网络安全
关注
分享
扫一扫
曹世宏的博客
这个博客主要记录我平常学习的一些网络,编程,与计算机有关的一些资料,笔记以及心得体会等。
记录博客,一是为了系统的整理一个大知识块,梳理结构知识点,加深记忆。同时,也把学过的一些东西记录下来发,方便以后用到的时候随时查询。另一个也是希望能对有需要的人有点帮助。共同交流学习。
字节跳动内推链接:https://job.toutiao.com/s/JFToRSu
字节跳动校招内推码: YYG5KEY
投递链接: https://job.toutiao.com/s/Jy8BSv6
展开
-
IPSec之IKEv1协议详解
IKE简介安全联盟SA:定义: 安全联盟是要建立IPSec 隧道的通信双方对隧道参数的约定,包括隧道两端的IP地址、隧道采用的验证方式、验证算法、验证密钥、加密算法、共享密钥以及生命周期等一系列参数。SA由三元组来唯一标识,这个三元组包括安全参数索引SPI(Security Parameter Index)、目的IP地址和使用的安全协议号(AH或ESP)。其中,SPI是为唯一标识SA而生成的...原创 2019-04-20 21:11:11 · 46565 阅读 · 23 评论
-
SSL协议原理详解
SSL 可参考:SSL技术原理SSL简介SSL和TLS:SSL (Secure Sockets Layer)安全套接层。是由Netscape公司于1990年开发,用于保障Word Wide Web(WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。1994年改版为SSLv2,1995年改版为SSLv3.TLS(Transport Layer Security)安全传输层协...原创 2020-04-18 19:08:30 · 129937 阅读 · 13 评论 -
Tacacs-配置single-connection单连接模式证测试与总结
其他文章:Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例Tacacs+双通道认证配置测试与总结Tacacs+配置single-connection单连接模式证测试与总结Tacacs+ single-connection单连接模式测试经测试单连接模式真正实现的效果就是:不论有多少用户同时登陆一台网络设备,不论同时执行多少条命令,设计到的认证,授权,计费报文都在同一个TCP连接中传输。单连接模式相关概念:单连..原创 2020-12-27 22:53:32 · 3343 阅读 · 0 评论 -
Tacacs-双通道认证配置测试与总结
其他文章:Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例Tacacs+双通道认证配置测试与总结Tacacs+配置single-connection单连接模式证测试与总结背景一般在网络组网中,从可靠性来说,一般主要的网络设备都有两个管理地址:一个是loopback的逻辑地址,主要用于OSPF,BGP等路由协议配置Router-id等,也可以用于远程管理设备。loopback在网络中主要是通过路由协议的传播..原创 2020-12-27 22:47:20 · 4232 阅读 · 0 评论 -
WireGuard基本原理
WireGuard:下一代内核网络隧道摘要:WireGuard是一个安全的网络隧道,在第3层运行,作为Linux的内核虚拟网络接口实现,其目标是在大多数情况下取代IPsec,以及流行的用户空间和/或基于tls的解决方案,如Openvnp,同时更安全、性能更高且更易于使用。虚拟隧道接口基于安全隧道的基本原则:对等公钥和隧道源IP地址之间的关联。它使用基于NoiseIK的单次往返密钥交换,并使用新的计时器状态机机制对用户透明地处理所有会话创建。短的预共享静态密钥(Curve25519点)用于OpenSSH风原创 2020-11-13 19:50:01 · 29151 阅读 · 2 评论 -
Tacacs-协议交互报文抓包示例
其他文章:Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例tacacs+协议报文抓包示例如果使用wireshark对tacacs+报文进行抓包,需要将tacacs+服务器的tac_plus服务监听端口设置为49,这是为tacacs+分配的默认端口,TCP 49。此时,会将TCP 49端口的报解码为tacacs+报文。否则,看到的都是TCP交互报文。实验拓扑:本次实验在eve-ng仿真环境中进行测试,可测试..原创 2020-10-06 22:11:24 · 4864 阅读 · 1 评论 -
Tacacs-各厂商交换机配置
其他文章:Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例以下为整理的常见厂商的交换机tacacs+认证配置。交换机配置Tacacs+认证思路交换机全局开启Tacacs+认证配置tacacs+认证模板,主要配置tacacs+认证的服务器地址,端口,密钥。配置tacacs+的认证,授权,计费列表全局内调用tacacs+认证方式vty,console下调用tacacs+认证方式华为交换机tacacs+认..原创 2020-10-06 22:03:44 · 6108 阅读 · 2 评论 -
Tacacs-服务搭建与配置详解
其他文章:Tacacs+协议原理Tacacs+服务搭建与配置详解Tacacs+各厂商交换机配置Tacacs+协议交互报文抓包示例简介tac_plus是TACACS +守护程序。它为网络设备和访问服务器提供身份验证,授权和计费服务。(authentication, authorisation and accounting)此版本是原始Cisco源代码的主要重写。主要功能包括:NAS特定的主机密钥,提示,开启密码与NAS和ACL相关的组成员身份用于用户配置文件的灵活的外部后端(..原创 2020-10-06 22:00:14 · 18374 阅读 · 5 评论 -
Tacscs-协议原理
参考资料:https://tools.ietf.org/html/draft-ietf-opsawg-tacacs-18TACACS+ 简介本文档介绍了(Terminal Access Controller Access-ControlSystem Plus )终端访问控制器访问控制系统增强版(TACACS +)协议。 它最初被构想为通用的身份验证,授权和计费(AAA)协议。 它在当今得到了广泛的部署,但主要限于AAA(Authentication, Authorization and Acco..原创 2020-09-02 23:31:02 · 3833 阅读 · 0 评论 -
数据库审计系统基本原理与部署方式
数据库审计系统简介什么是数据库审计?数据库审计是记录数据库被访问行为的日志系统。访问数据库的一般有两种行为,一种是应用服务区的访问,一种是数据库运维人员的访问。数据库审计(简称DBAudit)能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。数据库审计是数据库安全技术之一,数据库原创 2020-06-17 12:10:39 · 7979 阅读 · 0 评论 -
日志审计系统的基本原理与部署方式
日志审计系统简介什么是日志审计?综合日志审计平台,通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。通过日志审计系统,企业管理员随时了解整个IT系统的运行情况,及时发现系统异常事件;另一方面,通过事后分析和丰富的报表系统,管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障,日志审计系统原创 2020-06-16 16:43:56 · 18225 阅读 · 0 评论 -
堡垒机(运维审计系统)的基本原理与部署方式
堡垒机简介堡垒机是什么?堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。[百度百科解释]堡垒机目前也有很多叫运维审计系统。简单总结一句话:堡垒机是用来控制哪些人可以登录哪些资产(事先防范和事中控制),以及录像记录登录资产后做了什么事情(事后溯源.)堡垒机的核心是可控及审计。可控是指权限可控、行为可控。权限可控,比如某个工程原创 2020-06-15 10:58:10 · 34605 阅读 · 4 评论 -
WAF基本原理与部署方式
WAF介绍WAF是什么?WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。WAF常见的部署方式: WAF常见部署方式WAF一般部署在Web服务器之前,用来保护Web应用。那么WAF能做什么?WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。WAF可以对Web应用进行安全审计WAF可以防止CC攻击应用原创 2020-06-14 10:34:16 · 70255 阅读 · 9 评论 -
入侵防御(IPS)技术
入侵防御简介IPS定义:IPS(Intrusion Prevention System)入侵防御系统,是一种安全机制,通过分析网络流量,检测入侵(包括缓冲区溢出攻击、木马、蠕虫等),并通过一定的响应方式,实时地中止入侵行为,保护企业信息系统和网络架构免受侵害。入侵防御的优势:入侵防御是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后,能自动丢弃入侵报文或者阻断攻击源,从而...原创 2019-06-06 13:14:39 · 40549 阅读 · 0 评论 -
URL过滤技术
URL过滤简介URL过滤功能可以对用户访问的URL进行控制,允许或禁止用户访问某些网页资源,达到规范上网行为的目的。URL过滤还可以通过引用时间段或用户/组等配置项,实现针对不同时间段或不同用户/组的URL访问控制,达到更加精细化和准确化控制员工上网权限的需求。URL过滤功能只支持过滤HTTP或HTTPS协议的URL请求。需要过滤HTTPS协议的URL请求时,还需要配置URL过滤的加密流量过滤...原创 2019-06-06 13:15:56 · 17716 阅读 · 0 评论 -
反病毒技术
UTM简介UTM(Unified Threat Management)统一威胁管理。 2004年9月,IDC首度提出“统一威胁管理”的概念,即将防病毒、入侵检测和防火墙安全设备划归统一威胁管理(Unified Threat Management,简称UTM)新类别。UTM是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个...原创 2019-06-06 11:27:34 · 7092 阅读 · 1 评论 -
SACG认证原理
SACG技术简介什么是SACG认证?SACG认证(华为私有):使用防火墙作为接入控制设备,对用户接入网络进行身份认证和安全检查。部署在数据中心或网络出口位置,方便维护。适用于大中型园区,网络环境复杂,对网络安全要求适中的场景。SACG是指设备通过在SACG认证系统中承担SACG的角色,协助SACG认证系统实现内网终端用户的安全控制。SACG准入,是Controller和和防火墙配合实现的用...原创 2019-05-31 21:33:37 · 12770 阅读 · 2 评论 -
【转载】如何成为优秀的网络安全工程师
转载至:https://blog.youkuaiyun.com/zhangnn5/article/details/6630254我2005年3月份来哈尔滨办事处从事技术工作。三年来,在日常工作学习中总结了一些经验与教训,拿来与大家分享。希望我的经验和教训能给大家今后工作带来帮助。合格工程师的N个基础素质网络安全工程师通常分为售前和售后两类。售前工程师主要负责用户交流、建议方案的设计以及投标书的撰...转载 2019-08-21 23:23:50 · 13568 阅读 · 5 评论 -
MAC认证和MAC旁路认证
MAC认证原理MAC认证是什么?MAC认证,是指终端网络接入控制设备自动获取终端的MAC地址,作为接入网络的凭证发到RADIUS服务器进行校验。MAC认证是一种基于接口和MAC地址对用户的网络访问权限进行控制的认证方法,它不需要用户安装任何客户端软件。设备在启动了MAC认证的接口上首次检测到用户的MAC地址以后,即启动对该用户的认证操作。认证过程中,不需要用户手动输入用户名或者密码。MAC...原创 2019-05-31 21:31:31 · 21142 阅读 · 4 评论 -
文件过滤技术
文件过滤简介定义:文件过滤是一种根据文件类型对文件进行过滤的安全机制。文件过滤功能可以降低机密信息泄露和病毒文件进入公司内部网络的风险,还可以阻止占用带宽和影响员工工作效率的文件传输。目的:机密信息和病毒往往存在于特定的文件类型中,例如机密信息一般保存在文档文件中,病毒信息一般附着在可执行文件中。因此文件过滤通过阻断特定类型文件的传输,可以降低机密信息泄露和内网感染病毒的风险。如果想进...原创 2019-06-06 13:16:33 · 3208 阅读 · 0 评论 -
内容过滤技术
内容过滤简介定义:内容过滤是一种对通过FW的文件或应用的内容进行过滤的安全机制。通过业务感知技术识别流量中包含的内容,设备可以包含特定关键字的流量进行阻断或告警。作用:阻止机密信息的传播,降低公司机密泄漏的风险。降低因员工浏览、发布、传播敏感信息而给公司带来的法律风险。阻止员工浏览和搜索与工作无关的内容,保证工作效率。内容过滤原理通过深度识别流量中包含的内容,设备可以对包含特...原创 2019-06-06 13:17:00 · 5502 阅读 · 0 评论 -
邮件过滤技术
邮件过滤简介电子邮件的基本概念:电子邮件是一种通过网络提供信息交互的通信方式。完整的电子邮件一般包括邮件地址、主题、正文和附件。电子邮件的格式有:SMTP、POP3、MUA、MTA。MUA(Mail User Agent):电子邮件系统的构成之一,接受用户输入的各种指令,将用户的邮件发送至MTA或者通过POP3、IMAP协议将邮件从MTA取到本机。常见的MUA有Foxmail,Outl...原创 2019-06-06 13:18:54 · 10732 阅读 · 0 评论 -
应用行为控制技术
应用行为控制简介定义:FW的应用行为控制功能用来对用户的HTTP行为、FTP行为和IM行为进行精确的控制。与传统设备使用协议或端口号来控制HTTP和FTP协议不同,FW的应用行为控制功能可以对HTTP和FTP进行更精细的控制。例如,可以通过应用行为控制功能禁止FTP的文件上传和文件删除操作,但允许FTP文件下载操作。FW还支持对QQ登录行为进行控制。应用场景:应用行为控制常用于企业内部对...原创 2019-06-06 13:19:25 · 1516 阅读 · 0 评论 -
IPS与IDS部署场景
IPS原理可参考:入侵防御IPS技术NIP介绍NIP简介:NIP是华为的IPS设备。NIP出厂时固定接口板和扩展接口卡上的业务接口都划分为固定接口对,每对接口对之间相互独立并隔离。您可以将每对接口对视作一台虚拟IPS设备或IDS设备,基于不同的接口对配置不同的应用安全策略,满足不同的安全防护需求。NIP的业务接口都工作在二层,能够不改变客户现有的网络拓扑结构,直接透明接入客户网络,...原创 2019-08-18 18:49:14 · 38088 阅读 · 3 评论 -
L2TP基本原理
L2TP VPN简介L2TP基本概念:L2TP(Layer 2 Tunneling Protocol) VPN是一种用于承载PPP报文的隧道技术,该技术主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。目的:L2TP VPN技术出现以后,使用L2TP VPN隧道“承载”PPP报文在Internet上传输成为了解决上述问题的一种途径。无论出差员工是通过传统拨号方式接入Int...原创 2019-09-16 11:33:57 · 67732 阅读 · 5 评论 -
防火墙双机热备升级步骤
防火墙上下VRRP双机热备在不中断业务的情况下升级设备过程:总体思路:在部署了双机热备的网络环境中升级软件版本,需要遵循主要原则是Active设备和Standby设备分别升级,先升级Standby设备,然后再升级Active设备,在升级过程中必须关闭HRP功能升级步骤:升级版本前的准备:检查当前版本软件,下载官方推荐版本镜像文件*.bin、补丁等。当前业务模拟测试、业务测试报告,...原创 2019-08-18 14:08:23 · 3765 阅读 · 0 评论 -
防火墙双机热备三大协议(VRRP-VGMP-HRP)原理
防火墙双机热备技术双机热备概述:为什么需要要双机热备?解决单点故障,实现业务的平滑过渡(会话表需要同步的)双机热备的两种部署方式:主备方式负载分担分时。防火墙双机热备产生的原因,详细内容可参考:防火墙双机热备技术三大协议框架:VRRP------虚拟路由冗余协议VGMP------VRRP组管理协议(华为私有)HRP--------华为冗余协议(华为私有)...原创 2019-03-30 22:17:17 · 30820 阅读 · 1 评论 -
Portal认证原理
Portal认证简介Portal认证通常也称为Web认证,一般将Portal认证网站称为门户网站。用户上网时,必须在门户网站进行认证,只有认证通过后才可以使用网络资源。用户可以主动访问已知的Portal认证网站,输入用户名和密码进行认证,这种开始Portal认证的方式称作主动认证。反之,如果用户试图通过HTTP访问其他外网,将被强制访问Portal认证网站,从而开始Portal认证过程,这种方...原创 2019-05-31 21:30:03 · 34224 阅读 · 9 评论 -
802.1X(Dot1x)认证原理
802.1X(dot1x)技术简介802.1X认证,又称为EAPOE(Extensible Authentication Protocol Over Ethernet)认证,主要目的是为了解决局域网用户接入认证问题。802.1X认证时采用了RADIUS协议的一种认证方式,典型的C/S结构,包括终端、RADIUS客户端和RADIUS服务器。802.1x简介:IEEE802 LAN/WAN委员...原创 2019-05-31 21:25:29 · 46686 阅读 · 2 评论 -
RADIUS协议基础原理
RADIUS简介RADIUS概述:RADIUS(Remote Authentication Dial-In User Server,远程认证拨号用户服务)是一种分布式的、C/S架构的信息交互协议,能包含网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。协议定义了基于UDP(User Datagram Protocol)的RADIUS报文格式及其传输机制,...原创 2019-05-31 21:21:54 · 48848 阅读 · 0 评论 -
数字证书PKI原理
PKI基础架构密钥管理面临的挑战:在使用任何基于RSA服务之前 ,一个实体需要真实可靠的获取其他实体的公钥。通过非信任的通道,公钥交换必须是安全的。在密钥交换过程中,公钥必须不能够被截获和更改。交换呈现Full Mesh的复杂度。由最终用户来确认密钥有效性,非常不靠谱。PIK介绍:公钥基础设施PKI(Public Key Infrastructure),是通过使用公钥技术和数字...原创 2019-04-20 21:18:02 · 10512 阅读 · 1 评论 -
IPsec各种场景配置示例
IPSec VPN配置流程图:IPSec VPN配置流程图先配置IKE安全提议配置IKE对等体,调用IKE提议配置需要保护的感兴趣流配置IPSec 的安全提议配置IPSec策略在接口调用IPSec策略IPSEC VPN各场景配置示例采用IKEV1-主模式实验 : 图:IPsec VPN拓扑图配置思路:第一步: 阶段一协商IKE SA(ISAKMP SA) 1. ...原创 2019-09-16 11:34:15 · 21842 阅读 · 3 评论 -
IPSec基本原理
IPSec简介为什么要实施?实施的最大动机是省钱。虚拟专用网络的分类:虚拟专用网分类方法很多。**站点到站点的虚拟专用网 **ATM,Rrame Relay, GRE, MPLS 虚拟专用网 , **IPSec 虚拟专用网 **。常用的是IPSec 虚拟专用网 。远程拨号虚拟专用网 。IPSec 虚拟专用网 , PPTP, L2TP + IPSec, **SSL 虚拟专用网 **。常用的是SSL 虚拟专用网。什么是IPSec?IPSec(Internet Protocol原创 2020-06-14 10:45:48 · 54903 阅读 · 7 评论 -
防火墙虚拟系统
防火墙虚拟系统虚拟化技术:虚拟化技术主要分为两类,一类是一虚多,就是在一台物理机上虚拟出多台逻辑计算机。 另一类是多虚拟一:就是将多台物理机通过虚拟化技术虚拟为一台逻辑计算机。有关虚拟化技术可参考:Vmware虚拟化概念原理虚拟系统简介:虚拟系统(Virtual System)是在一台物理设备上划分出的多台相互独立的逻辑设备。防火墙虚拟化就是将一个物理防火墙划分为多个虚拟系统。每一...原创 2019-04-02 22:41:59 · 15711 阅读 · 2 评论 -
防火墙双机热备各种场景备配置示例
双机热备各场景应用主备备份和负载分担应用场景:主备备份和负载分担配置简介:配置流程:配置流程图:三大配置原则:在双机热备组网中,在配置其他业务之前必须在主备设备上先完成双机热备的所有配置,并保证双机状态正常。在主备组网中,关键业务在主设备上完成配置即可,备用设备可以同步主设备的配置命令,建议割接前对比主备设备配置文件,保证双机配置一致。在负载分担组网中,两个设备处于互为主备...原创 2019-03-30 22:20:45 · 18230 阅读 · 1 评论 -
防火墙用户与认证
用户与认证用户是指访问网络资源的主提,表示“谁”在进行访问,是网络访问行为的重要标识。用户分类:上网用户内部网络中访问网络资源的主体,如企业总部的内部员工。上网用户可以直接通过FW访问网络资源。接入用户外部网络中访问网络资源的主体,如企业的分支机构员工和出差员工。接入用户需要先通过SSL VPN、L2TP VPN、IPSec VPN或PPPoE方式接入到FW,然后才能访问企业总...原创 2019-03-18 23:07:19 · 8731 阅读 · 2 评论 -
防火墙安全策略
包过滤技术基础包过滤技术简介:对需要转发的数据包,先获取报头信息,然后和设定的规则进行比较,根据比较的结果对数据包进行转发或丢弃。实现包过滤的核心技术是访问控制列表。包过滤作为一种网络安全保护机制,主要用于对网络中各种不同的流量是否转发做一个最基本的控制。传统的包过滤防火墙对于需要转发的报文,会先获取报文头信息,包括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协...原创 2018-05-17 13:13:56 · 88945 阅读 · 0 评论 -
防火墙双机热备技术
双机热备技术原理双机热备技术产生的原因:传统组网中,只有一台防火墙部署在出口,当防火墙出现故障后,内部网络中所有以防火墙作为默认网关的主机与外部网络之间的通讯中断,通讯可靠性无法保证。双机热备份技术的出现改变了可靠性难以保证的尴尬状态,通过在网络出口位置部署两台或多台网关设备,保证了内部网络于外部网络之间的通讯畅通。USG防火墙作为安全设备,一般会部署在需要保护的网络和不受保护...原创 2018-05-17 13:15:35 · 23864 阅读 · 0 评论 -
防火墙工作原理和详解会话表
防火墙工作原理防火墙工作原理:本质上是查看会话表。报文到达防火墙,先查看是否会有会话表匹配。如果有会话表匹配,则匹配会话表转发。如果没有匹配会话表,看是否能够创建会话表。前提是必须是首包才能创建会话表。A.先匹配路由表。B.再匹配安全策略。TCP: SYN ---------首包 SYN+ACK ACKICMP echo-re...原创 2019-03-14 11:09:27 · 23876 阅读 · 0 评论 -
防火墙报文转发流程
防火墙的转发流程以会话为中心,分别分析会话前、会话中、会话后的转发流程。下一代防火墙:下一代防火墙通过应用与内容的深度检测,提供更加完善的网络安全防护。FW提供了先进的“一次扫描”和“实时检测”机制。“一次扫描”机制是指FW通过专业的智能感知引擎,只需对报文进行一次扫描,就可以提取所有内容安全功能所需的数据,识别出流量的应用类型、包含的内容与可能存在的网络危险。即使开启所有内容安全功能...原创 2019-03-14 11:10:37 · 9743 阅读 · 1 评论