企業安全包含:
網絡終端安全:防病毒、非法入侵、共享資源控制;
內部局域網安全:內部訪問控制、網絡阻塞、病毒檢測;
外網安全:非法入侵、病毒檢測、流量控制、外網訪問控制;
硬件系統級安全:門禁控制、機房設備監控、防火、防水;
操作系統級安全:系統登錄安全、系統資源安全、儲存安全、服務安全;
應用系統級安全:登錄控制、操作權限控制;
本地數據安全:本地文件安全、本地程序安全;
服務器數據安全:數據庫安全、服務器文件安全、服務器應用系統、服務程序安全。
帥末 的所有回復(678)
排序:
排序:
評論于 1年前,獲得 0 個贊
評論于 10個月前,獲得 0 個贊
網絡基于協議擴展的多路徑技術有以下缺點:
技術尚未成熟:TRILL還處于預標準階段,傳統以太網交換機不能通過軟件升級支持其特性,支持SPB的設備也不豐富。
增加了交換機成本:協議擴展是一種增量的方法,它在解決一部分現代數據中心所面臨的問題時,也相應地增加了復雜性,例如處理三層協議、多播、FCoE、阻塞管理等,這都會明顯增加設備成本。
VLAN邊界問題:在TRILL網絡中跨越多個VLAN操作的開銷很大,因此為了獲得TRILL在二層協議上多路徑的優點,必須減少VLAN的數量,而這會損害VLAN在數據中心中非常重要的分段優勢。
路由計算的壓力:這主要是SPB協議的問題。由于是純軟件的解決方案,所以SPB協議面臨的最大困擾是軟件計算轉發路徑的效率問題,尤其在多路徑負載分擔時,其對CPU的計算壓力遠遠超過TRILL和FabricPath,因此實際轉發效率令人存疑。
端到端阻塞管理復雜:以TRILL協議為例,TRILL Campus的地址平臺與TRILL邊緣的地址平臺是不同的,因此核心網絡中檢測到的阻塞必須通過信號發送和轉發到阻塞源端(終端主機)。但TRILL協議的核心并不知道終端所在,它只知道TRILL邊緣RBridge,因此,傳統的阻塞管理計劃無法被有效支持。
評論于 9個月前,獲得 0 個贊
相比于攻擊方來說防守方處于弱勢主要體現在以下四方面:
進攻方可以隨意在攻擊面選取任何一點攻破防御。
防守方缺乏有效的檢測手段發現高級攻擊組織經常使用的若干0day漏洞發起的攻擊。
高水平的攻擊方會使用各種復雜的跳板、混淆和加密技術,繞過防守方掌握的攻擊特征檢測方法,這意味著即使防守方掌握了足夠多的攻擊特征,依然不可能防住攻擊方的所有攻擊。
即使防守方檢測到了像0day漏洞和惡意代碼之類的單點攻擊,也不能形成一個攻擊矢量,防守方依然不清楚攻擊方的真實目標、下一步攻擊會在哪里、下一步會使用什么方法,既無助于對其整個過程進行全面的分析,也難以有效地指導防御工作。
評論于 7個月前,獲得 0 個贊
手機APP的安全問題有如下:
不安全的數據存儲是最常見的問題,這在76%的移動應用程序中都有發現。不安全的數據存儲會將密碼、財務信息、個人數據和通信暴露在風險中。
通過惡意軟件,89%的漏洞可以被黑客利用。這意味著黑客幾乎不需要訪問智能手機就能竊取數據。
大多數漏洞是由安全機制漏洞導致的,不僅是APP本身,而且是服務器上的漏洞。服務器由開發人員托管并與APP進行通信。研究人員在74%的iOS應用程序和57%的安卓應用程序中發現了這樣的漏洞,其中42%的服務器端組件存在這種漏洞。
防止個人信息因為app遭到泄露的方法如下:
首先建議在正規的渠道去下載app,防止下載到的app被修改編譯過,不是原版應用;
如果沒特殊要求不建議將手機進行root處理;
在安裝app看好其要求的開放權限,沒有必要的權限可進行關閉,如定位、讀取手機聯系人等;
可在手機上安裝合適的殺毒軟件,定期進行查殺并清理沒用的軟件、程序包等;
定期升級相關app,修復老版本存在的bug。
評論于 10個月前,獲得 0 個贊
虛擬機規劃部署時需要注意以下這些問題:
除非確實需要多個虛擬CPU(vCPU),否則默認配置一個,使用盡可能少的虛擬CPU。操作系統必須支持對稱多處理(SMP)功能。應用必須是多線程的,才能受益于多個虛擬CPU。虛擬CPU的數量不得超過主機上物理CPU核心(或超線程)的數量。
不要規劃使用主機的所有CPU或內存資源,在設計中保留一些可用資源。要實現虛擬機內存性能最優化,關鍵是在物理RAM中保留虛擬機的活動內存,應避免過量分配活動內存。
始終將透明頁共享保持啟用狀態,始終加載VMware Tools并啟用內存釋放。資源池CPU和內存份額設置不能用于配置虛擬機優先級。資源池可用于為虛擬機分配專用CPU和內存資源。
部署一個系統磁盤和一個單獨的應用數據磁盤。如果系統磁盤和數據磁盤需要相同的I/O特征(RAID級別、存儲帶寬和延遲),應將它們放置在同一個數據存儲中。應用要求應作為向虛擬機分配資源的主要指標。使用默認設置部署虛擬機,明確采用其他配置的情況除外。
像保護物理機一樣保護虛擬機的安全。確保為虛擬基礎架構中的每個虛擬機啟用了防病毒、反間諜軟件、入侵檢測和防火墻,確保隨時更新所有的安全保護措施。應用合適的最新補丁,要將虛擬機軟件和應用保持在最新狀態,應使用補丁程序管理工具或者安裝和配置Update Manager。
無論選擇了哪個硬件平臺,都應設計一致的平臺配置,特別是在VMware集群中。一致性包括CPU類型、內存容量和內存插槽分配、網卡和主機總線適配器類型,以及PCI插槽分配。
使用一個或多個啟用了vSphere HA和DRS(Distributed Resource Scheduler)的集群,以增加可用性和可擴展性。使用橫向擴展還是縱向擴展集群由集群用途、基礎架構規模、vSphere限制以及資金和運營成本等因素確定。
評論于 9個月前,獲得 0 個贊
信息系統中的脆弱點:
物理脆弱點:計算機系統物理方面的安全問題主要表現在物理可存取、電磁泄露等方面。此外,物理安全問題還包括設備的環境安全、位置安全、限制物理訪問、物理環境安全和地域因素等。例如機房安排的設備數量超過了空調的承載能力,移動存儲器小巧易攜帶、即插即用、容量大等特性實際上也是這類設備的脆弱性。本書將在第2章進一步討論物理脆弱點及對策。
軟件系統脆弱點:計算機軟件可分為操作系統軟件、應用平臺軟件(如數據庫管理系統)和應用業務軟件3類,以層次結構構成軟件體系。操作系統軟件處于基礎層,它維系著系統硬件組件協調運行的平臺,因此操作系統軟件的任何風險都可能直接危及、轉移或傳遞到應用平臺軟件。
網絡和通信協議脆弱點:人們在享受因特網技術給全球信息共享帶來的方便性和靈活性的同時必須認識到,基于TCP/IP協議棧的因特網及其通信協議存在很多的安全問題。TCP/IP協議棧在設計時,只考慮了互聯、互通和資源共享的問題,并未考慮也無法同時解決來自網絡的大量安全問題。
人的脆弱點:人是信息活動的主體,人的因素其實是影響信息安全問題的最主要因素。
信息系統中的脆弱點的防護措施如下:
區域規劃:在局域網絡內,對不同的信息進行區域規劃,執行嚴格的授權訪問機制。將擁有不同安全訪問權限的用戶劃分至不同的VLAN,并在Trunk端口限制授權訪問的VLAN,將一些敏感信息與其他子網絡相隔離。
集中保存在文件服務器:將所有敏感信息都集中保存在網絡內的文件服務器中,既可以有效保證敏感信息的存儲安全,又可以保證在共享文件的同時,嚴格控制其訪問權限。需要注意的是,應杜絕將敏感信息保存在個人計算機上。
制定嚴格的文件訪問權限:敏感文件必須存儲在NTFS系統分區,并且為不同用戶或用戶組設置嚴格的NTFS文件權限、NTFS文件夾權限和共享文件權限。
安裝RMS服務:嚴格限制對敏感文件的操作。權限管理服務作為組織內的權限策略管理系統提供一個平臺,是在組織中搭建權限管理系統的重要組成部分。
其他基于交換機和路由器的安全措施:采用IEEE 802.1x身份認證、IP地址與MAC地址綁定、安全端口、IP或MAC地址訪問列表等技術,限制用戶登錄到網絡,或者限制其對敏感區域的訪問。
安裝殺毒軟件:計算機病毒有以下五種特征:寄生性、傳染性、破壞性、可觸發性、可潛伏性。根據計算機病毒的特征,人們摸索出了許多檢測計算機病毒和殺毒的軟件。國內的有瑞星、KV3000、金山毒霸、360 殺毒軟件等,國外的有諾頓、卡巴斯基等。但是,沒有哪種殺毒軟件是萬能的,所以當本機的殺毒軟件無法找到病毒時,用戶可以到網上下載一些專殺工具,如木馬專殺工具、蠕蟲專殺工具或宏病毒專殺工具等。值得注意的是,安裝了殺毒軟件后,我們還必須每周至少更新一次殺毒軟件病毒庫,因為防病毒軟件只有最新才是最有效的。每周還要對電腦硬盤進行一次全面的掃描、殺毒,以便及時發現并清除隱藏在系統中的病毒。當不慎感染上病毒時,應立即將殺毒軟件升級到最新版本,然后對整個硬盤進行掃描,清除一切可以查殺的病毒。當受到網絡攻擊時,我們的第一反應就是拔掉網絡連接端口以斷開網絡。
安裝網絡防火墻:所謂 “防火墻” 是指一種將內部網和公眾訪問網分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你 “同意” 的人和數據進入你的網絡,同時將你 “不同意” 的人和數據拒之門外,最大限度地阻止網絡中的黑客訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。常見的個人網絡防火墻有天網防火墻、瑞星防火墻和 360 安全衛士等。
數據加密:數據加密作為一項基本技術是所有通信安全的基石。數據加密過程是由形形色色的加密算法來具體實施的,它以很小的代價來提供很大的安全保護。在多數情況下,數據加密是保證信息機密性的惟一方法。一般把受保護的原始信息稱為明文,編碼后的稱為密文。數據加密的基本過程包括對明文進行翻譯,譯成密文或密碼的代碼形式。該過程的逆過程為解密,即將該加密的編碼信息轉化為原來的形式的過程。機密資料被加密后,無論是被人通過復制數據、還是采用網絡傳送的方式竊取過去,只要對方不知道你的加密算法,該機密資料就成了毫無意義的亂碼一堆。常見的加密軟件有 SecWall、明朝萬達、完美數據加密大師等。
警惕 “網絡釣魚”:“網絡釣魚” 是通過大量發送聲稱來自于銀行或其他知名機構的欺騙性垃圾郵件,意圖引誘收信人給出敏感信息的一種攻擊方式。黑客就是利用這種欺騙性的電子郵件和偽造的 web 站點來進行網絡詐騙活動,受騙者往往會泄露自己的私人資料,如信用卡號、銀行卡賬戶、身份證號等內容。黑客通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌,騙取用戶的私人信息。對此,用戶應該提高警惕,不登錄不熟悉的網站,鍵入網站地址時要認真校對,以防輸入錯誤誤入圈套。
評論于 5個月前,獲得 0 個贊
防火墻按技術有以下分類:
包過濾防火墻:采用這種技術的防火墻產品,通過在網絡中的適當位置對數據包進行過濾,根據檢查數據流中每個數據包的源地址、目的地址、所有的TCP端口號和TCP鏈路狀態等要素,然后依據一組預定義的規則,以允許合乎邏輯的數據包通過防火墻進入到內部網絡,而將不合乎邏輯的數據包加以刪除。
代理服務器防火墻:代理服務器運行在兩個網絡之間,它對于客戶來說像是一臺真的服務器一樣,而對于外界的服務器來說,它又是一臺客戶機。當代理服務器接收到用戶的請求后,會檢查用戶請求道站點是否符合公司的要求,如果公司允許用戶訪問該站點的話,代理服務器會像一個客戶一樣,去那個站點取回所需信息再轉發給客戶。
狀態監視器防火墻:這種防火墻安全特性較好,它采用了一個在網關上執行網絡安全策略的軟件引擎,稱之為檢測模塊。檢測模塊在不影響網絡正常工作的前提下,采用抽取相關數據的方法對網絡通信的隔層實施檢測,抽取部分數據,即狀態信息,并動態地保存起來作為以后指定安全決策的參考。
評論于 1年前,獲得 0 個贊
在網絡訪問過程中為了防御網絡監聽最常用的方法是對信息傳輸進行加密,常見的加密方式如下:
鏈路加密:對網絡中兩個相鄰節點之間傳輸的數據進行加密保護;
節點加密:指在信息傳輸路過的節點處進行解密和加密;
端到端加密:指對一對用戶之間的數據連續的提供保護;
算法加密:MD5加密、Base64加密、DES加密、AES加密、RSA加密、SHA1、SHA256、SHA512加密。
信息加密技術是利用數學或物理手段,對電子信息在傳輸過程中和存儲體內進行保護,以防止泄漏的技術。通信過程中的加密主要是采用密碼,在數字通信中可利用計算機采用加密法,改變負載信息的數碼結構。計算機信息保護則以軟件加密為主。
評論于 1年前,獲得 0 個贊
URL的種類有五種:
絕對URL
絕對URL可以顯示文件的完整路徑,這都包括模式、主機名和路徑。絕對url本身與被引用的文件實際位置無關,無論在哪個主機上的網頁中,某一文件的絕對URL都是完全一樣的。當引用別人服務器上的文件時,最好使用絕對URL。
相對ULR
相對ULR是以包含ULR本身文件夾的位置為參考,描述目標文件或者文件夾的位置。如果目標文件與當前頁面在同一個目錄,那么這個文件的相對ULR僅僅是文件名的擴展名。如果目標文件在當前目錄的子目錄中,那么它的相對ULR是子目錄名,然后是目標文件的文件名和擴展名。
靜態ULR
靜態url的每一個頁面都是真實存在的,每一個靜態的url頁面內容都是固定的,不會因為其它頁面的內容改變而改變,另外靜態url頁面也是屬于容易被搜索引擎抓取收錄的頁面。靜態ULR的后綴不僅僅是html,還包括htm、shtml、jhtml。
動態ULR
動態url頁面不同于靜態頁面,動態頁面內容會隨著網站某個地方的內容改變而改變,可以很大程度上節省時間效率,因為修改一個地方,其它頁面就會做出相對應的改變,但是動態頁面想比靜態頁面不利于搜索引擎抓取,并且動態的url路徑一般比較長,所以在抓取方面也給百度蜘蛛制造出了困難。URL中出現“?”這樣的參數符號,并以aspx、asp、jsp、php、Perl、cgi為后綴的ULR。
偽靜態url
偽靜態的url頁面,偽靜態頁面介于動態頁面與靜態頁面之前,算是吸納了另外兩種頁面的優點,可以修改為調用統一調取,也可以鎖定某一個頁面不讓其發生改變,所以還是比較不錯的頁面。
評論于 10個月前,獲得 0 個贊
網絡數據中心OTV技術有以下優勢:
不影響現有的網絡設計:OTV通過連接疊加(Overlay)方式避免了對物理鏈路種類的限制,借鑒IS-IS協議實現在控制平面的MAC地址學習消除了傳統二層網絡洪泛機制的弊端,而基于動態封裝方式的隧道傳輸能夠有效地降低管理難度。
采用單一的協議:并內置了用于實現多宿主、環路避免、負載均衡、多通道等需求的功能,可通過配置實現而不需要額外的輔助機制。在多宿主支持方面,OVT能夠對站點內的多宿主進行完全自動的探測,并且不需要任何額外的協議和配置。每個宿主都有相應的邊緣設備承載站點內的各個VLAN。站點內的各個邊緣設備能夠互相發現,同時在一組VLAN中可以選擇一個邊緣設備作為AED(Authoritative Edge Device)用于管理針對各個VLAN的MAC地址通告并轉發相應的VLAN數據。
支持故障隔離確保站點獨立:OTV不依賴洪泛機制擴散MAC地址的可達性信息,ARP流量則由控制平臺轉發。同時,STP的BPDU(Bridge Protocol Data Unit)數據只在站點內傳輸,不會發生故障擴散。它的使用對各個站點內部的STP拓撲不做任何改變,同時邊緣設備只能在其內部接口上發送和接收BPDU,限制了STP的生成范圍。
能夠很好地支持虛擬機的MAC地址在不同站點之間的遷移:當虛擬機遷移后,原站點的AED會和遷移后站點的AED通過ARP消息交互,并將該GARP幀轉發給站點內的二層交換機以更新它們的CAM表,從而實現MAC地址的無縫遷移。
具有優化的帶寬利用率:能夠自動識別和使用多宿主和多通道連接。所有的機制都是OTV內置并可自動激活的,具有較高的健壯性。
支持很高的可擴展性:OTV并不采用固定的靜態通道,僅需要維護MAC表用于基于MAC地址的路由,而對于在數據包交換過程中產生的狀態則不需要保存和管理。
評論于 9個月前,獲得 0 個贊
DHCP服務包括以下階段:
發現階段:即DHCP客戶機尋找DHCP服務器的階段。DHCP客戶機以廣播方式(因為DHCP服務器的IP地址對于客戶機來說是未知的)發送DHCPdiscover發現信息來尋找DHCP服務器,即向地址255.255.255.255發送特定的廣播信息。網絡上每一臺安裝了TCP/IP的主機都會接收到這種廣播信息,但只有DHCP服務器才會做出響應。
提供階段:即DHCP服務器提供IP地址的階段。在網絡中接收到DHCPdiscover發現信息的DHCP服務器都會做出響應,它從尚未出租的IP地址中挑選一個分配給DHCP客戶機,向DHCP客戶機發送一個包含出租的IP地址和其他設置的DHCPoffer提供信息。
選擇階段:即DHCP客戶機選擇某臺DHCP服務器提供的IP地址的階段。如果有多臺DHCP服務器向DHCP客戶機發來的DHCPoffer提供信息,則DHCP客戶機只接受第一個收到的DHCPoffer提供信息,然后它就以廣播方式回答一個DHCPrequest請求信息,該信息中包含向它所選定的DHCP服務器請求IP地址的內容。之所以要以廣播方式回答,是為了通知所有的DHCP服務器,它將選擇某臺DHCP服務器所提供的IP地址。
確認階段:即DHCP服務器確認所提供的IP地址的階段。當DHCP服務器收到DHCP客戶機回答的DHCPrequest請求信息之后,它便向DHCP客戶機發送一個包含它所提供的IP地址和其他設置的DHCPack確認信息,告訴DHCP客戶機可以使用它所提供的IP地址,然后DHCP客戶機便將其TCP/IP與網卡綁定。另外,除DHCP客戶機選中的服務器外,其他的DHCP服務器都將收回曾提供的IP地址。
重新登錄:以后DHCP客戶機每次重新登錄網絡時,就不需要再發送DHCPdiscover發現信息了,而是直接發送包含前一次所分配的IP地址的DHCPrequest請求信息。當DHCP服務器收到這一信息后,它會嘗試讓DHCP客戶機繼續使用原來的IP地址,并回答一個DHCPack確認信息。如果此IP地址已無法再分配給原來的DHCP客戶機使用時(如此IP地址已分配給其他DHCP客戶機使用),則DHCP服務器給DHCP客戶機回答一個DHCPnack否認信息。當原來的DHCP客戶機收到此DHCPnack否認信息后,它就必須重新發送DHCPdiscover發現信息來請求新的IP地址。
更新租約:DHCP服務器向DHCP客戶機出租的IP地址一般都有一個租借期限,期滿后DHCP服務器便會收回出租的IP地址。如果DHCP客戶機要延長其IP租約,則必須更新其IP租約。DHCP客戶機啟動時和IP租約期限過一半時,DHCP客戶機都會自動向DHCP服務器發送更新其IP租約的信息。
評論于 1年前,獲得 0 個贊
防火墻的測試性能參數包括以下這些:
吞吐量(Throughput):
吞吐量是衡量一款防火墻或者路由交換設備的最重要的指標,它是指網絡設備在每一秒內處理數據包的最大能力。吞吐量意味這臺設備在每一秒以內所能夠處理的最大流量或者說每一秒內能處理的數據包個數。設備吞吐量越高,所能提供給用戶使用的帶寬越大,就像木桶原理所描述的,網絡的最大吞吐取決于網絡中的最低吞吐量設備,足夠的吞吐量可以保證防火墻不會成為網絡的瓶頸。舉一個形象的例子,一臺防火墻下面有100個用戶同時上網,每個用戶分配的是10Mbps的帶寬,那么這臺防火墻如果想要保證所有用戶全速的網絡體驗,必須要有至少1Gbps的吞吐量。吞吐量的計量單位有兩種方式:常見的就是帶寬計量,單位是Mbps(Megabits per second)或者Gbps(Gigabits per second),另外一種是數據包處理量計量,單位是pps(packets per second),兩種計量方式是可以相互換算的。在進行對一款設備進行吞吐性能測試時,通常會記錄一組從64字節到1518字節的測試數據,每一個測試結果均有相對應的pps數。64字節的pps數最大,基本上可以反映出設備處理數據包的最大能力。所以從64字節的這個數,基本上可以推算出系統最大能處理的吞吐量是多少。
時延(Latency):
時延是系統處理數據包所需要的時間。防火墻時延測試指的就是計算它的存儲轉發(Store and Forward)時間,即從接收到數據包開始,處理完并轉發出去所用的全部時間。在一個網絡中,如果我們訪問某一臺服務器,通常不是直接到達,而是經過大量的路由交換設備。每經過一臺設備,就像我們在高速公路上經過收費站一樣都會耗費一定的時間,一旦在某一個點耗費的時間過長,就會對整個網絡的訪問造成影響。如果防火墻的延時很低,用戶就完全不會感覺到它的存在,提升了網絡訪問的效率。時延的單位通常是微秒,一臺高效率防火墻的時延通常會在一百微秒以內。時延通常是建立在測試完吞吐量的基礎上進行的測試。測試時延之前需要先測出每個包長下吞吐量的大小,然后使用每個包長的吞吐量結果的 90%-100%作為時延測試的流量大小。一般時延的測試要求不能夠有任何的丟包。因為如果丟包,會造成時延非常大,結果不準確。我們測試一般使用最大吞吐量的95%或者90%進行測試。測試結果包括最大時延,最小時延,平均時延,一般記錄平均時延。
新建連接速率(Maximum TCP Connection Establishment Rate):
新建連接速率指的是在每一秒以內防火墻所能夠處理的HTTP新建連連接請求的數量。用戶每打開一個網頁,訪問一個服務器,在防火墻看來會是1個甚至多個新建連接。而一臺設備的新建連接速率越高,就可以同時給更多的用戶提供網絡訪問。比如設備的新建連接速率是1萬,那么如果有1萬人同時上網,那么所有的請求都可以在一秒以內完成,如果有1萬1千人上網的話,那么前1萬人可以在第一秒內完成,后1千個請求需要在下一秒才能完成。所以,新建連接速率高的設備可以提供給更多人同時上網,提升用戶的網絡體驗。新建連接速率雖然英文用的是TCP,但是為了更接近實際用戶的情況,通常會采用HTTP來進行測試,測試結果以連接每秒(connections per second)作為單位。為什么針對防火墻要測試這個數據呢?因為我們知道防火墻是基于會話的機制來處理數據包的,每一個數據包經過防火墻都要有相應的會話來對應。會話的建立速度就是防火墻對于新建連接的處理速度。新建連接的測試采用4-7層測試儀來進行,模擬真實的用戶和服務器之間的HTTP教過過程:首先建立三次握手,然后用戶到HTTP服務器去Get一個頁面,最后采用三次握手或者四次握手關閉連接。測試儀通過持續地模擬每秒大量用戶連接去訪問服務器以測試防火墻的最大極限新建連接速率。
并發連接數(Concurrent TCP Connection Capacity):
并發連接數就是指防火墻最大能夠同時處理的連接會話個數。并發連接數指的是防火墻設備最大能夠維護的連接數的數量,這個指標越大,在一段時間內所能夠允許同時上網的用戶數越多。隨著web應用復雜化以及P2P類程序的廣泛應用,每個用戶所產生的連接越來越多,甚至一個用戶的連接數就有可能上千,更嚴重的是如果用戶中了木馬或者蠕蟲病毒,更會產生上萬個連接。所以顯而易見,幾十萬的并發連接數已經不能夠滿足網絡的需求了,目前主流的防火墻都要求能夠達到幾十萬甚至上千萬的并發連接以滿足一定規模的用戶需求。并發連接數雖然英文用的是TCP,但是為了更接近實際用戶的情況,通常會采用HTTP來進行測試。它是個容量的單位,而不是速度。測試結果以連接(connections)作為單位。基本測試的方法和HTTP新建連接速率基本一致,主要的區別在于新建連接測試會立刻拆除建立的連接,而并發連接數測試不會拆除連接,所有已經建立的連接會保持住直到達到設備的極限。
評論于 1年前,獲得 0 個贊
漏洞的基本分類有七種:
程序邏輯結構漏洞
這種類型的漏洞有可能是編程人員在編寫程序時,因為程序的邏輯設計不合理或者錯誤而造成的程序邏輯漏洞。這種類型的漏洞最典型的要數微軟的Windows 2000用戶登錄的中文輸入法漏洞。非授權人員可以通過登錄界面的輸入法的幫助文件繞過Windows的用戶名和密碼驗證而取的計算機的最高權限。
這種類型的漏洞也有可能是合法的程序用途被黑客利用去做不正當的用途。這種類型的漏洞最典型的就是后面案例中提到的Winrar的自解壓功能,程序設計者的本意是為了方便用戶的使用,使得沒有安裝Winrar的用戶也可以解壓經過這種方式壓縮的文件。但是這種功能被黑客用到了不正當的用途上。
這種漏洞用一個比喻可能更容易理解。打一個比方來說,你開了一扇門,在門上開了一個狗洞,專門為了狗方便出入。正常情況下,人應該用鑰匙打開鎖才能進來。可是有個家伙他發現利用某個竅門人也可以從狗洞進出,那么這個從狗洞進出的方法就可以看著是一個安全漏洞。
程序設計錯誤漏洞
還有一種類型的漏洞是編程人員在編寫程序時由于技術上的疏忽造成的漏洞。這種類型的漏洞最典型的是緩沖區溢出漏洞,它也是被黑客利用得最多的一種類型的漏洞。
開放式協議造成的漏洞
目前,國際互聯網的通信采用的是具有開放性的TCP/IP協議。因為TCP/IP協議的最初設計者在設計該通信協議時,只考慮到了協議的實用性,而沒有考慮到協議的安全性,所以在TCP/IP協議中存在著很多漏洞。比如說,利用TCP/IP協議的開放和透明性嗅探網絡數據包,竊取數據包里面的用戶口令和密碼信息;TCP協議三次握手的潛在缺陷所導致的DDOS拒絕服務攻擊等。
人為因素造成的漏洞
一個系統如果本身設計得很完善,安全性也很高,但管理人員安全意識淡薄,同樣的會給系統留下漏洞。譬如說,系統本身非常完備安全,但系統登錄所需要的管理 員帳戶或口令,可是因為設置過于得簡單而被黑客猜解出來了,那么其他的環節再安全也沒有絲毫意義;再或者雖然管理員設置了很復雜的密碼,可是他把密碼寫在 一張紙上,并隨手扔到廢紙簍里,那么也同樣有可能造成密碼泄露而導致系統被黑客入侵。
已知漏洞
已知漏洞是指已經被人們發現,并被人們廣為傳播的公開漏洞。這種類型的特點是漏洞形成的原因和利用方法已經被眾多的安全組織、黑客和黑客組織所掌握。安全 組織或廠商按照公布的漏洞形成原因和利用方法,在他們的安全防護產品中或安全服務項目加入針對相應類型漏洞的防護方法。黑客和黑客組織利用公布的漏洞形成 原因,寫出專門的具有針對性的漏洞利用程序文件,并能繞過安全防護軟件。比如說針對某個IE瀏覽器版本的IE漏洞利用文件,或者他們干脆利用一些漏洞公布站點上提供的漏洞利用程序文件并不加任何修改地去攻擊互聯網上的計算機。
產生漏洞的軟件的開發商則會針對被公開的漏洞的信息,修補他們開發的程序以供他們的用戶修補已經存在漏洞的軟件。
未知漏洞
未知的漏洞則是指那些已經存在但還沒有被人發現的漏洞,這種類型漏洞的特征是雖然它們沒有被發現,但它們在客觀上已經存在了,它們帶給計算機網絡安全的是隱蔽的威脅。如果它們哪一天被黑客有意或無意的找出來后就會對計算機網絡安全構成巨大的威脅。
所以軟件開發商、安全組織、黑客和黑客組織都在努力的發現漏洞,可以說誰先發現了漏洞,誰就可以掌握主動權。如果是軟件開發商和安全組織先發現了漏洞,他們就可以在安全防護上取得主動權;如果是黑客或黑客組織先發現了漏洞,他們就可以在攻擊上取得主動權。
0day漏洞
所謂0day漏 洞是指已經被發掘出來,但還沒有大范圍傳播開的漏洞,也就是說,這種類型的漏洞有可能掌握在極少數人的手里。黑客有可能在這種類型的漏洞的信息還沒有大范 圍的傳播開的時候,利用這段時間差攻擊他們想要攻擊的目標機器,因為絕大多數用戶還沒有獲取到相關的漏洞信息,也無從防御,黑客要想得手還是很容易的
評論于 9個月前,獲得 0 個贊
UDP協議即用戶數據報協議,該協議主要為應用程序提供了一種無需建立連接就可以發送封裝的 IP 數據包的方法。nternet的傳輸層有兩個主要協議無連接的是 UDP,它除了給應用程序發送數據包功能并允許它們在所需的層次上架構自己的協議之外,幾乎沒有做什么特別的事情。面向連接的是 TCP,該協議幾乎做了所有的事情。UDP協議在OSI模型中,處于IP協議的上一層,提供面向事務的簡單不可靠信息傳送服務
針對UDP Flood攻擊的防御方式都有以下這些:
基于流量入接口的限流:以某個入接口流量作為統計對象,對通過這個接口的流量進行統計并限流,超出的流量將被丟棄。
基于目的IP地址的限流:以某個IP地址作為統計對象,對到達這個IP地址的UDP流量進行統計并限流,超出的流量將被丟棄。
基于目的安全區域的限流:以某個安全區域作為統計對象,對到達這個安全區域的UDP流量進行統計并限流,超出的流量將被丟棄。
基于會話的限流:對每條UDP會話上的報文速率進行統計,如果會話上的UDP報文速率達到了告警閾值,這條會話就會被鎖定,后續命中這條會話的UDP報文都被丟棄。當這條會話連續3s或者3s以上沒有流量時,防火墻會解鎖此會話,后續命中此會話的報文可以繼續通過。
基于UDP碎片方法:判斷包大小,根據攻擊包大小設定包碎片重組大小,通常不小于1500。在極端情況下,可以考慮丟棄所有UDP碎片。
評論于 1年前,獲得 0 個贊
軟件漏洞從產生、發現、解決這些維度它可以分為:
0 day漏洞:表示已經被發現,但未被公開還未發布補丁的漏洞。
1 day漏洞:表示廠商已經發現并公開了相關補丁,但由于部分用戶還未及時打補丁,這個漏洞還是具有可利用性。
歷史漏洞:這個漏洞的補丁發布時間很久,不可利用的漏洞。
軟件漏洞的等級劃分:
低級漏洞:這類漏洞利用非常困難或影響很小。
中等漏洞:這類漏洞由于默認配置、審核或利用難度等因素大大減輕了其影響。
重要漏洞:利用此類漏洞可能會危及用戶數據的機密性、完整性或可用性,或者危及處理資源的完整性或可用性。
嚴重漏洞:利用此類漏洞,Internet病毒不需要用戶操作就可以擴散。
軟件漏洞基于成因可分類:
內存破壞類漏洞:在編程中對指針、對象或變量進行操作時,需要能夠正確判斷所操作對象的原始類型。如果使用了與原始類型不兼容的類型進行訪問操作,那么代碼就會存在安全的隱患。
邏輯錯誤類漏洞:主要源于設計者或者開發者在思考過程中做出的特殊假設存在明顯或隱含的錯誤。
輸入驗證類漏洞:漏洞來源都是由于對來自用戶輸入沒有做充分的檢查過濾就用于后續操作,絕大部分的CGI漏洞屬于此類。經常看到且威脅較大的有SQL 注入、跨站腳本執行、遠程或本地文件包含、命令注入、目錄遍歷。
設計錯誤類漏洞:系統設計上對安全機制的考慮不足導致的在設計階段就已經引入的安全漏洞。
配置錯誤類漏洞:系統運維過程中默認不安全的配置狀態,大多涉及訪問驗證的方面。
