCP初始序列号的攻击方法。盲攻击不在同一网络的请况下由于两者不在同一个网络所以攻击者无法获取目标主机的初始序列号只能预测或探测目标主机的初始序列号。DNS欺骗基于DNS服务器的欺骗攻击者现向DNS服务器发送一个域名对映IP的地址的查询请求DNS服务器在没有此域名的条件下向更高级别的DNS服务器上传查询请求攻击者伪造一个更高级的DNS服务器返回的DNS应答包给被欺骗的DNS服务器当其他用户查询此域名时就返回一个虚假的IP地址给用户实现欺骗攻击。基于用户计算机的DNS欺骗~~~4.诱骗式攻击网站挂马~~~点击链接触发恶意脚本自动下载木马框架挂马、.js脚本挂马、body挂马、伪装欺骗挂马防范查找web服务器漏洞严格限制web服务器网站文件夹的访问权限部署web防火墙、入侵防御系统、网站防篡改设备定期对网页进行主动安全检测做好网站的定期备份诱骗下载将木马病毒与正常文件捆绑主要方式多媒体类文件下载网络游戏软件和插件下载热门应用软件下载电子书爱好者P2P种子文件文件捆绑技术多文件捆绑、资源融合捆绑、漏洞利用捆绑防范正常操作钓鱼网站和网站挂马有点类似不过多了个钓鱼网站防范详细检查网站相关域名信息针对大型电子商务或网银站点验证数字证书ICP备案信息安全防护工具社会工程~~~一门艺术5.软件漏洞攻击利用技术分类操作系统服务程序漏洞文件处理软件漏洞浏览器软件漏洞其他软件漏洞利用技术直接网络攻击诱骗式网络攻击防范最新版本正规电子邮件杀毒防御软件6.拒绝服务攻击概念攻击者发送大量数据包消耗目标计算机的带宽和计算机资源使得计算机没有剩余带宽和资源给正常用户的服务请求提供响应DOS攻击实现方式利用目标主机自身存在的拒绝服务型漏洞进行攻击耗尽主机CPU和内存等计算机资源的攻击耗尽目标主机的网络带宽攻击分类IP层协议的攻击TCP协议的攻击UDP协议的攻击应用层协议的攻击DDOS攻击原理分布式拒绝服务攻击多对一DOS/DDOS攻击的防御措施静态和动态的DDOS过滤器反欺骗技术异常识别协议分析速率限制7.Web脚本攻击注入攻击原理web程序对用户输入请求中包含的数据检查过滤不严使web程序将用户的异常输入字符当作正常代码执行从而使用户在未授权的情况下非法获取web服务器的信息SQL注入攻击老熟了原理是攻击者通过构造一小段SQL代码片段作为请求参数提交给Web应用程序从而使这段SQL代码得到后台数据库程序的解释执行使攻击者实现查询操作后台数据库的攻击意图。步骤判断网站是否可以进行SQL注入寻找注入点查询后台数据库并获取或猜解用户名和密码寻找Web管理后台入口通过用户名密码登录成功入侵防范使用预编译语句使用存储过程来验证用户的输入在数据类型、长度、格式和范围等方面对用户输入进行过滤使用数据库自带的安全参数最小权限原则跨站脚本攻击XSS原理利用网站程序对web页面中输入的数据过滤不严或未过滤的漏洞在web网页中插入恶意代码当用户浏览此页面时浏览器自动加载恶意代码~~~分类反射性XSS恶意链接存储型特定页面DOM-based XSS基于文档对象模型DOM的跨站脚本攻击通过JS脚本动态修改DOM结构进而导致XSS漏洞防范给关键字cookie植入Httponly标识输入、输出检查跨站点请求伪造CSRF原理让用户访问攻击者自己构造的网页执行网页中的恶意脚本伪造用户自己的请求对用户自己有登录权限的网站实施攻击8.远程控制木马具有远程控制、信息偷取、隐蔽传输的恶意程序特点伪装性、隐蔽性、窃密性、破化性演变一代二十世纪八十年代在UNIX环境中通过命令行界面实现远程控制二代九十年代具备伪装和远程控制的功能具有非常好的图形控制界面可以进行密码窃取、远程控制三代通过端口反弹技术实现内网到外网的链接可以传统硬件防火墙四代线程插入技术木马运行时没有进程提高隐藏性五代rootkit技术提高隐藏性连接方式最初客户端主动连接服务端程序反弹端口技术隐藏技术线程插入技术DLL动态劫持技术rootkit技术内核隐藏技术webshell有点像之前学的小马防火墙概念在可信网络与不可信网络之间的一堵墙通过设置一系列规则对两个网络之间的通信进行访问控制检测网络交换的信息防止对重要内部信息资源的非法存取和访问以达到保护可信网络的目的。功能对内外网之间的数据进行过滤对网络传输和访问的书记进行记录和审计防范内外网之间的异常网络攻击通过配置NAT提高网络地址转换的功能NAT(Network Address Translator)网络地址交换缓解地址空间短缺问题分类软件防火墙功能差别安装在操作系统上安全性低于硬件防火墙性能远不如硬件防火墙企业级软件防火墙个人主机防火墙硬件防火墙硬件平台X86架构的防火墙性价比高ASIC架构的防火墙NP架构的防火墙防火墙技术包过滤技术允许符合安全规则安全策略的数据包通过主要在网络层和传输层进行过过滤拦截安全规则包括IP源地址IP目标地址协议类型TCP包、UDP包和ICMP包TCP或UDP包的目的端口、源端口ICMP消息类型TCP选项SYN、ACK、FIN、RST等TCP包的序列号、IP校验和等数据包流向in 或 out…………不能防止IP地址欺骗。安全规则有优先顺序最后一条是防火墙的默认规则优点实现简单速度快投资费用低安全策略灵活多样对用户透明具有广泛应用。缺点效率低。NAT技术网络地址翻译技术主要在网络层和传输层将单位内网使用的内部IP地址翻译成合法的公网IP地址使计算机的内部IP地址无需改动也能与外网连接。根据映射方式不同可分为静态NATStaitc NAT内部的IP地址与公有IP地址一一对应的静态映射关系用户既可以拥有自己的公有IP地址方便的与外部通信又可以不必直接与外部网络连接受到防火墙的保护。NAT池Pooled NAT需要使用时分配公网IP地址用完回收。端口地址转换PATPort Address Translation通过公网IP地址的65535个端口映射六万多台内网主机应用级网关技术代理服务器应用层概念在内网和公网之间的一台代理服务器对于内网来说它时一台服务器对于公网来说它相对于一台客户机。代理服务器会将内外网隔离。缺点用户不能直接访问网络效率低下。动态状态检测技术动态包过滤技术相对于不同的包过滤技术增加了对数据包连接状态的额外考虑。状态检测防火墙检测防火墙的动态记录在连接终止后即使断开后续连接以防止伪造流量通过可用无需为了保持大量的正常访问请求而长久的开放大量的端口。局限性对于无连接状态的UDP、ICMP等协议则无法提供动态的连接状态检查。在FTP的标准模式下由于FTP的数据连接是从外网服务器连到内网服务器的一个变化的端口防火墙需要打开整个端口范围才能允许第二个连接通过。对于连接量非常大的网络状态检测防火墙对每一个会话的记录、分析占用资源较多可能会造成网络的迟滞现象。体系结构双重宿主主机体系结构至少有两个网络接口分别连接着内部网络和外部网络阻止了内外网之间的IP通信禁止从一个网络将IP数据包发往另一个网络。一旦被入侵内网GG所以这种结构的主机应具有强大的身份认证系统组织和外部非法登录。屏蔽主机体系结构喏就长这样大概是内网中的所有主机都通过一个防火墙主机连接公网。屏蔽子网体系结构外网危险军事区—包过滤路由器—堡垒主机DMZ非军事区—内网安全区更最安全实现了网络层传输层安全包过滤和应用层安全代理服务器。添加了一层额外的保护体系——周边网络堡垒主机只接收由堡垒主机向外网的主动连接请求是最容易受到侵袭的机器如果被入侵内部网络还有内部路由器的保护。防火墙的安全策略基本的访问控制策略内网可以访问外网内网可以访问DMZ外网不能访问内网外网可以访问DMZDMZ不能访问内网DMZ可以访问内网防火墙的配置防火墙不能防范的安全威胁不能防范内网之间的恶意攻击不能防范绕过防火墙通道上的攻击不能防范病毒和内部驱动的木马不能防备针对防火墙开放端口的攻击入侵检测系统概念Intrusion Detection SystemIDS工作在计算机网络系统的关键节点上通过实时收集和分析信息来检查是否存在非安全行为进而达到防御的目的。IDS包括控制台和探测器两部分探测器采集和分析数据控制台管理和控制异常事件。入侵检测系统的功能检测并记录计算机系统或网络中存在的活动或数据检测黑客在攻击前的探测行为预先给管理员发出警报检测网络中入侵行为以及网络异常行为并提供告警和响应提供有关攻击的信息帮助管理员诊断网络中存在的安全弱点。分类根据数据采集方式的分类基于网络的入侵检测系统NIDSNetwork based IDS基于主机的入侵检测系统HIDSHost based IDS根据检测原理的分类误用检测Misuse Detection的IDS基于异常检测Anomal Detection的IDS入侵检测技术误用检测技术利用已知系统和应用软件的弱点攻击模式建立相关特征库来检测入侵专家系统模型推理状态转化分析异常检测技术根据异常行为和正常用户行为之间的差别来检测入侵统计分析神经网络其他入侵检测技术模式匹配文件完整性检验数据挖掘计算机免疫方法入侵检测体系结构入侵网络系统的最基本形式包括NIDS和HIDS但针对大型网络入侵检测体系结构包括集中式结构、分布式结构NIDS和HIDS集中式结构分布式结构入侵检测系统的不足IDS只能报警不能防范入侵防御系统IPS同时具有在应用层进行防护功能以及入侵检测功能的入侵防御系统功能拦截恶意流量实现对传输内容的深度检测和安全防护对网络流量监测的同时进行过滤部署内外网的网络边界DMZ与防火墙的边界内网核心交换机和防火墙中间内网关键服务器的外侧不足之处可能造成单点故障可能造成性能瓶颈漏报和误报的影响PKLPublic Key Infrastructure核心是解决信息网络空间中任何问题一个典型的PKI系统应该包括如下组件安全策略证书认证机构CACertificate AuthorityPKI的**核心执行机构**作用包括验证用户的身份并颁发证书确保用于证书签名的非对称密钥的安全管理证书信息资料注册机构RA证书分发系统CDS基于PKI的应用接口数字证书具有对用户身份识别的唯一性解决Internet”我是谁“的问题。基于数字证书的信任链传递关系“赵大哥信得过你我也不必多说。”数字证书的存储格式x.509标准证书的版本号证书序列号签名算法证书签发机构名证书有效期证书持有者用户名证书用户公钥信息签发者唯一标识符证书持有者唯一标识符签名值证书认证机构CACA的主要功能颁发证书、废除证书、更新证书、验证证书有效性、可用性、真实性管理密钥产生、备份、恢复CA的安全运行要求物理安全CA机房必须防火…………网络安全防毒高冗余度配置灾难备份中心密码安全国家审核认可电子认证服务管理办法信任模式不同系统之间的PKI相互传递信任单CA信任模型适用于小规模的机构不适用于拥有大量用户或不同类型用户的机构或行业CA最基本的信任模型正如其名PKI体系中只有一个CAPKI的所有终端用户都信任这个CA每个证书都起源于该CA的公钥唯一的信任锚层次信任模型适用于有严格的级别划分的大型组织机构和行业领域等级森严桥CA信任模型应用广泛具有良好的适用性支持不同类型的CA系统相互传递信任关系VPN利用网络的物理链路层和专用的安全隧道协议实现逻辑上网络安全连接。VPN的网络连接类型Client-LAN、LAN-LANClient-LANAcess VPN远程访问型VPN在VPN客户端和VPN服务端都安装VPN软件。LAN-LAN网络到网关类型的VPN在不同局域网之间建立安全的数据传输通道VPN协议的分类第二层隧道协议数据链路层隧道协议首先把各种网络层协议IP封装到数据链路层协议PPP的数据帧中再把整个PPP协议装入到隧道协议中。如PPTPL2F、L3TP主要应用于基于远程电话拨号的internet远程访问。介于二、三层之间的隧道协议MPLS VPN是一种基于MPLSMultiprotocol Label Switching多协议标记交换技术的IP-VPN。介于第三层隧道协议网络层IPSecGREIPSec协议IP Security是IETF IPSec工作组制定的一套保护IP通行的安全的协议簇应用广泛开放GREGeneric Routing Encapsulation通用路由封装协议一种将任意类型的网络层数据包封装入任意一种网络数据包的协议。传输层的SSL VPN协议SSL会话连接和应用会话工作在TCP/IP和应用层为应用层的访问连接提供认证、加密和防篡改功能。网络安全协议网络层安全协议IPSec(Internet Protocol Security)IPSec由互联网任务组IETFInternet Task Force提供的用于保障安全通信的一些列规范。IPSec是一组开放协议的总称它包括网络安全协议和密钥协商协议两部分。ESP协议基于IPSec的数据通信提供了安全加密、身份认证和数据完整性鉴别三种安全保护机制传输模式,对源IP和目标IP不进行加密隧道模式认证协议头AH为IP数据包提供了数据完整性校验、数据源身份验证密钥协商协议IKE协议负责两个IPSec对等体之间协商相关安全参数包括协商协议参数、交换公共密钥、对双方进行认证以及在交换安全参数之后对密钥的管理。IKE协议属于混合型协议由Internet安全关联和密钥管理协议ISAKMP和两种密钥交换协议OAKLEY与SKEM组成一个完整的IPSec隧道建立过程如下IPSec的一端收到另一端的IPSec数据流后将产生IKE会话IPSec两端使用IKE的主模式或者主动模式协商交换IKE SA建立安全通道IPSec两端使用IKE 快速模式协商交换IPSec SA建立IPSec安全通道之后传输的数据采用ESP或者AH协议进行封装后就可以在加密的通道上传输。SSL安全套接层传输层用来解决点掉点数据安全和传输双方身份认证的网络安全传输协议。记录协议定义了传输格式握手协议建立安全连接(完成传输格式的定义)应用层安全协议Kerberos协议主要应用于分布式网络环境中实现用户与服务器之间的安全身份认证Client向AS申请身份认证验证AS验证Client的身份后向Client发放通过身份验证的票据Client向TGS申请Server的访问权限TGS验证有AS提供的通过身份票据后向client发放可以访问Server的票据TGTclient访问应用服务器Server可选—有Server验证完Client访问Server的票据后提供访问权限SSH协议Secure Shell将所有传输的数据加密SSH加密通信可以通过五个阶段赖实现协商SSH版本协商产生会话密钥登录认证处理会话请求交互会话SHTTP协议Secure Hyper Text Transfer Protocal安全超文本传输协议。S/MIME协议Secure Mulitipurpose Internet Mail Extensions安全多用途网际邮件扩充协议。SET协议Secure Electronic Transaction协议在开放网络环境中的卡支付安全协议使用了X.509电子证书标准。芜湖~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~网络安全学习资源分享:给大家分享一份全套的网络安全学习资料给那些想学习 网络安全的小伙伴们一点帮助对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。1.成长路线图学习规划要学习一门新的技术作为新手一定要先学习成长路线图方向不对努力白费。对于从来没有接触过网络安全的同学我们帮你准备了详细的学习成长路线图学习规划。可以说是最科学最系统的学习路线大家跟着这个大的方向学习准没问题。2.网安入门到进阶视频教程很多朋友都不喜欢晦涩的文字我也为大家准备了视频教程其中一共有21个章节每个章节都是当前板块的精华浓缩。****全套教程文末领取哈3.SRC黑客文档大家最喜欢也是最关心的SRC技术文籍黑客技术也有收录SRC技术文籍黑客资料由于是敏感资源这里不能直接展示哦****全套教程文末领取哈4.护网行动资料其中关于HW护网行动也准备了对应的资料这些内容可相当于比赛的金手指5.黑客必读书单6.网络安全岗面试题合集当你自学到这里你就要开始思考找工作的事情了而工作绕不开的就是真题和面试题。所有资料共282G朋友们如果有需要全套《网络安全入门进阶学习资源包》可以扫描下方二维码或链接免费领取~**读者福利 |**CSDN大礼包《网络安全入门进阶学习资源包》免费分享**安全链接放心点击**