智能網絡是一種網絡設備，相比傳統網關更加智能化，智能網關是局域網絡智能化的關鍵，一般支持虛擬網絡接入、wifi接入、有線寬帶接入等，通過它可實現對局域網內各傳感器、網絡設備、攝像頭以及主機等設備的信息采集、信息輸入、信息輸出、集中控制、遠程控制、聯動控制等功能。簡單來說從一個房間走到另一個房間需要經過門，而網關就是不同房間的那扇門，智能網關就是具有識別能力的門。

以下是一些常見的網關類型：

• 信令網關：SG，主要完成7號信令網與IP網之間信令消息的中繼，在3G初期，對于完成接入側到核心網交換之間的消息的轉接（3G之間的RANAP消息，3G與2G之間的BSSAP消息），另外還能完成2G的MSC/GMSC與軟交換機之間ISUP消息的轉接。

• 中繼網關：又叫IP網關，同時滿足電信運營商和企業需求的VoIP設備。中繼網關（IP網關）由基于中繼板和媒體網關板建構，單板最多可以提供128路媒體轉換，兩個以太網口，機框采用業界領先的CPCI標準，擴容方便具有高穩定性、高可靠性、高密度、容量大等特點。

• 接入網關：是基于IP的語音/傳真業務的媒體接入網關，提供高效、高質量的話音服務，為運營商、企業、小區、住宅用戶等提供VoIP解決方案。

• 協議網關：協議網關通常在使用不同協議的網絡區域間做協議轉換。這一轉換過程可以發生在OSI參考模型的第2層、第3層或2、3層之間。但是有兩種協議網關不提供轉換的功能：安全網關和管道。由于兩個互連的網絡區域的邏輯差異，安全網關是兩個技術上相似的網絡區域間的必要中介。如私有廣域網和公有的因特網。

• 應用網關：應用網關是在使用不同數據格式間翻譯數據的系統。典型的應用網關接收一種格式的輸入，將之翻譯， 然后以新的格式發送。輸入和輸出接口可以是分立的也可以使用同一網絡連接。

WEB滲透測試類型主要有以下類型：

• 黑盒測試：黑盒測試（Black-box Testing）也稱為外部測試（External Testing）。采用這種方式時，滲透測試團隊將從一個遠程網絡位置來評估目標網絡基礎設施，并沒有任何目標網絡內部拓撲等相關信息，他們完全模擬真實網絡環境中的外部攻擊者，采用流行的攻擊技術與工具，有組織有步驟地對目標組織進行逐步的滲透與入侵，揭示目標網絡中一些已知或未知的安全漏洞，并評估這些漏洞能否被利用獲取控制權或造成業務資產的損失。

• 白盒測試：白盒測試（White-box Testing）也稱為內部測試（Internal Testing）。進行白盒測試的團隊將可以了解到關于目標環境的所有內部與底層知識，因此這可以讓滲透測試者以最小的代價發現和驗證系統中最嚴重的安全漏洞。如果實施到位，白盒測試能夠比黑盒測試消除更多的目標基礎設施環境中的安全漏洞與弱點，從而給客戶組織帶來更大的價值。

• 灰盒測試：以上兩種滲透測試基本類型的組合可以提供對目標系統更加深入和全面的安全審查，這就是灰盒測試（Grey-box Testing），組合之后的好處就是能夠同時發揮兩種基本類型滲透測試方法的各自優勢。灰盒測試需要滲透測試者能夠根據對目標系統所掌握的有限知識與信息，來選擇評估整體安全性的最佳途徑。在采用灰盒測試方法的外部滲透場景中，滲透測試者也類似地需要從外部逐步滲透進入目標網絡，但他所擁有的目標網絡底層拓撲與架構將有助于更好地決策攻擊途徑與方法，從而達到更好的滲透測試效果。

在需要停止用戶訪問登錄堡壘機系統時可以將其賬號注銷以清除之前所有的授權，具體操作流程如下（不同堡壘機方法可能有所不同）：

1. 先使用堡壘機的管理員賬號登陸到堡壘機控制臺；

2. 進入控制臺的用戶管理界面；

3. 勾選需要注銷的用戶，單擊”操作”，在下拉菜單中，單擊”注銷選中用戶”。

   

4. 在彈出的注銷用戶確認窗口中，單擊”詳細信息”，可查看所注銷用戶的 ID 及名稱，查看確認完畢后，單擊”確定”，即可注銷該用戶。

   

如果想重新添加用戶可以按以下步驟操作：

1. 先使用堡壘機的管理員賬號登陸到堡壘機控制臺；

2. 單擊”用戶管理”，進入用戶管理頁面。

3. 單擊”新建”，進入添加添加用戶頁面，配置如下用戶信息（不同堡壘機系統配置的信息可能有所區別）。

   • 用戶 ID：輸入用戶 ID，即用于登錄堡壘機的賬號；

   • 用戶名稱：輸入用戶名稱；

   • 口令：輸入用戶的密碼；

   • 確認口令：確認用戶密碼；

   • 用戶類型：默認為其他，并勾選“運維用戶”。若您需更換類型，請先創建用戶類型。

網絡進行安全建設時需要遵循以下安全建設原則：

• 實用性原則：要充分考慮已有資源（軟硬件及網絡設備）的合理利用，避免出現不必要的浪費。

• 先進性原則：采用先進的網絡工程學確保網絡安全系統實用有效，要促使網絡安全系統在技術上達到同行業國內領先水平和國際先進水平。

• 平衡性原則：開展實際研究（包括任務、性能、結構、可靠性、可維護性等），對網絡的安全需求、網絡面臨的安全威脅、可能承擔的安全風險與將要付出的代價進行定性與定量相結合的分析，制定規范和措施，確保安全策略穩步實施。

• 綜合性、整體性原則：一個好的安全防護措施往往是多種方法適當綜合應用的結果。一個計算機網絡包括用戶、設備、軟件、數據等，各個環節在網絡中的地位、影響和作用，只有從系統的角度去綜合看待、分析，才能采取有效、可行的措施。即遵循整體安全性原則，根據規定的安全策略，制定出合理的網絡安全體系結構。

• 易用性原則：用戶和技術人員應能夠方便地安裝、運行、使用安全技術。產品應具備友好的全中文用戶界面，產品應易于理解、易學、易操作。

• 動態管理原則：隨著網絡規模的擴大及應用需求的增加，網絡應用與安全性也應不斷變化，一勞永逸地解決網絡應用與安全問題是不現實的，也就是說，要根據網絡的變化不斷調整應對的安全措施，要結合網絡服務與安全技術服務來適應新的網絡環境及安全需求。

極限測試指滿足極限開發的流程和思想的一種測試方法，該方法強調連續測試，由單元測試和驗收測試組成，主要是測試的測試用例不同但是和傳統測試的目標相同即是確定程序中的錯誤。

滲透測試是指為了證明網絡防御按照預期計劃正常運行而提供的一種機制是通過模擬惡意黑客的攻擊方法，來評估計算機網絡系統安全的一種評估方法。這個過程包括對系統的任何弱點、技術缺陷或漏洞的主動分析，這個分析是從一個攻擊者可能存在的位置來進行的，并且從這個位置有條件主動利用安全漏洞。

堡壘機遠程登錄就是通過堡壘機遠程登錄服務器。堡壘機不止可以監控聯機的服務器的工作，還可以遠程登錄到服務器上面進行操作。如果想用堡壘機遠程登錄一臺服務器的話，可以打開堡壘機的服務器管理名單，然后選擇自己想要登錄的服務器，輸入系統要求輸入的名稱或者密碼，然后點擊鏈接就可以了。在進行這個操作之前，要確定堡壘機和服務器已經完成了連接隧道。

堡壘機的作用：

• 健全的用戶管理機制和靈活的認證方式。

• 細粒度、靈活的授權。

• 單點登錄功能是運維人員通過堡壘機認證和授權后，堡壘機根據配置策略實現后臺資源的自動登錄。

• 實時監控。

• 違規操作實時告警與阻斷。

• 字符型協議的操作可以通過用戶配置的命令行規則進行規則匹配，實現告警與阻斷。告警動作支持權限提升、會話阻斷、郵件告警、短信告警等。

• 對常見協議能夠記錄完整的會話過程。

• 豐富的審計報表功能。

• 應用發布。

典型的網絡安全威脅：

• 竊聽：網絡中傳輸的敏感信息被竊聽。

• 重傳：攻擊者事先獲得部分或全部信息，以后將此信息發送給接收者。

• 偽造：攻擊者將偽造的信息發送給接收者。

• 篡改：攻擊者對合法用戶之間的通訊信息進行修改、刪除、插入，再發送給接收者。

• 非授權訪問：通過假冒、身份攻擊、系統漏洞等手段，獲取系統訪問權，從而使非法用戶進入網絡系統讀取、刪除、修改、插入信息等。

• 拒絕服務攻擊：攻擊者使系統響應減慢甚至癱瘓，阻止合法用戶獲得服務。

• 行為否認：通訊實體否認已經發生的行為。

• 旁路控制：攻擊者發掘系統的缺陷或安全脆弱性。

• 電磁/射頻截獲：攻擊者從電子或機電設備所發出的無線射頻或其它電磁輻射中提取信息。

• 人員疏忽：授權的人為了利益或由于粗心將信息泄漏給未授權人。

如果云配置錯誤影響安全的原因有以下這些：

• 云安全知識欠缺：在大多數企業組織中，對整個組織進行安全培訓的重擔落在了IT團隊身上，有時還會看到一個安全架構師為企業組織中數百名開發人員和其他IT人員提供支持。云安全專家的稀缺可能會在整個企業組織內導致一連串的安全問題，但是，要找到熟悉云安全、經驗豐富的員工也并不容易。

• 團隊各自為戰：信息安全、IT運營和DevOps團隊在云安全策略上不一致。企業組織的云安全治理需要不同團隊的參與，但每個團隊的安全或合規目標略有不同，未能保持治理策略的一致是一種安全或合規風險，對于試圖平衡開發速度與安全治理的開發人員來說是一個棘手的問題。

• 風險可見性差：企業組織之所以無法有效識別錯誤配置，是因為一般云提供商提供了部分云安全服務，在這種情況下，企業安全團隊經常對需要擔負的云安全責任感到困惑。就自負責任而言，企業安全團隊需要對云服務有更廣泛和深度的風險可見性。

• 應對遲緩：網絡犯罪分子可以在幾分鐘內快速識別并探查在互聯網上暴露的云資產。因此，企業安全團隊識別和修復錯誤配置的速度對于能否避免云安全漏洞被利用至關重要。不幸的是大多數企業組織的云安全流程應對滯后。

SDP安全架構面對威脅有以下這些作用：

• SDP通過預驗證和授權來縮小攻擊面，實現服務器和網絡的最小訪問權限，減少數據泄露，但是不能阻止網絡釣魚、錯誤配置等數據泄露攻擊，無法直接阻止授權用戶的惡意訪問。

• SDP不允許對整個網絡進行訪問，會進行訪問限制，使得安全體系結構對弱身份、證書和訪問管理有很大的彈性。SDP還可以在用戶訪問資源前進行強身份驗證。

• SDP可以使用戶界面不被未授權用戶訪問是其核心能力，SDP可以通過在用戶設備上運行的進程來保護API，SDP的主要焦點一直是保護用戶對服務器的訪問。

• SDP能顯著縮小攻擊面，隱藏系統和應用程序漏洞，對未授權用戶不可見，但是授權用戶可以訪問授權資源，這樣會存在潛在風險，需要IDS或者SIEM等安全設備來監控和網絡活動。

• SDP可以限制內部人員的安全威脅，適當配置的SDP系統可以使用戶只能訪問執行業務所需要的資源，隱藏其他資源，但是不能阻止授權用戶的訪問。

• SDP可以通過限制受感染終端尋找網絡目標的能力在整個企業中實施多因素認證，這樣可以減少ATP攻擊的攻擊面，但是如果要想預防ATP攻擊需要借助多個安全系統進行結合來實現。

• SDP遵循最小授權原則，并且使網絡資源對未授權用戶不可見，這樣從更本上降低了數據丟失的可能性，還可以通過適當的DLP解決訪問增強。

• SDP架構中的SPA使SDP控制器和網關在防御DDOS攻擊方面更有彈性，與tcp相比SPA使用資源更少，是服務器能最大規模處理、丟棄惡意網絡請求數據包，但是TCP相比SPA提高了服務器的可用性。

Cisco nexus 抓包使用ethanalyze命令。在用戶視圖下執行。

注：該命令只能捕獲去交換機自身和自身發出去的流量。

不能捕獲：捕獲在硬件中轉發的數據平面流量。不支持特定于接口的捕獲

如果需要抓取CPU的流量，需要將端口流量鏡像到CPU，然后使用ethanalyze抓取。

在抓端口鏡像（轉發層面的）包時，設備不能配置sflow。

ERROR: SFLOW is configured. Please delete all SFLOW data sources before configuring SPANs

https://www.cisco.com/c/en/us/support/docs/switches/nexus-9000-series-switches/215329-nexus-9000-cloud-scale-asic-nx-os-span-t.html?dtid=osscdc000283

https://www.cisco.com/c/en/us/support/docs/switches/nexus-7000-series-switches/116136-trouble-ethanalyzer-nexus7000-00.html

 ethanalyzer local  interface inband ?
 <CR>          
 >            Redirect it to a file
 >>           Redirect it to a file in append mode
 autostop        Capture autostop condition
 capture-filter     Filter on ethanalyzer capture
 capture-ring-buffer   Capture ring buffer option
 decode-internal     Include internal system header decoding
 detail         Display detailed protocol information 
 display-filter     Display filter on frames captured
 limit-captured-frames  Maximum number of frames to be captured (default is 10)
 limit-frame-size    Capture only a subset of a frame
 mirror         Filter mirrored packets
 raw           Hex/Ascii dump the packet with possibly one line summary
 write          Filename to save capture to
 |            Pipe command output to filter
# 配置SPAN到CPU的監視器會話
N9K# **configure terminal** 
Enter configuration commands, one per line. End with CNTL/Z.
N9K-1(config)# **monitor session 1** N9K-1(config-monitor)# **source interface Ethernet1/10 rx**N9K-1(config-monitor)# **destination interface sup-eth0** N9K-1(config-monitor)# **no shut**
N9K-1(config-monitor)# **end**
# 確認SPAN到CPU監視器會話已啟動
N9K# **show running-config monitor**  
N9K# **show monitor**
# 在控制平面中查看復制的數據包
# ethanalyze 可以用來復制到思科Nexus 9000設備的控制平面視圖流量。Ethanalyzer命令中的**mirror**關鍵字可以過濾流量，以便僅顯示SPAN到CPU監視器會話復制的流量。Ethanalyzer捕獲和顯示過濾器可用于進一步限制顯示的流量。
9K# **ethanalyzer** **local** **interface inband mirror display-filter** **"icmp && ip.addr==192.168.10.10"** **limit-captured-frames 0** 
# 使用Control-C組合鍵可以退出Ethanalyzer控制平面數據包捕獲實用程序。
# 通過在Ethanalyzer命令中包含**detail**關鍵字，可以查看有關此流量的詳細信息。下面顯示了單個ICMP Echo Request數據包的示例。
N9K# **ethanalyzer** **local** **interface inband mirror display-filter** **"icmp && ip.addr==192.168.10.10"** **limit-captured-frames 0 detail** 
# 以管理方式關閉SPAN到CPU監視器會話
 # 在SPAN到CPU監視器會話的上下文中使用**shutdown** configuration命令可以正常關閉SPAN到CPU監視器會話，并停止將流量復制到Cisco Nexus 9000設備的控制平面。
N9K# **configure terminal**
Enter configuration commands, one per line. End with CNTL/Z.
N9K-1(config)# **monitor session 1** N9K-1(config-monitor)# **shut**
N9K-1(config-monitor)# **end**
N9K#

以下但不限于以下企業需要進行等級保護測評：

1. 電信、經營性公眾互聯網信息服務單位、廣電行業的公用通信網、廣播電視傳輸網等基礎信息網絡、互聯網接入服務單位、數據中心等單位的重要信息系統等；

2. 鐵路、銀行、海關、稅務、民航、電力、證券、保險、科技、發展改革、國防科技、公安等；

3. 人力資源和社會保障、財政、審計、商務、水利、國土資源、能源、交通、文化、教育、統計、工商行政管理、郵政等行業部門的生產、調度、管理、辦公等重要信息系統等。

一個僵尸網絡至少由以下組件構成：

• 攻擊者：攻擊者是發起DDoS攻擊的主體，他首先要“攻陷”一臺或多臺計算機，并在其上安裝惡意代碼，一旦惡意代碼加入控制器，攻擊者就獲得了對該計算機的控制權。

• 僵尸網絡控制器：僵尸網絡控制器即命令和控制服務器（C&C），有些文獻也將其稱為Botmaster，是指控制和通信的中心服務器。在基于IRC協議進行控制的僵尸網絡中，就是指提供IRC聊天服務的服務器。它用于向“駐留”于僵尸機上的僵尸程序發送和接收通信命令。

• 僵尸主機：一旦一臺主機被人攻陷且安裝了惡意代碼之后，它就成為僵尸網絡的一個僵尸節點（Bot）。嚴格地說，Bot是指那段惡意代碼，僵尸節點或僵尸主機則是指宿主機，但在不引起誤解的情況下，也用Bot直接指代僵尸主機。比較嚴肅的一些學術文獻中，將其稱為Compromised Host。

• 受害者：這是指攻擊者的目標主機，它將接收大量發自僵尸主機的攻擊報文，并最終導致拒絕服務。

解決僵尸網絡攻擊的辦法有以下這些：

• 隔離感染主機：已中毒計算機盡快隔離，關閉所有網絡連接，禁用網卡。

• 切斷傳播途徑：關閉潛在終端的SMB 445等網絡共享端口，關閉異常的外聯訪問，可開啟IPS和僵尸網絡功能，進行封堵。

• 查找攻擊源：手工抓包分析或借助安全感知來查找攻擊源。

• 查殺病毒：推薦使用殺毒軟件進行查殺，或者使用專殺工具進行查殺。

• 修補漏洞：打上以下漏洞相關補丁，漏洞包括“永恒之藍”漏洞，JBoss反序列化漏洞、JBoss默認配置漏洞、Tomcat任意文件上傳漏洞、Weblogic WLS組件漏洞、apache Struts2遠程代碼執行漏洞。

• 卸載相關工具：此勒索病毒會通過PSEXEC.EXE工具感染其它主機，建議卸載禁用此工具。

• 安裝專業防護設備：安裝專業的終端安全防護軟件，為主機提供端點防護和病毒檢測清理功能。

TCP/IP攻擊的分類有以下這些：

• 針對物理層的攻擊：此類攻擊手法主要是對網絡硬件和基礎設施進行物理破壞或強行改變路由器路由。例如，將一個公司的出口線路斷掉，使其無法訪問外部網絡。

• 針對數據鏈路層的攻擊：TCP/IP在該層次上有2個重要協議，即地址解析協議（ARP）和反地址解析協議（RARP）。ARP欺騙和偽裝就是發生在該層次上的攻擊行為。

• 針對網絡層的攻擊：網絡層的重要協議包括ICMP、IP和IGMP（Internet Group ManagementProtocol）。著名的網絡攻擊方式大多是在該層次上進行的，如Smurf攻擊、IP碎片攻擊和ICMP路由欺騙等。

• 針對傳輸層的攻擊：TCP/IP傳輸層有2個重要協議，即TCP和UDP。發生在該層次上的著名攻擊手法非常多，常見的有Teardrop攻擊（Teardrop Attack）、Land攻擊（LandAttack）、SYN洪水攻擊（SYN Flood Attack）以及TCP序列號欺騙和攻擊等。此外，會話劫持和中間人攻擊也屬于該層次的攻擊行為。

• 針對應用層的攻擊：該層次上有許多不同的應用協議，如DNS、FTP、SMTP等。針對該層次的攻擊數量龐大，但是主要攻擊的方式還是針對一些軟件實現中的漏洞進行的。針對協議本身的攻擊主要是DNS欺騙和竊取。常見的應用層攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，最典型的應用攻擊莫過于“蠕蟲”。蠕蟲有多種形式，包括系統漏洞型蠕蟲、群發郵件型蠕蟲、共享型蠕蟲、寄生型蠕蟲和混和型蠕蟲。其中，最常見、變種最多的蠕蟲是群發郵件型蠕蟲，它是通過E-mail進行傳播的。

滲透測試的實施過程如下：

1. 信息收集：獲取域名的whois信息,獲取注冊者郵箱姓名電話等；查詢服務器旁站以及子域名站點，因為主站一般比較難，所以先看看旁站有沒有通用性的cms或者其他漏洞；查看服務器操作系統版本，web中間件，看看是否存在已知的漏洞，比如IIS，APACHE,NGINX的解析漏；查看IP，進行IP地址端口掃描，對響應的端口進行漏洞探測，比如 rsync,心臟出血，mysql,ftp,ssh弱口令；掃描網站目錄結構，看看是否可以遍歷目錄，或者敏感文件泄漏，比如php探：google hack 進一步探測網站的信息，后臺，敏感文件

2. 漏洞掃描：開始檢測漏洞，如XSS,XSRF,sql注入，代碼執行，命令執行，越權訪問，目錄讀取，任意文件讀取，下載，文件包含，遠程命令執行，弱口令，上傳，編輯器漏洞，暴力破解等。

3. 漏洞利用：利用以上的方式拿到webshell，或者其他權限。

4. 權限提升：提權服務器，比如windows下mysql的udf提權，serv-u提權，windows低版本的漏洞，如iis6,pr,巴西烤肉，linux藏牛漏洞，linux內核版本漏洞提權，linux下的mysql system提權以及oracle低權限提權。

5. 總結報告及修復方案。

攻擊面管理的定義是：

• 攻擊面管理（ASM）是對存儲、傳輸或處理敏感數據的外部數字資產的持續發現、盤點、分類、優先級排序和安全監控。該術語可能聽起來類似于資產發現和資產管理，但ASM是從攻擊者的角度處理這些和其他安全任務。這可確保安全性涵蓋可從企業內部訪問的所有暴露于攻擊者的IT資產、暴露于互聯網的資產以及供應商基礎設施中的資產。

• 攻擊面管理由網絡資產攻擊面管理（CAASM）、外部攻擊面管理（EASM）以及數字風險保護（DRPS）三部分組成。

• 高級的攻擊面管理包括可進行的緩解建議，修復發現的安全缺口；建議從未使用的或不必要的資產以減少攻擊面，到通知個人他們的郵箱存在隱患，可能成為釣魚攻擊的目標。

• 攻擊面管理包括匯報會被用于社會工程或者釣魚攻擊的開源情報，比如在社交媒體上的公開個人情報，甚至像在視頻、公開演講、在線研討會和會議上的材料。

攻擊面管理要考慮的最佳實踐如下：

• 繪制攻擊面：部署適當的防御必須了解暴露了哪些數字資產、攻擊者最有可能入侵網絡的位置以及需要部署哪些保護措施。因此，提高攻擊面的可見性并構建對攻擊漏洞的有力呈現至關重要。

• 最小化漏洞：一旦企業繪制完成他們的攻擊面，就可以立即采取行動減輕最重要的漏洞和潛在攻擊媒介帶來的風險，然后再繼續執行較低優先級的任務。在可能的情況下使資產離線并加強內部和外部網絡是值得關注的兩個關鍵領域。

• 建立強大的安全實踐和政策：嚴格遵循一些久經考驗的最佳安全實踐將大大減少企業的攻擊面。這包括實施入侵檢測解決方案、定期進行風險評估以及制定明確有效的政策。

• 建立安全監控和測試協議：隨著IT基礎設施的變化以及攻擊者的不斷發展，強大的網絡安全計劃同樣需要進行不斷地調整。這就需要持續監控和定期測試，后者通常可以通過第三方滲透測試服務實現。

• 強化電子郵件系統：網絡釣魚是攻擊者入侵網絡的常見方式。然而，一些企業尚未完全部署旨在限制員工收到的惡意電子郵件數量的電子郵件協議。

• 了解合規性：所有企業都應該制定政策和程序來研究、確定以及理解內部和政府標準。目標是確保所有安全策略都能符合合規要求，同時對各種攻擊和違規類型都有適當的響應計劃。這可能需要建立一個工作組和戰略，以便在新政策和法規生效時對其進行審查。

• 聘請審計員：在評估企業攻擊面時，即使是最好的安全團隊有時也需要新的視角。聘請安全審計員和分析師可以幫助企業發現可能會被忽視的攻擊媒介和漏洞。