- 博客(153)
- 收藏
- 关注
RSS订阅原创 第十三章 加密技术应用
介绍了加密技术在网络信息安全中的应用。重点涵盖密码学基础,如数字签名、证书及机密性、完整性保障机制;深入解析IPSec架构,包括AH/ESP协议、传输与隧道模式、IKE协商流程及安全联盟SA;并介绍SSL/TLS协议原理与握手过程,以及SSL VPN在远程接入中的四种资源访问方式,全面呈现企业级加密通信的技术实现与应用场景。
2025-12-16 20:41:33
992
原创 第十二章 PKI证书体系
PKI证书体系围绕数字证书的生命周期展开,涵盖申请、颁发、使用与撤销。其核心技术包括数字信封、数字签名与数字证书,保障通信的机密性、完整性与身份认证。PKI由CA、RA、证书库和终端实体构成,通过CA分级管理实现信任链。证书格式有PEM、DER、P12等,状态可通过CRL或OCSP查询。广泛应用于HTTPS、IPSec/SSL VPN等场景,确保网络身份可信与数据安全传输。
2025-12-15 17:44:07
604
原创 第十四章 网络安全方案设计
企业网络安全面临内外双重威胁,需从通信网络、区域边界、计算环境和管理中心四个层面构建防护体系。通信网络需保障可靠性(设备冗余、双机热备)和保密性(VPN/专线);区域边界重点防御DDoS、单包攻击和网络入侵(AntiDDoS、IPS);计算环境需防范终端漏洞(补丁管理、NAC);管理中心应严格权限管控(最小授权、日志审计)和上网行为管理(访客隔离)。通过技术防护(防火墙、漏洞扫描)与管理措施(安全培训、应急流程)相结合,实现全方位安全保障。
2025-12-15 14:39:06
1075
2
原创 第十一章 密码学
介绍了密码学三大核心功能:加密、完整性和认证。涵盖对称加密(如AES、SM4)与非对称加密(如RSA、SM2),阐述其原理及优缺点;介绍哈希函数(如SHA、MD5)保障数据完整性;并通过MAC、HMAC实现消息认证。同时提及混合加密机制与非对称加密的安全风险,全面构建密码学基础体系。
2025-12-15 14:26:37
1099
原创 第十章 防火墙用户管理
AAA 是指认证(Authentication)、授权(Authorization) 和 计费(Accounting) 三大安全功能的统称,是网络安全访问控制的核心框架。它用于管理用户对网络设备或服务的访问权限,广泛应用于路由器、防火墙、服务器及企业级网络系统中。
2025-12-14 15:57:02
860
原创 第九章 防火墙入侵防御
网络安全入侵与防御技术概述 本文系统介绍了网络安全领域的入侵威胁与防御技术。主要内容包括: 入侵威胁类型: 入侵行为:未经授权的系统访问与控制 漏洞威胁:系统缺陷导致的安全风险 DDoS攻击:分布式拒绝服务攻击 恶意代码:病毒、木马等隐蔽性威胁 防御技术: 入侵防御系统(IPS)原理与功能 华为USG设备的三种部署模式 入侵检测工作流程与签名匹配机制 关键技术: 签名检测与过滤器应用 例外签名配置与管理 数据流处理全流程解析 文章全面阐述了从攻击识别到主动防御的完整技术体系,为企业网络安全建设提供了实用参考
2025-12-14 14:16:48
1078
原创 第八章 防火墙高可靠性技术
华为防火墙高可靠性(HA)解决方案通过双机热备技术确保网络连续性,核心采用HRP+VRRP+VGMP架构,实现秒级故障切换与状态同步。主备模式中,主设备处理流量,备设备实时同步会话表;负载分担模式则同时激活双设备。关键组件包括:HRP协议同步配置和会话、VRRP提供虚拟网关、VGMP统一管理主备状态、专用心跳链路检测故障。实验验证了该方案的可行性,切换时间小于1秒,有效保障业务不中断。优化建议包括配置多心跳链路、专用高速接口等,以解决脑裂、同步延迟等问题。
2025-12-13 21:21:00
866
原创 第七章 防火墙地址转换
摘要: 本文详细介绍了地址转换技术(NAT)的分类及处理流程。NAT主要分为出方向NAT、服务器映射、静态端口无关转换、智能NAT和双重NAT等类型,分别适用于不同场景。数据包处理流程包括会话表匹配、ACL检查、路由查找、NAT转换及安全策略验证等关键步骤。重点阐述了源地址转换(SNAT)的工作原理,对比了NAT Outbound、Easy IP和NAT No-PAT三种实现方式的技术特点,并提供了典型配置示例。这些技术有效解决了内网主机访问外网时的地址转换需求,适用于各类网络环境。
2025-12-13 20:39:22
1100
原创 第六章 防火墙安全策略
华为防火墙安全策略是一组用于控制不同安全区域间流量的规则集合,基于源/目的地址、服务、应用等多维度匹配执行允许或拒绝动作,遵循"默认拒绝所有"原则。其工作流程包括:确定安全区域、查找策略、多维匹配条件、建立会话表和执行动作。特性包括应用识别、用户绑定、状态检测等。实验部署了基于时间段的访问控制策略,工作日允许HTTP/HTTPS/ICMP/DNS流量但限制社交网站,非工作日放开限制,并配置了DMZ区HTTP访问策略。通过会话表可验证策略生效情况。
2025-12-13 18:56:34
789
原创 第五章 防火墙设备互联
本文介绍了防火墙与交换机的网络配置过程。防火墙USG6000V2配置了物理接口IP地址、VLAN接口和链路聚合(Eth-Trunk),包括将接口加入trust/dmz安全区域、设置子接口实现VLAN间路由等操作。交换机SW1则进行了VLAN创建和基本配置。配置完成后,形成了包含内部网络(trust)、DMZ区域(dmz)的多层安全架构,实现了不同VLAN间的通信隔离与路由功能。这些配置为构建企业级网络安全拓扑奠定了基础。
2025-11-15 21:44:15
555
原创 第四章 防火墙设备管理
本文介绍了华为USG6000V2防火墙的初始化配置与管理过程,包括设备初始化、管理员角色权限配置和设备管理三部分内容。首先完成设备IP地址、接口配置等基础设置;然后创建"网络配置管理员"角色,配置用户权限及HTTPS登录;最后通过Console和Telnet两种方式进行设备管理,设置登录密码、超时时间及账号锁定策略。实验涉及命令行操作与图形界面配置,展示了防火墙设备的典型管理方法。
2025-11-15 21:42:31
737
原创 第三章 下一代防火墙通用原理
防火墙技术发展与应用 防火墙技术主要经历了包过滤防火墙、应用层网关防火墙和状态检测防火墙三个阶段。包过滤防火墙基于网络层信息进行简单过滤,性能高但安全性低;应用层网关防火墙工作在OSI第七层,能深度检查应用协议内容,安全性强但性能开销大;状态检测防火墙通过维护连接状态表实现动态包过滤,兼具高性能和安全性。不同防火墙技术适用于企业网络ACL控制、金融行业Web防护、安全审计合规等场景,企业需根据安全需求、性能要求和部署成本合理选择。未来防火墙将向智能化、云化方向发展,以应对日益复杂的网络安全威胁。
2025-11-13 13:48:32
831
原创 第二章 网络基础知识
本文摘要总结了TCP/IP协议栈中的常见协议,按网络分层进行系统梳理。应用层协议包括HTTP(S)、FTP、邮件协议(SMTP/POP3/IMAP)、DNS等;传输层涵盖TCP/UDP特性差异;网络层列出IP、ICMP、路由协议等;数据链路层包含以太网、Wi-Fi等技术;物理层介绍传输介质与编码方式。重点解析了FTP协议的工作原理,详细说明其主动模式下的连接建立过程(控制连接端口21,数据连接端口20)及PORT命令格式,为网络协议学习提供清晰的参考框架。全文采用表格与说明结合的形式,便于快速查阅各协议功能
2025-11-13 10:28:24
1036
原创 第一章 网络安全概念及规范
网络安全发展经历了从通信安全到网络空间安全的演进历程。广义网络安全保护信息资产的CIA三要素(保密性、完整性、可用性),涵盖技术、管理等多维度;狭义网络安全聚焦网络层防护。常见威胁包括恶意软件、网络钓鱼、DDoS等。零信任架构(ZTA)以"永不信任,持续验证"为核心,通过多因素认证、最小权限等原则重构安全体系。当前网络安全正从被动防御向主动智能对抗转变,呈现零信任普及、AI驱动安全等趋势,并上升为国家战略高度。
2025-11-10 09:54:58
1289
原创 第十六章 SDN与NFV概述
本文系统阐述了SDN(软件定义网络)与NFV(网络功能虚拟化)的核心概念、技术原理及融合应用。SDN通过控制与转发分离实现网络集中化管理,NFV则将传统网络功能虚拟化以提升灵活性12。两者在数据中心、5G网络等场景中协同应用,显著提升网络效率与可扩展性,但也面临性能开销、跨厂商兼容性等挑战3。
2025-11-08 13:10:50
760
原创 第十四章 AAA、PPP和PPPoE
本文摘要: 《网络安全基础协议详解》重点介绍了AAA框架、PPP和PPPoE三大网络协议。AAA框架提供认证、授权和计费功能,支持RADIUS/HWTACACS等协议,适用于设备登录控制与权限管理;PPP是点对点数据链路层协议,取代SLIP协议,用于串行链路可靠传输;PPPoE则在以太网上实现PPP功能,广泛应用于宽带接入。文章详细解析了三者的工作原理、配置命令及典型应用场景,包括企业网络管理、ISP运维审计等,并对比了不同协议的特点与适用环境。这些协议共同构成了网络安全和接入控制的重要技术基础。
2025-11-08 13:07:08
803
原创 第十五章 WLAN概述
WLAN(无线局域网)摘要 WLAN通过射频技术实现无线互联,无需物理线缆,基于IEEE 802.11协议,具有移动接入、易部署等特点。其工作模式包括基础架构模式(通过AP连接)、自组织模式和Mesh模式,采用CSMA/CA机制避免冲突。组网架构分为独立AP(适合小规模)、集中式AC+Fit AP(企业级)、云管理(远程运维)和Mesh组网(多节点自愈)。新一代技术如Wi-Fi 6/6E引入OFDMA、MU-MIMO等提升性能,Wi-Fi 7将支持320MHz带宽和4096-QAM,理论速率达46Gbps。
2025-11-08 13:06:40
978
原创 第十三章 网络服务和应用
FTP和Telnet是两种传统的网络协议。FTP(文件传输协议)用于文件传输,采用双通道通信(控制连接和数据连接),支持主动和被动模式,但存在明文传输等安全问题,建议使用更安全的FTPS或SFTP替代。Telnet用于远程终端连接,通过TCP 23端口提供命令行访问,但所有数据均为明文传输,极不安全,已被SSH取代。两种协议在现代生产环境中均不推荐使用,应优先选择加密替代方案如SFTP和SSH。
2025-11-08 12:16:15
763
原创 第十二章 网络地址转换
NAT(网络地址转换)技术通过IP地址转换实现内网访问外网,主要解决IPv4地址短缺问题。其工作原理包括捕获数据包、替换IP地址、记录映射关系和转发数据包。NAT分为静态NAT(一对一固定映射)、动态NAT(动态分配公网IP)、NAPT/PAT(多对一端口映射)、Easy IP(自动适应动态IP)和NAT Server(端口转发)。应用场景包括节约IP地址、增强安全性、网络整合和服务器发布。优点在于节省IP资源、提高安全性,但会破坏端到端通信并增加延迟。NAT常与ACL配合使用,控制访问权限。实验案例展示了
2025-11-08 12:11:35
1750
原创 第十一章 ACL原理与配置
ACL(访问控制列表)是一组规则集合,用于控制数据包的访问权限,基于源/目的IP、协议、端口等信息进行匹配。ACL按顺序匹配规则,默认隐含拒绝所有未明确允许的流量。主要分为基本ACL(源IP匹配)、高级ACL(多字段匹配)、二层ACL(MAC地址匹配)和用户自定义ACL(灵活偏移匹配)。ACL广泛应用于网络安全防护、远程登录限制、QoS流量分类、策略路由等场景。配置时需注意规则顺序,建议将具体规则前置,并合理部署ACL位置。实验展示了ACL在限制特定主机访问、控制Ping和Web访问等场景的应用。
2025-11-08 12:08:31
1004
原创 第十章 VLAN间通信
摘要: VLAN间通信需要借助三层设备实现不同VLAN间的数据转发。主要采用两种方法:三层交换机(通过SVI虚拟接口实现高性能路由)和单臂路由(通过路由器子接口实现低成本互通)。三层交换机适合大型网络,具有高吞吐、低延迟优势;单臂路由则适用于小型网络,但存在性能瓶颈。实际应用中需结合ACL等安全策略进行精细化控制,在隔离与互通间取得平衡。单臂路由通过802.1Q封装和子接口技术,用单个物理接口实现多VLAN路由,虽成本低但扩展性较差。两种方式各适用于不同场景,需根据网络规模、性能和预算进行选择。 (150字
2025-11-08 12:04:58
895
原创 第九章 生成树
摘要:本文介绍了生成树技术(STP)的基本概念及工作原理。STP通过选举根桥、计算最短路径和阻塞冗余链路来消除二层网络中的环路问题,避免广播风暴和MAC地址漂移。关键概念包括桥ID(由优先级和MAC地址组成)、根路径开销(RPC)计算以及不同端口角色的选择(根端口、指定端口、阻塞端口)。文章还详细分析了BUM帧(广播、未知单播和组播帧)的处理机制及其优化方法,强调STP在保障网络可靠性和稳定性中的重要作用。
2025-11-08 12:00:14
783
原创 C语言程序代码(四)
本文展示了三个C语言函数的实现: 冒泡排序函数:通过相邻元素比较交换实现升序排序,时间复杂度为O(n²),适用于小规模数据排序。 数字位数求和函数:通过取模和除法运算分离整数的个位、十位和百位数字后求和,适用于3位以内整数处理。 字符分类统计函数:使用while循环遍历字符串,通过条件判断分类统计字母、数字、空格及其他字符数量,支持最多79个字符的输入。 每个函数都配有详细注释说明参数、功能和实现逻辑,并包含完整的主程序调用示例,演示了如何从用户获取输入并输出结果。代码风格规范,变量命名清晰,体现了良好的结
2025-11-02 17:13:41
192
原创 C语言程序代码(三)
本文包含4个C语言数组处理程序:1. 计算3×4矩阵行和、列和及总和;2. 求5×3矩阵每行最大值及其总和;3. 找出10元素一维数组的最大最小值;4. 使用函数实现最大最小值查找。所有程序都使用二维数组和一维数组存储数据,通过嵌套循环实现遍历计算,并包含详细的输入提示和格式化输出。程序29-31直接在主函数中实现功能,程序32将比较功能封装为Max函数,提高代码复用性。每个程序都包含必要的注释说明,且针对Visual Studio编译器禁用安全警告。
2025-11-02 17:11:16
293
原创 第八章 VLAN原理与配置
VLAN(虚拟局域网)是一种将物理局域网划分为多个逻辑广播域的技术,通过VLAN标签(802.1Q)实现跨交换机的通信。主要类型包括基于端口、MAC地址、协议和子网的VLAN。交换机接口分为Access(连接终端设备)、Trunk(跨交换机传输多VLAN数据)和Hybrid(灵活配置)三种类型。VLAN可实现部门隔离、安全管控和网络优化。实验部分展示了如何通过Access和Trunk接口配置VLAN,包括创建VLAN、设置接口模式及允许通过的VLAN流量。VLAN技术广泛应用于企业网络、无线网络等场景,提升
2025-10-25 11:52:54
859
原创 第七章 以太网交换基础
以太网是主流的局域网技术,定义了物理层和数据链路层的标准,使用MAC地址寻址。其核心概念包括冲突域和广播域,分别描述数据冲突范围和广播帧传播范围。以太网卡是设备接入网络的关键硬件组件。MAC地址是48位唯一标识符,由厂商代码和设备编号组成,支持单播、组播和广播通信。交换机通过MAC地址表智能转发数据,实现学习、转发、泛洪和过滤功能,有效提升网络性能和安全性。
2025-10-25 11:40:16
988
原创 第六章 路由基础
本文介绍了路由的基本概念和工作原理,主要包括三种路由类型:直连路由、静态路由和动态路由。直连路由由设备自动生成,静态路由由管理员手动配置,适用于小型稳定网络,而动态路由(如OSPF、RIP)通过协议自动学习,适合复杂网络环境。文章详细阐述了各类路由的配置方法、应用场景及优缺点,并特别说明了缺省路由作为特殊静态路由的作用。路由选择需要根据网络规模、拓扑变化频率和运维需求综合考量,静态路由简单可控但扩展性差,动态路由灵活但资源消耗较高。
2025-10-19 21:20:22
941
原创 第五章 华为VRP
华为VRP系统是华为数据通信产品的通用操作系统平台,支持路由器、交换机等设备的统一管理。VRP提供文件系统管理、多级用户权限控制,支持命令行和Web两种管理方式。关键功能包括系统软件、补丁、配置文件管理,存储设备支持Flash、SD卡等。实验部分展示了两台路由器直连配置,包括IP地址设置和接口状态检查。用户可通过不同级别(0-15级)执行相应操作,使用Telnet实现远程登录管理。文章还介绍了VRP的发展历程及常见操作命令,如保存配置、删除配置等基本操作。
2025-10-19 21:09:39
943
原创 第四章 IP地址规划
网络层是OSI模型中的第三层,负责数据包的逻辑寻址与路由选择。主要协议包括IPv4和IPv6,其中IPv4报文格式包含版本、首部长度、服务类型、生存时间等字段。IP地址采用点分十进制表示,分为A、B、C、D、E五类,其中A、B、C类为单播地址。网络掩码用于区分网络部分和主机部分,支持二层和三层网络寻址。数据包分片机制允许大数据包在链路上传输,而生存时间(TTL)字段防止网络环路。协议号字段指示上层协议类型,确保数据正确传递给目标进程。
2025-10-19 17:43:58
810
原创 第三章 常用协议
本文介绍了TCP/UDP协议和ARP协议的工作原理。TCP是面向连接的可靠传输协议,通过三次握手建立连接、序列号确认机制保证数据有序传输,并采用滑动窗口进行流量控制,最后通过四次挥手断开连接。UDP则是无连接的简单传输协议,头部仅包含端口号、长度和校验和。ARP协议用于在局域网中将IP地址解析为MAC地址,通过广播请求和单播响应实现地址映射,并维护ARP缓存表提高后续通信效率。两种传输层协议和ARP协议共同构成了网络通信的基础机制。
2025-10-18 21:26:18
1047
原创 第二章 网络参考模型
本文介绍了计算机网络中的两种主要参考模型——OSI七层模型和TCP/IP五层模型,详细说明了各层的功能与作用。OSI模型从物理层到应用层依次定义数据传输规范,而TCP/IP模型则简化了层次结构,成为互联网主流协议。文章还列举了各层常见协议如FTP、HTTP、TCP/UDP等,并阐述了数据链路层的以太网协议和MAC地址功能。最后介绍了三大协议标准化组织IETF、IEEE和ISO在制定网络标准中的重要作用。全文系统梳理了计算机网络体系结构的基本概念和关键协议。
2025-10-09 20:58:46
1064
原创 第一章 网络基础
本文介绍了网络通信的基本概念和结构。主要内容包括:1.通信、网络通信和数据通信网络的定义;2.常见网络设备如交换机、路由器、防火墙的功能和用途;3.网络类型划分(局域网、城域网、广域网)及其典型应用场景;4.网络拓扑形态的分类(星型、总线型、环形等)。这些基础知识为理解网络通信架构提供了系统框架。
2025-10-09 20:49:37
402
原创 C语言程序代码(二)
本文提供了5个C语言编程示例,涵盖了基础算法和图形输出: 求交错级数1-3+5-7...+99-101的值,通过分组计算正负项并相减得出结果-50。 计算1!到10!的阶乘和,使用双重循环实现阶乘计算和累加,最终结果为4037913。 输出平行四边形图形,通过控制空格和星号数量实现右对齐的5行5列平行四边形。 生成下三角形式的九九乘法表,先输出表头数字,再通过嵌套循环打印乘法结果。 从用户输入的正整数中找出最大值,以-1作为输入结束标志,最终输出最大值。 这些示例展示了C语言中循环控制、条件判断、数学运算和
2025-10-09 20:43:04
401
原创 C语言程序代码(一)
这篇文章展示了十多个C语言基础编程示例:1) 倒序输出数字的3种实现方法;2) 字母大小写转换的两种方案;3) 计算1-50中7的倍数之和;4) 判断闰年;5) 计算1-100累加和的3种循环方式。每个示例都包含详细注释,解释了变量定义、逻辑判断和输出处理,并对比了不同实现方法的优缺点(如while/do-while/for循环的适用场景)。代码规范地使用了预处理指令、标准库引用和清晰的格式化,体现了基础算法的实现思路和代码优化方案。
2025-10-05 15:56:11
355
原创 第十九章 使用LAMP架构部署动态网站环境
本文介绍了在CentOS系统上部署LAMP(Linux+Apache+MySQL+PHP)动态网站环境的完整过程。首先安装并配置Apache(httpd)服务,包括启动服务、设置防火墙规则和验证访问;接着安装MariaDB数据库服务,进行初始化并设置root密码;最后安装PHP服务,包括选择PHP版本(7.3)、启用相应模块并安装PHP与MySQL的驱动扩展。整个过程通过命令行操作完成,并附有详细的命令输出和截图说明,确保读者能够清晰地了解每个步骤的执行过程和结果验证方法。
2025-09-09 19:11:23
452
原创 春秋云境—Initial
Initial是一套难度为简单的靶场环境,完成该挑战可以帮助玩家初步认识内网渗透的简单流程。该靶场只有一个flag,各部分位于不同的机器上。在DCSync技术没有出现之前,攻击者要想拿到域内用户的hash,就只能在域控制器上运行 Mimikatz 或 Invoke-Mimikatz去抓取密码hash,但是在2015 年 8 月份, Mimkatz新增了一个主要功能叫"DCSync",使用这项技术可以有效地 “模拟” 域控制器并从目标域控上请求域内用户密码hash。
2023-07-15 14:16:31
2647
4
原创 2022网鼎杯半决赛复盘
该靶场为2022 第三届网鼎杯决赛内网靶场复盘。完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有 4个flag,分布于不同的靶机。
2023-07-12 17:29:07
4286
2
原创 CVE-2022-31325
ChurchCRM后台注入ChurchCRM是一个为教会打造的开源 CRM 系统。ChurchCRM 4.4.5版本存在安全漏洞,该漏洞源于/churchcrm/WhyCameEditor.php 中的“PersonID”字段存在安全问题。
2023-06-29 14:29:35
971
原创 CVE-2022-25099
WBCE CMS v1.5.2 /language/install.php 文件存在漏洞,攻击者可精心构造文件上传造成RCE。
2023-06-25 12:06:36
658
原创 CVE-2022-25401
Cuppa CMS v1.0 administrator/templates/default/html/windows/right.php文件存在任意文件读取漏洞。
2023-06-23 15:20:10
596
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人