m0_72210904的博客

WAF的具体作用就是检测web应用中特定的应用，针对web应用的漏洞进行安全防护，阻止如SQL注入，XSS，跨脚本网站攻击等。

Ipsec VPN针对Client to LAN的场景，存在的弱势点：1，IKEV1不支持远程用户接入，IKEV2支持，但是采用EAP认证的方法，目前尚未普及；2，因为需要进行参数协商，所以，我们的PC设备需要安装专门的应用程序来进行支持；3，因为IPSEC VPN需要抓取感兴趣流，但是，PC设备所在私网网段不固定，需要不断的调整策略，导致部署不灵活。4，因为IPSEC VPN主要通过抓取感兴趣流来进行访问控制，最多可以深入到服务层面，但是，无法深入到应用层面。

r1-ipsec-proposal-aa]esp encryption-algorithm aes-128---定义数据加密算法---缺省des。[r1-ike-proposal-1]encryption-algorithm aes-cbc-128---定义加密算法---缺省是DES算法。[r1-ike-proposal-1]authentication-method pre-share ---定义认证方式---缺省是预共享密钥。

在野蛮模式中，可以自定义身份标识，主要是因为身份信息不需要加密，并且，前两个数据包都无法加密，所以，野蛮模式安全性较低。仅第三个数据包会进行加密。但是，

对数据进行完整性校验 --- 我们会针对原始数据进行HASH运算，得到摘要值，之后， 发送到对端，也进行相同的运算，比对摘要值。如果摘要值相同，则数据完整；如果不 同，则数据不完整。HASH算法 --- 散列函数1，不可逆性2，相同输入，相同输出。3，雪崩效应 --- 原始数据中即使存在细微的区别，也会在结果中呈现出比较明显 的变化，方便，我们看出数据是否被篡改。4，等长输出 --- 不管原始数据多长，运算之后的摘要值长度是固定。（MD5可以 将任意长度的输入，转换成128位的输出。

但是，对称加密算法最主要的问题是密钥传递可能存在安全风险，所以，我们在传递密钥的时候，可以通过非对称加密算法进行加密，保证密钥传递 的安全性。DH算法 --- Diffie-Hellman算法 --- 密钥交换算法 ---用来分发对称密钥的。非对称加密算法和对称加密算法的主要区别在于，对称加密算法加解密仅使用同一把密 钥，而非对称加密算法，加密和解密使用的是不同的密钥。---- 这两把钥匙，任意一把钥匙都可以进行加密的操 作，然后，需要通过另外一把钥匙来进行解密。2，密钥管理 --- N *N对密钥。

这里说的文件过滤技术，是指针对文件的类型进行的过滤，而不是文件的内容。想要实现这个效果，我们的设备必须识别出：1.承载文件的应用 --- 承载文件的协议很多，所以需要先识别出协议以及应用。2. 文件传输的方向 --- 上传，下载3.文件的类型和拓展名 --- 设备可以识别出文件的真实类型，但是，如果文件的真实类型 无法识别，则将基于后缀的拓展名来进行判断，主要为了减少一些绕过检测的伪装行为。

如果远程分类服务查询也没有对应分类，则将其归类为“其他”，则按照其他的处理逻 辑执行。其它如果远程分类服务查询也没有对应分类，则将其归类为“其他”，则按照其他的处理逻 辑执行。

防病毒（AV） --- 传统的AV防病毒的方式是对文件进行查杀。传统的防病毒的方式是通过将文件缓存之后，再进行特征库的比对，完成检测。但是，因为需 要缓存文件，则将占用设备资源并且，造成转发延迟，一些大文件可能无法缓存，所以，直接 放过可能造成安全风险。--- 文件需要全部缓存 --- 可以完成更多的如解压，脱壳之类的高级操作，并且，检 测率高，但是，效率较低，占用资源较大。流扫描--- 基于文件片段进行扫描 --- 效率较高，但是这种方法检测率有限。

内容安全：攻击可能只是一个点，防御需要全方面进行IAE引擎。

沙箱的行为模式库是通过分析大量的病毒、漏洞、威胁特征，提炼出各种恶意行为的规律和模式，并形成一套判断规则，因此能提供准确的检测结果。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。利用漏洞，达到攻击的目的。一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的pc和服务器。

企业中在ISP处购买100M宽带，在办公区中，Email，ERP等流量被视为关键业务流量， 而P2P，在线视频等流量可以认定为非关键业务流量。为了不影响正常正常业务，在任何时间内限制p2p和在线视频的流量不超过 30Mbps，并且为了更好的限制在线视频和P2P应用，可以通过限制连接数的方 法，限制其最大连接数不超过1000。当匹配到一条策略时，如果 他拥有子策略，则将继续匹配其子策略，直到匹配到最后一级的子策略为止。2，带宽策略----策略的一种，可以匹配流量，针对匹配上的流量执行限流或者不限流的动 作。

5,办公区上网用户限制流量不超过60M,其中销售部人员在其基础上限制流量不超过30M,且销售部一共10人,每人限制流量不超过3M。2,分公司设备可以通过总公司的移动链路和电信链路访问到DMz区的http服务器。我上面有显示红色错误的原因是，该接口链接的对端设备没有启用。1,办公区设备可以通过电信链路和移动链路上网(多对多的。3,分公司内部的客户端可以通过公网地址访问到内部的服务器。4,FW5和FW4组成主备模式的双机热备。注意：FW5和FW4如下面才能算热备成功。注意：移动类似，只改一下IP就行了。

病毒病毒 --- 一种基于硬件和操作系统的程序，具有感染和破坏能力，这与病毒程序的结构有关。病毒攻击的宿主程序是病毒的栖息地，它是病毒传播的目的地，又是一个感染的出发点。一般感染过程 --- 当计算及运行染毒的宿主程序时，病毒夺取控制权 --- 寻找感染的突破口 ---将病毒程序嵌入感染目标中。计算机病毒的感染过程与生物学的感染过程非常相似，它寄生在宿主程序中，进入计算机并借助操作系统和宿主程序的运行，复制自身、大量繁殖。

防火墙 ---- 四层会话追踪技术入侵防御 ---- 应用层深度检测技术随着以上俩种的成熟与完善，提出了所谓的内容安全过滤当然上网行为确实需要治理，需要内容安全过滤，内容安全过滤技术主要是以下几点：1.文件过滤技术2.应用行为的控制技术3.内容过滤技术4.邮件过滤技术。

一开始，我们FW1将 两个VRRP组都拉入VGMP_ACTIVE组中，因为ACTIVE组的状态时active，所以，里面 两个vrrp组的状态也是active（VGMP组的状态决定了VRRP组的状态），FW2同理。原主设备在接受到对方的应答报文之 后，因为将其VGMP组状态切换，所以，同时将其内部的VRRP组状态由原来的active状 态切换为standby状态（注意，故障接口依旧保持init的状态。但是，因为这里启用VGMP在，则VRRP 切换状态将由VGMP接管，VRRP的机制名存实亡。

-- 开启该功能后，流量首次通过智能选路的接口后，会创建会话表，后续命 中会话表的流量都将通过同一个接口来进行转发，选择源IP和目的IP的效果时，所有相 同源IP或者目标IP的流量将通过同一个接口转发。并且，如果配置的过 载保护阈值，则一条链路达到过载保护阈值之后，除了已经创建会话表的流量依然可以 从该接口通过外，该接口将不再参与智能选路，需要新建会话表的流量将从其余链路中 按照比例转发。如果存在多条策略路由，则匹配规则也是自上而下，逐一匹配，如果匹配上了，则按照 对应动作执行，不再向下匹配。

因为P2P应在端口转换的情况下，识别五元组，将导致P2P客户端之间无法直接访问，不符合 五元组的筛选条件，所以，这种场景下可以使用三元组NAT，放宽筛选条件，保证P2P客户端 之间可以正常通信。--- 针对源IP，目标IP，源端口，目标端口，协议 这五个参数识别出 的数据流进 行端口转换。配置黑洞路由---黑洞路由即空接口路由，在NAT地址池中的地址，建议配置达到这个地址指 向空接口的路由，不然，在特定环境下会出现环路。动态NAT --- 多对多。

匿名认证：和免认证的思路相似，认证动作越透明越好，选择透明认证，则登录者不需要输入登录名和密码，直接选择IP地址进行登录。用户认证：--上网行为管理的一部分 用户，行为，流量--上网行为管理三要素。FTP--文件传输协议---有认证系统，有完整的命令集可以查看文件，TCP--20，21。2.服务器认证：对接第三方服务器：防火墙将用户信息传递给服务器，之后，服务器？上网用户认证：三层认证--所有的跨网段的通信都可以是上网行为，对于这些行为？认证域：它可以决定认证的方式和组织结构。

则认为该数据包属于PC，可以允许该数据包通过。

1.将内网中各个接口能够ping通自己的网关2..生产区在工作时间内可以访问服务器区，仅可以访问http服务器3..办公区全天可以访问服务器区，其中10.0.2.20可以访问FTP服务器和HTTP服务器,10.0.2.10仅可以ping通10.0.3.104..办公区在访问服务器区时采用匿名认证的方式进行上网行为管理5..办公区域设备可以访问公网，其他区域不行。

DMZ--非军事化管理区域--这个区域主要是为内网的服务器所设定的区域，这些服务器本身在内网但是需要对外提供服务，他们相当于处于内网和外网之间的区域，所以，这个区域 就代表是严格管理和松散管理区域之间的部分管理区域。优先级 --- 1 - 100 --- 越大越优 --- 流量从优先级高的区域到优先级低的区域 --- 出方向（outbound） 流量从优先级低的区域到高的区域 --- 入方向 （inbound）虚拟系统 --- VRF技术，相当于逻辑上将一台设备分割为多台设备，平行工作，互不影响。

网络空间：一个由信息基础设备组成的相互依赖的网络通信保密阶段----计算机安全阶段----信息系统安全---网络空间安全。