RZer的博客

MACsec(Media Access Control Security)是基于802.1AE和802.1X协议的局域网上的安全通信方法。它通过身份认证、数据加密、完整性校验、重播保护等功能保证以太网数据帧的安全性，防止设备处理有安全威胁的报文。

路由监控组可以监控一定数目的路由，用于快速检测网络中IP路由的转发连通状况。当网络侧IP路由的转发连通状况发生变化时，通过IPv4静态路由与路由监控组联动，使接入侧业务模块的主备链路进行切换，以此达到避免网络拥塞或流量丢失的目的。

漏洞扫描是指漏洞扫描工具基于漏洞特征库发现计算机、网络或应用程序的已知可利用漏洞的动作。漏洞扫描通常使用漏洞扫描工具进行，以识别系统中的潜在风险和攻击媒介。

零信任是一种安全模型，基于访问主体身份、网络环境、终端状态等尽可能多的信任要素对所有用户进行持续验证和动态授权。零信任与传统的安全模型存在很大不同，传统的安全模型通过“一次验证+静态授权”的方式评估实体风险，而零信任基于“持续验证+动态授权”的模式构筑企业的安全基石。

零日漏洞通常是指还没有补丁的安全漏洞，零日攻击则是指利用零日漏洞对系统或软件应用发动的网络攻击。由于零日漏洞的严重级别通常较高，所以零日攻击往往也具有很大的破坏性。目前，任何安全产品或解决方案都不能完全防御住零日攻击。但是，通过建设完善的防御体系，提升人员的防范意识，可以有效减少被零日攻击的机率，降低零日攻击造成的损失。

勒索软件即服务RaaS（Ransomware as a Service）是一种网络犯罪商用模式，犯罪组织采用软件即服务（SaaS）商业模式，附属公司付费使用勒索软件运营商开发的勒索软件工具执行勒索软件攻击。攻击者可以控制受害者的计算设备或对数据进行加密，以此要挟受害者支付一定数量的赎金重新取得控制权。随着勒索软件即服务的兴起，RaaS降低了勒索软件攻击的准入门槛，攻击者甚至不需要具备勒索软件开发技能，即可针对目标部署勒索软件。

僵尸网络（ Botnet） 是指黑客采用一种或多种传播手段，将大量主机感染僵尸程序病毒，被感染的主机通过控制协议接收黑客的指令，从而在黑客和被感染主机之间所形成的可一对多控制的网络 。僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。

间谍软件是一种恶意软件，它会在用户不知情或未经许可的情况下进入用户的计算机设备中，秘密收集个人信息并转发给第三方。间谍软件通常会通过监控用户的应用程序、浏览器、文档、摄像头或麦克风等，收集用户互联网使用情况、信用卡和银行帐户详细信息，并将其发送给广告商、数据收集公司或恶意行为者以获取利润。间谍软件是最常用的网络攻击方法之一，容易造成数据泄露和数据滥用，某些间谍软件甚至可以更改计算机设置，从而导致用户网络连接速度缓慢、应用程序冻结、无法启动或系统崩溃等。

计算机病毒是编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。因其特点与生物学上的病毒有相似之处，所以人们将这些恶意计算机程序称为“计算机病毒”，有时也简称为“病毒”。计算机病毒普遍具有感染性、寄生性、隐蔽性、触发（潜伏）性的特性，其传播速度快，攻击方式多样。病毒进入用户主机之后会对其造成不同程度的危害，轻则占用系统内存导致系统运行速度减慢，重则导致重要资料丢失、信息泄露、系统崩溃等后果，带来难以估量的损失。

高级持续性威胁（Advanced Persistent Threat，APT），又叫高级长期威胁，是一种复杂的、持续的网络攻击，包含三个要素：高级、长期、威胁。高级是指执行APT攻击需要比传统攻击更高的定制程度和复杂程度，需要花费大量时间和资源来研究确定系统内部的漏洞；长期是为了达到特定目的，过程中“放长线”，持续监控目标，对目标保有长期的访问权；威胁强调的是人为参与策划的攻击，攻击目标是高价值的组织，攻击一旦得手，往往会给攻击目标造成巨大的经济损失或政治影响，乃至于毁灭性打击。

防火墙（Firewall）是一种网络安全设备，根据预定的安全策略监视、过滤和控制传入和传出网络的流量，保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。这里的防火墙不是指建筑领域用来隔离火源的那一堵墙，也不是指Windows等操作系统里内置的Windows防火墙，更不是“翻墙”中的墙，而是指网络防火墙，可以是硬件、软件、软件即服务（SaaS）等形式。防火墙作为网络部署中安全防护的第一道防线，可灵活应用于网络边界、子网隔离等位置，具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

反病毒（Antivirus）是一种安全机制，它可以通过病毒特征检测来识别和处理病毒文件，避免由病毒文件而引起的数据破坏、权限更改和系统崩溃等情况的发生，保证了网络的安全。反病毒功能凭借庞大且不断更新的病毒特征库有效保护内网用户和服务器免受病毒文件侵害。将病毒检测设备部署在网络出口，将病毒抵御在网络之外，为网络提供坚固的保护层。

FWaaS（Firewall as a Service，防火墙即服务）是云计算与网络安全领域中的一种新兴应用模式。与传统的本地部署防火墙相比，FWaaS标志着向基于云的防火墙服务转变。通过FWaaS，用户可以在云服务提供商的平台上轻松创建、管理和使用防火墙，无需本地硬件部署和维护。用户可以通过直观的Web界面或API配置和监控防火墙，这种服务模式为组织提供了更灵活、可扩展且易于管理的网络安全解决方案，有效地应对持续变化的网络威胁和业务需求。

恶意软件又称“流氓软件”，指在未明确提示用户或未经用户许可的情况下，在用户计算机或其他终端上安装运行，进行窃取、加密、更改和删除数据以及监控用户等侵犯用户合法权益行为活动的计算机代码或软件。通过采取防范手段，提升人员的防范意识，可以有效减少被恶意软件攻击的机率，降低恶意软件攻击造成的损失。

EDR（Endpoint Detection and Response，端点检测和响应）是Gartner的安东·丘瓦金（Anton Chuvakin）创造的一个术语，用来指代一种端点安全防护解决方案。它记录端点上的行为，使用数据分析和基于上下文的信息检测来发现异常和恶意活动，并记录有关恶意活动的数据，使安全团队能够调查和响应事件。端点可以是员工终端PC或笔记本电脑、服务器、云系统、移动设备或物联网设备等。EDR解决方案通常提供威胁搜寻、检测、分析和响应功能。

端口安全是根据MAC地址对网络流量进行控制和管理的安全功能，该功能不仅将MAC地址与端口绑定，还可以限制端口学到的MAC地址的数量。它将端口学习到的动态MAC地址转换为安全MAC地址（包括安全动态MAC、安全静态MAC和Sticky MAC）后，端口只允许源MAC地址在安全MAC地址列表里的报文通过，源MAC地址不在安全MAC地址列表里的报文被认为非法的用户报文。端口安全功能可以阻止非法用户通过本端口和交换机通信，从而增强网络的安全性。

数据泄漏防护是一组技术的集合组成的解决方案，其核心是能识别出数据中的内容并为之分类。这些数据可以电子邮件、文件、数据包、应用程序或者数据存储等形式存在。不论数据状态是仅被存储中，或者正在被使用的，亦或者在网络中传输，都能被检测。DLP还应支持根据既定的策略对敏感信息的检测和使用情况提供日志、标记、加密、权限控制和阻断等操作。也有人将Data Loss Prevention描述成Data Leakage Prevention，其实Data Loss和Data Leakage这两个词是有相关性的。例如，包含敏

DHCP Snooping是DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）的一种安全特性，用于保证DHCP客户端从合法的DHCP服务器获取IP地址，并记录DHCP客户端IP地址与MAC地址等参数的对应关系。DHCP Snooping可以抵御网络中针对DHCP的各种攻击，为用户提供更安全的网络环境和更稳定的网络服务。

分布式拒绝服务（DDoS）攻击是一种常见的网络攻击形式。攻击者利用恶意程序对一个或多个目标发起攻击，企图通过大规模互联网流量耗尽攻击目标的网络资源，使目标系统无法进行网络连接、无法提供正常服务。根据攻击位置的不同，可以将DDoS攻击分为“网络层攻击”、“传输层攻击”和“应用层攻击”三种类型。攻击者经常组合使用不同的攻击类型，攻击复杂度持续演进，产生的攻击威胁也在不断增大。DDoS攻击会给攻击目标造成巨大的经济和品牌损失，同时，受攻击对象的核心业务数据也存在被窃取的风险。因此，各行各业都采取部署“DDoS攻击

DAI（Dynamic ARP Inspection）即动态ARP检测，是一种利用绑定表来防御中间人攻击的ARP安全功能。

CVE（Common Vulnerabilities and Exposures）的全称是公共漏洞和暴露，是公开披露的网络安全漏洞列表。IT人员、安全研究人员查阅CVE获取漏洞的详细信息，进而根据漏洞评分确定漏洞解决的优先级。在CVE中，每个漏洞按CVE-1999-0067、CVE-2014-10001、CVE-2014-100001这样的形式编号。CVE编号是识别漏洞的唯一标识符。CVE编号由CVE编号机构（CVE Numbering Authority，CNA）分配，CVE编号机构主要由IT供应商、

跨站请求伪造，是一种通过挟制当前用户已登录的Web应用程序从而实现非用户本意的操作的攻击方法。攻击者通过一些技术手段，挟制用户去访问用户曾经认证过的网站并进行一些操作，比如发邮件、发消息、购买商品、银行转账等。由于浏览器曾经认证过，所以被访问的网站会认为是真正的用户操作而去运行。

CPCAR是网络设备CPU防攻击的核心部分，通过对上送控制平面的不同业务的协议报文分别进行限速，来保护控制平面的安全，从而保证CPU对业务的正常处理。报文限速的方式主要分为：基于协议的限速、基于队列的调度和限速、所有报文统一限速。

云访问安全代理CASB（Cloud Access Security Broker）是一种安全解决方案，专门设计来保护企业的SaaS（Software as a Service，软件即服务）应用程序。它通过在用户和云服务提供商之间提供一个监控和控制点，来确保安全的数据传输和访问控制。CASB可以实现对SaaS应用的全面可见性，使企业能够监控和管理对这些应用的访问，从而预防数据泄露和不合规行为。例如，提供对SaaS应用的精细管控，阻止内部威胁、影子IT和高风险的数据分享行为。

本机防攻击是为了保证CPU对正常业务的处理而设计的一种CPU保护机制。当CPU接收的正常业务报文或恶意攻击报文数量较多时，本机防攻击功能确保CPU能够正常运行，从而保证业务的正常运行。本机防攻击功能包括CPU防攻击、端口防攻击、用户级限速、攻击溯源和攻击防范。

暴力破解，是一种针对于密码的破译方法，将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码，其可能共有10000种组合，因此最多尝试10000次就能找到正确的密码。而当遇到人为设置密码（非随机密码，人为设置密码有规律可循）的场景，则可以使用密码字典（例如彩虹表）查找高频密码，破解时间大大缩短。设置长而复杂的密码、在不同的地方使用不同的密码、避免使用个人信息作为密码、定期修改密码等是防御暴力破解的有效方法。

BRAS（Broadband Remote Access Server，宽带远程接入服务器）指的是宽带远程接入服务器，是一种用于管理和控制带宽接入用户的网络设备。通常被安装在互联网服务提供商（Internet Service Provider）的核心节点，允许用户通过不同的接入方式（如DSL、光纤、卫星等）连接到网络，并提供认证、授权、计费、流量控制等功能，保证用户的网络连接质量和安全性。

安全搜索是搜索引擎的一项重要功能。它可以自动识别和过滤包含色情、暴力和潜在危害性的搜索结果，保护用户免受不安全信息的侵害。互联网的飞速发展，让获取信息变得更加容易。通过搜索引擎，我们可以检索到丰富多彩的内容，但同时也会面临大量的垃圾信息污染。这些垃圾信息不仅危害未成年人的身心健康，也让很多成年人感到厌恶。为此，网络管理员可以通过防火墙设备为所有搜索请求配置安全搜索功能，强制过滤来自特定搜索引擎的搜索结果，让互联网更好地服务于我们的学习、工作和生活。

API网关是一种集成了配置发布、环境管理、接入认证、用户鉴权、访问控制等功能的API管理和服务治理的工具。使用API网关托管API，即可高效、安全、低成本的管理服务。API网关作为请求的单一入口点，将请求分配给相应的服务，然后收集结果并将其传递给请求者。而不是让客户单独请求访问每项微服务。

AI防火墙是NGFW的下一代产品，通过智能检测技术提升防火墙对高级威胁和未知威胁的检测能力。NGFW主要通过静态规则库检测威胁，难以应对变种的高级威胁。AI防火墙引入智能检测引擎，通过海量样本训练威胁检测模型并不断根据实时流量数据优化模型，从而提升了威胁检测能力。

AAA是网络访问控制的一种安全管理框架，它决定哪些的用户能够访问网络，以及用户能够访问哪些资源或者得到哪些服务。本文从AAA的三要素、工作原理、使用的协议和应用这几个方面展开介绍。

API网关是一种集成了配置发布、环境管理、接入认证、用户鉴权、访问控制等功能的API管理和服务治理的工具。使用API网关托管API，即可高效、安全、低成本的管理服务。API网关作为请求的单一入口点，将请求分配给相应的服务，然后收集结果并将其传递给请求者。而不是让客户单独请求访问每项微服务。

NAC网络安全解决方案通过对接入用户进行安全控制，实现“只有合法的用户、安全的终端才可以接入网络”，隔离非法、不安全的用户和终端，或者仅允许他们访问受限的资源，以此提升整个网络的安全防护能力。

SSH（Secure Shell，安全外壳）是一种网络安全协议，通过加密和认证机制实现安全的访问和文件传输等业务。传统远程登录和文件传输方式，例如Telnet、FTP，使用明文传输数据，存在很多的安全隐患。随着人们对网络安全的重视，这些方式已经慢慢不被接受。SSH协议通过对网络数据进行加密和验证，在不安全的网络环境中提供了安全的网络服务。作为Telnet和其他不安全远程shell协议的安全替代方案，目前SSH协议已经被全世界广泛使用，大多数设备都支持SSH功能。默认情况下，SSH服务器使用端口号22。

暴力破解，是一种针对于密码的破译方法，将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码，其可能共有10000种组合，因此最多尝试10000次就能找到正确的密码。而当遇到人为设置密码（非随机密码，人为设置密码有规律可循）的场景，则可以使用密码字典（例如彩虹表）查找高频密码，破解时间大大缩短。设置长而复杂的密码、在不同的地方使用不同的密码、避免使用个人信息作为密码、定期修改密码等是防御暴力破解的有效方法。

数据泄漏防护是一组技术的集合组成的解决方案，其核心是能识别出数据中的内容并为之分类。这些数据可以电子邮件、文件、数据包、应用程序或者数据存储等形式存在。不论数据状态是仅被存储中，或者正在被使用的，亦或者在网络中传输，都能被检测。DLP还应支持根据既定的策略对敏感信息的检测和使用情况提供日志、标记、加密、权限控制和阻断等操作。也有人将Data Loss Prevention描述成Data Leakage Prevention，其实Data Loss和Data Leakage这两个词是有相关性的。例如，包含敏

Next Generation Firewall（NGFW）是传统状态防火墙和统一威胁管理（UTM）设备的下一代产品。它不仅包含传统防火墙的全部功能（基础包过滤、状态检测、NAT、VPN等）还集成了应用和用户的识别和控制、入侵防御（IPS）等更高级的安全能力。相对于UTM设备，NGFW则拥有更快处理效率和更强的外部拓展、联动能力。

零日漏洞通常是指还没有补丁的安全漏洞，零日攻击则是指利用零日漏洞对系统或软件应用发动的网络攻击。由于零日漏洞的严重级别通常较高，所以零日攻击往往也具有很大的破坏性。目前，任何安全产品或解决方案都不能完全防御住零日攻击。但是，通过建设完善的防御体系，提升人员的防范意识，可以有效减少被零日攻击的机率，降低零日攻击造成的损失。

信息安全工程师：信息安全工程师证书属于软考中级资格证书之一，为了适应“十三五”期间计算机软件行业发展需要，满足社会多方对信息安全技术人员的迫切需求，信息安全工程师在2016年下半年首次开考，目前一年仅考一次。

计算机“端口”是英文port的译义，可以认为是计算机与外界通讯交流的出口。其中硬件领域的端口又称接口，如：USB端口、串行端口等。软件领域的端口一般指网络中面向连接服务和无连接服务的通信协议端口，是一种抽象的软件结构，包括一些数据结构和I/O（基础输入输出）缓冲区。在网络技术中，端口（Port）有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口，如RJ-45端口、Serial端口等。