网络产品、技术学习笔记

网络安全产品学习笔记

堡垒机

1. 定义：自身经过一定的加固，具有较高安全性，用来将需要保护的信息系统与安全威胁来源进行隔离。

2. 应用场景：
   2.1 网关型堡垒机
   网关型的堡垒机被部署在外部网络和内部网络之间，其本身不直接向外部提供服务而是作为进入内部网络的一个检查点，用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由功能，将内外网从网络层隔离开来，因此除非授权访问外还可以过滤掉一些针对内网的来自应用层以下的攻击，为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用层的数据内容，性能消耗很大，所以随着网络进出口处流量越来越大，部署在网关位置的堡垒机逐渐成为了性能瓶颈，因此网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代
   2.2 运维审计型堡垒机
   运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前面，对运维人员的操作权限进行控制和操作行为审计

3. 工作原理
   使用人员分类：管理人员、运维操作人员、审计人员三类用户

• 管理人员交互“策略管理”组件将安全策略存储到策略配置库
• 运维人员操作行为通过“策略管理”组件的核查后，“应用代理”组件则代替运维人员连接目标设备完成相应操作，并将操作结果返回，同时将操作过程提交到“审计模块”，记录到审计日志数据库中。
• 审计人员从“审计模块”读取相应日志记录并展示。

防火墙

1. 定义：位于内部网络与外部网络之间的网络安全系统，依照特定的规则，允许或是限制传输的数据通过。
   [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RAXX2Haf-1626661129608)(en-resource://database/621:1)]
2. 发展历程

• 基于路由器的防火墙
• 用户化的防火墙工具套
• 建立在通用操作系统上的防火墙
• 具有安全操作系统的防火墙

3. 基本类型：

• 网络层防火墙
  网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上
• 应用层防火墙
  应用层防火墙可以拦截进出某应用程序的所有封包
• 数据库防火墙
  数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。

4. 基本原理：

• 包过滤（Packet filtering）：工作在网络层，仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。
• 应用代理（Application Proxy）：工作在应用层，通过编写不同的应用代理程序，实现对应用层数据的检测和分析。
• 状态检测（Stateful Inspection）：工作在2~4层，访问控制方式与1同，但处理的对象不是单个数据包，而是整个连接，通过规则表和连接状态表，综合判断是否允许数据包通过。
• 完全内容检测（Compelete Content Inspection）：工作在2~7层，不仅分析数据包头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范混合型安全威胁。

WAF : WEB应用防火墙

用途：

1. 过滤HTTP/HTTPS协议流量，防护WEB攻击
2. 对WEB应用进行安全审计
3. 防止CC攻击：控制某些主机发送大量数据包使服务器资源耗尽（区别于DDOS是针对于网络层）
4. ADN应用交付：保证关键业务的可靠性、可用性、安全性

非用途

1. 其他协议流量如FTP,POP3过滤
2. 地址映射
3. 网络层的DDOS
4. 病毒

部署方式

透明代理
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3xLugLgM-1626661129611)(@attachment/Clipboard_2021-06-02-15-44-03.png)]
反向代理
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-l0qa6Gz8-1626661129614)(@attachment/Clipboard_2021-06-02-15-44-13.png)]
牵引模式
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-s8bTnGF8-1626661129625)(@attachment/Clipboard_2021-06-02-15-44-36.png)]
旁路监控
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UbovPRzO-1626661129630)(@attachment/Clipboard_2021-06-02-15-44-46.png)]

WAF可靠性部署

透明代理
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-E7Upauzg-1626661129631)(@attachment/Clipboard_2021-06-02-15-45-29.png)]
反向代理
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7VNdqqrv-1626661129633)(@attachment/Clipboard_2021-06-02-15-45-47.png)]

网关

1. 定义：工作在网络层以上各层上的网络互连设备，实现基于不同协议的网络之间的互连。常用软件来实现，对不同的传输层、会话层、表示层、应用层协议进行翻译和变换
   [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-8Fbmmhr1-1626661129636)(en-resource://database/623:1)]

网络技术学习笔记

P4P

P2P技术升级版，加强服务供应商ISP和客户端程序的通信，降低骨干网络传输压力和运营成本。
P2P过于强调对等，造成大量跨城流量，效率低速度慢。
与P2P随机挑选peer(对等机)不同，P4P可以协调网络拓扑数据，有效选择peer，提高路由效率。

负载均衡 SLB

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-tYxjacxj-1626661129638)(en-resource://database/617:1)]

原理

依靠某种转发策略，将用户访问的流量均匀发送到后端的多台服务器上，后端的服务器可以独立的响应和处理请求。

用途

增强了系统服务能力，增强了应用的可用性

实现算法

1. 随机
2. 轮询
3. 加权轮询：对某些服务器添加参数，能者多劳
4. 最少连接：记录每个应用服务器正在处理的连接数，请求转发至最少的那台
5. 源地址散列：根据请求的IP进行hash计算，对应到服务器

实现方案

基于DNS的负载均衡–地域流量均衡

优点：
技术灵活方便简单易行且成本低，适用于大多数TCP/IP应用；对于WEB应用来说，不需要对代码做任何修改；WEB服务器可以位于互联网的任意位置上。
缺点：
无法按照WEB服务器的处理能力分配负载，不支持高可靠性，没有考虑容错
对比CDN：

基于硬件的负载均衡–大型服务器集群负载

基于软件的负载均衡–机器层面的流量均衡

CDN 内容分发网络

在现有的Internet中增加一层新的网络架构，使得用户可以就近取得所需的内容，解决Internet网络拥挤的状况，提高访问网站的速度。
解决网络带宽小、用户访问量大、网点分布不均等原因所造成的的用户访问网站响应速度慢的问题。

功能

1. 本地Cache加速，提高静态页面和图片网站的访问速度
2. 镜像服务。消除运营商影响。
3. 远程加速。用户根据DNS负载均衡选择最快的Cache。
4. 带宽优化。自动生成远程镜像Cache服务器。减轻源服务器负载。
5. 集群抗攻击。降低DDOS攻击等风险。

关键技术：

1. 内容发布
2. 内容路由
3. 内容交换
4. 性能管理

SNAT/DNAT

SNAT

原理：修改数据包中内网侧的IP
作用：将内网IP改为内网出口公网IP，实现局域网共享上网。

DNAT

原理：修改数据包中外网侧的IP
作用：将外网IP改为内网出口IP，实现局域网共享上网。

NAS 网络附属存储

开放dmz