网络安全基础
内容
-
理解 HTTPS 的加密机制与证书体系
-
掌握常见网络攻击方式及防御手段
-
了解基本的网络安全防护技术(如防火墙、ACL、NAT、VLAN)
-
能够在工作中配合安全团队进行初步的安全配置与问题排查
一、HTTPS加密原理详解
1.为什么需要HTTPS?
-
HTTP是明文传输协议,容易被窃听、篡改或伪造
-
HTTPS=HTTP+SSL/TLS,通过加密保障通信安全
2.HTTPS的核心机制
(1)对称加密VS非对称加密
| 类型 | 原理 | 特点 | 应用场景 |
|---|---|---|---|
| 对称加密 | 加密和解密使用相同密钥 | 速度快 | 数据加密主体 |
| 非对称加密 | 使用公钥加密、私钥解密 | 安全性高 | 密钥交换、身份认证 |
HTTPS 中的结合使用:
-
使用非对称加密交换密钥(如 RSA)
-
使用对称加密传输数据(如 AES)
(2)SSL/TLS握手流程(简化版)
客户端 → ClientHello → 服务器
服务器 → ServerHello + 证书(含公钥) → 客户端
客户端 → 生成随机密钥,用公钥加密后发送 → 服务器 服
务器 → 用私钥解密得到密钥 → 双方后续使用该密钥进行对称加密通信
(3)证书体系(CA 机制)
-
证书颁发机构(CA):可信第三方,签发数字证书
-
证书内容:域名、公钥、签名、有效期等
-
验证过程:浏览器内置 CA 根证书,验证网站证书是否合法
(4)常见术语解释
| 术语 | 含义 |
|---|---|
| SSL/TLS | 安全套接字层 / 传输层安全协议 |
| CA | 证书颁发机构 |
| CSR | 证书签名请求 |
| 公钥/私钥 | 非对称加密中的两个密钥 |
| HSTS | HTTP Strict Transport Security,强制 HTTPS 访问 |
| OCSP/CRL | 在线证书状态检查 / 证书吊销列表 |
二、常见网络攻击方式及防御手段
1. DDoS 攻击(分布式拒绝服务攻击)
-
原理:利用大量傀儡机向目标发起请求,耗尽其带宽或资源。
-
防御方式:
-
使用 CDN 分流
-
设置限速策略(Rate Limiting)
-
使用云厂商的 DDoS 防护服务
-
2. SQL 注入(SQL Injection)
-
原理:通过构造恶意 SQL 输入绕过验证逻辑,获取数据库权限。
-
防御方式:
-
使用参数化查询(Prepared Statement)
-
对输入做白名单过滤
-
ORM 框架自动防注入
-
3. XSS(跨站脚本攻击)
-
原理:攻击者将恶意脚本注入网页中,当用户访问时执行。
-
防御方式:
-
对用户输入做 HTML 转义(Escape)
-
使用 CSP(Content Security Policy)限制脚本来源
-
设置 Cookie 的 HttpOnly 属性防止 JS 获取敏感信息
-
4. CSRF(跨站请求伪造)
-
原理:诱导用户点击链接,以用户身份执行未经授权的操作。
-
防御方式:
-
使用 Anti-CSRF Token
-
验证 Referer 头
-
SameSite Cookie 属性设置
-
5. 中间人攻击(MITM)
-
原理:攻击者插入通信双方之间,监听或篡改通信内容。
-
防御方式:
-
使用 HTTPS(加密+证书验证)
-
强制 HSTS 策略
-
客户端验证证书链有效性
-
6. 暴力破解(Brute Force)
-
原理:尝试大量用户名密码组合猜测登录凭证。
-
防御方式:
-
登录失败次数限制
-
CAPTCHA 验证
-
多因素认证(MFA)
-
7. ARP 欺骗(ARP Spoofing)
-
原理:伪造 MAC 地址欺骗局域网设备,截取流量。
-
防御方式:
-
静态绑定 IP-MAC
-
使用 ARP 检测工具
-
部署交换机端口安全功能
-
三、基础网络防护技术简介
1. 防火墙(Firewall)
-
功能:控制进出网络的数据包,根据规则允许或拒绝流量。
-
分类:
-
网络层防火墙(基于 IP 和端口过滤)
-
应用层防火墙(WAF,Web Application Firewall)
-
2. ACL(访问控制列表)
-
功能:用于路由器或交换机上,定义哪些 IP 或端口可以通信。
-
应用场景:
-
内网隔离不同部门
-
控制特定服务访问权限
-
3. NAT(网络地址转换)
-
功能:将私有 IP 地址转换为公网 IP,隐藏内网结构。
-
分类:
-
静态 NAT(一对一映射)
-
动态 NAT(多对少)
-
PAT/NAPT(多对一,常用)
-
4. VLAN(虚拟局域网)
-
功能:在物理网络上划分多个逻辑子网,实现广播隔离和安全控制。
-
优势:
-
提高安全性
-
减少广播风暴
-
灵活管理网络拓扑
-
四、工作场景举例
场景 1:测试登录接口时,验证是否启用 HTTPS
-
使用 Postman 或浏览器开发者工具查看响应头是否有
Strict-Transport-Security字段 -
检查证书是否有效(未过期、域名匹配)
场景 2:系统上线前做安全扫描,发现未启用 HSTS 头
-
配置 Web 服务器(如 Nginx/Apache)添加以下响应头:
Strict-Transport-Security: max-age=31536000; includeSubDomains
场景 3:安全团队要求限制某些 IP 访问后台接口 → 配置防火墙规则
-
Linux 上使用iptables或firewalld添加规则:
iptables -A INPUT -s 192.168.1.100 -j DROP
-
Windows 上使用“高级安全 Windows 防火墙”创建入站规则
网络安全是一项贯穿整个 IT 生态的技术能力,从开发到部署再到运维,每个环节都应具备基本的安全意识。掌握 HTTPS、常见攻击方式和基础防护技术,是你构建安全系统的起点。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
