【护网相关知识】

一、什么是防火墙

二代防火墙
三代防火墙

部署：华为USG防火墙
	通过ssh方式登录设备
	配置FTP服务器
	配置SNMP网关运维
	配置安全区域
	工作模式：路由模式、透明模式、混合模式
	配置安全策略

1.WAF

常见的网络安全产品，防火墙、WAF、IDS\IPS、内网终端安全管理系统

防火墙：
	一种网关设备，防火墙=硬件+软件+安全策略
	一代防火墙：包过滤防火墙

 硬件型WAF
 软件型WAF：安全狗、Aihttps、ModSecurity
 云WAF：阿里云、腾讯云、深信服云WAF等

  Web应用防火墙是通过一系列针对HTTP/https的安全策略来专门为Web应用提供保护的一款产品，
	  主要用于防御针对网络应用层的攻击，比如SQL注入、跨站脚本攻击、参数篡改、
	  应用平台漏洞攻击、拒绝服务攻击等。
  原理：
  		waf部署在Web应用程序前面，在用户请求到达web服务器前对用户请求进行扫描和过滤，
 		分析并校验每个用户请求的网络包，对无效或有攻击行为的请求进行阻断和隔离。
		通过检查http流量，可以防止源自web应用程序的安全漏洞的攻击。
  功能：攻击防护、安全替身、攻击溯源、登录安全。

2.IDS入侵检测系统

IDS：入侵检测系统
	对入侵行为发现但不进行相应的处理。
	原理：使用一个或多个监听端口嗅探
	           不转发任何流量
	           对收集的报文提权相应的流量统计特征值，并利用内置的特征库，
	           与这些流量进行分析、比较、匹配。
    产品：snort

3.IPS入侵防御系统

对入侵行为发现并进行相应的防御处理。
缺点：误报率高，经常会拦截正常的用户。
ips和ids可以部署在防火墙内也可以部署在防火墙外

内网终端安全管理系统：
	终端安全管理系统：金山猎鹰
	奇安信：天擎
	部署：
			1.搭建域控制器
			2.在域控DC上安装控制中心（金山猎鹰）
			3.终端部署：登录、配置部署页面、权限设置

蜜罐：
       一款充满漏洞的软件
       HFish：具有超过40种蜜罐环境

4.安全工具

AppScan、AWVS、MSF、BurpSuite、CobaltStrike、sqlmap、nmap等。
AppScan：
	1.通过探索功能，利用HTTP Request和Response的内容，爬行除指定网站的整个web应用结构。
	2.Appscan本身有一个内置的漏洞扫描的规则库，可随版本进行更新。
	    从探索出的url中，修改’参数’or’目录’等方式，
	    构造不同的url对照组向服务器发送请求or攻击。
	3.根据HTTP Response返回的内容，和正常请求所返回的响应作对比，是否产生差异性。
	    而这种差异性又是符合扫描规则库的设定规则，以此来判断是否存在不同类型的安全漏洞。
	4.若Appscan可判断存在安全漏洞，则对这些漏洞的威胁风险给出说明，进行严重程度提示，
	    并给出修复的建议和方法，以及漏洞发现的位置提示。
	    探测截断----》测试截断----》扫描阶段

Burpsuite：
	是一款用于web应用程序的集成平台，包含了许多工具。
	可以抓包修改请求头；
	代理服务器：拦截、查看、修改原始数据流。
	重发器：改包并查看响应结果
	测试器：进行四种模式的攻击：狙击手、音叉、集速炸弹、攻城锤
	编码工具：可以进行编码解码
	插件扩展

CobaltStrike:
	是一款团队作战渗透测试神器，分为客户端和服务端，一个服务端可以对应多个客户端，
	一个客户端可以连接多个服务端。
	集成了端口转发，扫描多模式端口Listener、文件捆绑、钓鱼、提权、office攻击等功能，
	包括站点克隆获取浏览器的相关信息等。

sqlmap：
	是开源的自动化SQL注入工具，由Python写成的；利用SQL注入漏洞获取数据库的权限；
	具有强大的检测引擎，针对不同类型数据库的渗透测试的功能选项，包括后期数据库中
	存储的数据，访问操纵系统文件甚至可以通过外带数据连接的方式执行操纵系统命令。
	-h  查看基本用法及命令行参数
	-hh 查看所有用法及命令行参数
	--version 查看版本信息
	-u 指定目标url

nmap：发送请求数据包，通过相应结果来判断是否开放或者存活

5.OSI参考模型

物理层：信息转换问题，MAC地址
数据量链路层：MAC地址
网络层：ip地址
传输层：tcp/udp协议
会话层：负责在数据传输中设置和维护计算机中两台计算机之间的通信连接
表示层：把数据转换为能与接收者的系统格式兼容并适合传输的格式
应用层：协议

html、css、js和Python、php等语言的基本内容，代码审计
windows和linux操纵系统的安全配置、服务搭建、安全基线检查

6.常见的网络攻击方式

常见的网络安全攻击方式及特点：
	从攻击分类来分，有主动攻击和被动攻击：
	主动攻击：它会导致某些数据流的篡改和虚假数据量的产品，比如说篡改、
					  伪造消息数据和终端。
	被动攻击：不对数据信息做任何修改。比如说窃听、流量分析、破解等。

攻击方法：口令入侵、木马、网络监听、黑软、安全漏洞、端口扫描
                 DoS攻击、钓鱼攻击、勒索软件、密码攻击、SQL注入攻击、
                 DNS劫持、暴力破解、XSS攻击、Mac地址欺骗、ARP欺骗
攻击位置：远程攻击、本地攻击、伪远程攻击

流量型攻击：
		tcp全连接攻击、http洪水攻击、udp洪水攻击、icmp洪水攻击，arp洪水攻击
扫描窥探攻击：
		IP地址扫描攻击、端口扫描攻击
短头报文攻击：
		特殊报文攻击、ICMP重定向报文攻击、超大ICMP报文攻击、ICMP不可达报文攻击
		带时间戳选项的IP报文攻击、带路由器记录项的IP报文攻击

7.OWSPTOP10常见漏洞及基本原理

A01	失效的访问控制
A02	加密机制失效
A03 注入
A04 不安全设计
A05 安全配置错误
A06 自带缺陷和过时的组件
A07 身份识别和身份验证错误
A08 软件和数据完整性故障
A09 安全日志和监控故障
A10 服务端请求伪造

8.常见漏洞及其基本原理

SQL注入：
	用户的输入嵌入到SQL语句中，然后被当做代码执行。
	原因：没有对用户输入的数据做验证或者处理，没有过滤或者过滤不严。
	按照变量类型来分：数字型、字符型
	按照http提交方式分：post注入、GET注入、Cookie注入

XSS跨站脚本攻击：
	通过拼接恶意的html代码，利用js语句来执行攻击，实现对用户浏览器的攻击。
	反射型、存储型、DOM型

CSRF跨站请求伪造：
	用户访问恶意网站时运行恶意网站上加载的JS，然后攻击者就可以利用受害者的身份，
	对已经登陆的正常网站发送数据包，达到篡改信息、修改配置等功能。
	原因：Cookie不过期，没有进行进一步的验证用户信息，没有安全意识访问了恶意站点。

SSRF服务端请求伪造：
	是一种由攻击者构造请求，让服务端发起请求的一种安全漏洞。

文件上传：
	是由于程序员在对用户文件上传部分的控制不足或者处理缺陷，从而导致用户
	可以越过其本身权限向服务器上传可执行的动态脚本文件，并通过此脚本文件
	获得了执行服务端命令的能力。

文件包含：
	程序员开发的时候没有对包含的文件进行严格的过滤，攻击者可以构造自己的图片
	木马文件当作PHP执行。

9.流量分析

tcp/ip协议分析、流量分析；Wireshark\tcpdump等流量分析工具的使用。
TCP协议：是一种面向有连接的传输层协议，能够对自己提供的连接实施控制，
				适用于要求可靠的传输应用，例如文件传输。
UDP协议：是一种面试无连接的传输层协议，不过对自己提供的连接实施控制，
			      适用于实时应用。例如打电话、视频会议、直播等。

Wireshark：
		是一款非常流行的网络封包分析软件，可以截取各种网络数据包，
		并显示数据包详细信息。

tcpdump：
		是一个运行在linux平台可以根据使用者需求对网络上传输的数据包进行
		捕获的抓包工具。
		可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、
		协议、主机、网络或端口的过滤，并提供and\or\not等逻辑语句来帮助去掉无用的信息。

10.域名系统

http\smtp\dns工作原理，https\http协议
http：是超文本传输协议，信息以明文进行传输；
https：需要进行SSL加密传输，HTTPS需要获得CA的证书，通常需要付费，免费的很少。

DNS域名系统：
	原理：
		1.客户机提出域名解析请求，并将该请求发送给本地的域名服务器。
		2.当本地的域名服务器收到请求后，就先查询本地的缓存，如果有
		  该记录项，则本地的域名服务器就直接把查询的结果返回。
		3.如果本地的缓存中没有该记录，则本地域名服务器就直接把请求发给根域名根服务器，
		然后根域名服务器再返回给本地域名服务器一个所查询域(根的子域)的主域名服务器的地址。
		4.本地服务器再向上一步返回的域名服务器发送请求，然后接受请求的
		服务器查询自己的缓存，如果没有该记录，则返回相关的下级的域名服务器的地址。
		5.重复第四步，直到找到正确的记录。
		6.本地域名服务器把返回的结果保存到缓存，以备下一次使用，同时还将结果返回给客户机。

咱们以访问 www.163.com 这个域名为例，来看看当你访问 www.163.com 时，会发生哪些事：
	1.先查找本地 DNS 缓存（自己的电脑上），有则返回，没有则进入下一步；
	2.查看本地 hosts文件有没有相应的映射记录，有则返回，没有则进入下一步；
	3.向本地DNS服务器（一般都是你的网络接入服务器商提供，比如中国电信、中国移动）发送
	请求进行查询，本地DNS服务器收到请求后，会先查下自己的缓存记录，如果查到了直接返回
	就结束了，如果没有查到，本地DNS服务器就会向DNS的根域名服务器发起查询请求：请问
	老大，www.163.com的ip是多少呢？
	4.根域名服务器收到请求后，看到这个 .com的域名，就回信说：这个域名是由 .com老弟管理的，
	你去问他就行，这是 .com 老弟的联系方式（ip1）。
	5.本地DNS服务器接收到回信后，照着老大哥给的联系方式（ip1），马上给 .com 这个顶级域名
	服务器发起请求：请问 .com 大大，www.163.com的ip是多少了？
	6. .com顶级服务器接收到请求后，看到这是 163.com的域名，就是回信说：这个域名
	是.163.com老弟管理的，你就去问他就行了，这是他的联系方式（ip2）
	7.本地DNS服务器接收到回信后，按照前辈的指引（ip2），又向.163.com这个权威域名服务器
	发起请求：请问 163.com大大，请问www.163.com的ip是啥？
	8. 163.com权威域名服务器接收到请求后，确认了是自己管理的域名，马上查了下自己
	的小本本，把www.163.com的ip告诉了本地DNS服务器。
	9.本地DNS服务器接收到回信后，非常地开心，这下总算拿到了 www.163.com的ip了，
	马上把这个消息告诉了要求查询的客户（就是你的电脑）。由于这个过程比较漫长，本地
	DNS服务器为了节省时间，也为了尽量不去打扰给位老大哥，就把这个查询结果偷偷地记在
	了自己的小本本上，方便下次有人来查询时，可以快速响应。

DHCP：动态主机配置协议
	原理：
		1.客户机请求IP
		2.服务器响应
		3.客户机选择IP
		4.服务器确定租约
		5.客户端重启
		6.更新租约

11.渗透测试报告编写及安全事件处置

渗透测试报告：一般会有模板，就按照模板的信息来填写。
	基本信息：设备信息、目标ip、攻击ip、攻击时间方式、攻击特征、端口
	复现截图、报文信息、防护措施、改进建议