安全网络架构

Posted 2022-02-26 counders

1．假如你是某企业的信息部门的主管，你该如何建设管理公司的信息安全体系？

（1）首先是确立管理体系适用的范围：需要覆盖公司的各个职能部门，也可以覆盖公司信息系统相连的外部机构，如供应商、合作伙伴等。同时从系统层次考虑覆盖网络系统、服务器平台系统、应用系统、数据、安全管理以及支撑信息系统的场所和所处的周边环境及场所内保障计算机系统正常运行的设施设备等。
（2）安全风险评估：主要包括企业安全管理类的评估和企业安全技术类的评估。
（3）规划体系建设方案：规划体系建设方案是在风险评估的基础上，对企业中存在的安全风险提出安全建议，增强系统的安全性和抗攻击性。
（4）信息安全体系的建设与运行：体系建设是在信息安全模型预企业信息化的基础上建立的，体系应该兼顾内外安全的功能。规划信息安全技术可以从安全基础设施、网络、系统、应用等四个方面进行规划。
（5）改进：ISO27001认证标准的信息安全管理体系文件编制完成以后，按照文件控制的要求进行审核批准，向各部门发放先行有效的体系文件，保留体系运行过程中的记录，并定期进行内审和管理评审，对不符合或潜在不符合项进行纠正和预防措施，不断改进信息安全管理体系。

2．有两台PC，分别为PC1和PC2。其中PC1的IP地址为10.1.30.10，MAC地址为A；PC2的IP地址为10.1.30.20，MAC地址为B。假如PC1通过QQ向PC2发送消息，请描述两台PC之间的通信过程？

（1）PC1的数据在应用层进行封装，成为数据报文，
（2）数据报文经过表示层 会话层 传输层进行数据编码，会话协商及传输通道协商后送到网络层进行封装，转变为数据包
（3）打上IP包头源地址10.1.30.10，目的地址10.1.30.20，然后经过数据链路层打上帧头源MAC A，目的MAC B，封装成数据帧
（4）最后数据帧送往物理层，传输到路由器，通过查找路由表来确定目的ip地址的下一跳，再传输到下一跳直到PC2
（5）PC2层层解封装，最后转化为QQ应用程序识别的数据报文

3.防火墙安全区域有哪些？分别用在哪里？

 Trust:该区域内网络的受信任程度高，通常用来定义内部用户所在的网络。
 Untrust:该区域代表的是不受信任的网络，通常用来定义Internet 等不安全的网络。
 DMZ（Demilitarized非军事区）:该区域内网络的受信任程度中等，通常用来定义内部服务器所在的网络。
 Local:防火墙上提供了Local 区域，代表防火墙本身。比如防火墙主动发起的报文以及抵达防火墙自身的报文

4.服务器按照外观分类有哪几种服务器？

 机架式服务器
满足企业的密集部署，形成的以19英寸机架作为标准宽度的服务器类型，高度则从1U到数U。将服务器放置到机架上，并不仅仅有利于日常的维护及管理，也可能避免意想不到的故障。首先，放置服务器不占用过多空间。机架服务器整齐地排放在机架中，不会浪费空间。其次，连接线等也能够整齐地收放到机架里。电源线和LAN线等全都能在机柜中布好线，可以减少堆积在地面上的连接线，从而防止脚踢掉电线等事故的发生。

 刀片式服务器
是一种HAHD的低成本服务器平台，是专门为特殊应用行业和高密度计算机环境设计的，其中每一块“刀片”实际上就是一块系统母板，类似于一个个独立的服务器。在这种模式下，每一个母板运行自己的系统，服务于指定的不同用户群，相互之间没有关联。不过可以使用系统软件将这些母板集合成一个服务器集群。在集群模式下，所有的母板可以连接起来提供高速的网络环境，可以共享资源，为相同的用户群服务。

 塔式服务器
一般的塔式服务器机箱和我们常用的PC机箱差不多，而大型的塔式机箱就要粗大很多，总的来说外形尺寸没有固定标准。

5.描述DDOS攻击原理？

分布式拒绝服务攻击，是典型的流量型攻击。DDos分布式（并行的，多台电脑同时攻击）拒绝服务攻击。对源IP地址进行伪造，发送给对方之后以为是没问题的就放心接受，隐蔽性比较好，攻击防护检测困难，攻击方式难以防范。
DDoS攻击是指攻击者通过各种手段，取得了网络上大量在线主机的控制权限。这些被控制的主机称为僵尸主机，攻击者和僵尸主机构成的网络称为僵尸网络。当被攻击目标确定后，攻击者控制僵尸主机向被攻击目标发送大量精心构造的攻击报文，造成被攻击者所在网络的链路拥塞、系统资源耗尽，从而使被攻击者产生拒绝向正常用户的请求提供服务的效果。

根据采用的攻击报文类型的不同，网络中目前存在多种DDoS攻击类型，主要有以下这几种常见的DDoS攻击：SYN Flood、UDP Flood、ICMP Flood、HTTP Flood、HTTPS Flood、DNS Flood等。

6.杀毒软件有哪些关键技术？

 脱壳技术：可以对压缩文件、加花文件、加壳文件、分装类文件进行分析的技术。
 自我保护技术：防止病毒结束杀毒软件的运行进程或者篡改杀毒软件文件。
 修复技术：可以对损坏的文件进行修复。实时升级技术，对病毒库进行实时更新。
 主动防御技术：通过仿真反病毒系统对程序的动作和一些文件进行监控，实现自动判断病毒，进行主动防御。
 实施升级技术：病毒和杀毒软件就像是矛和盾一样，只不过矛的发展更为迅速，因此杀毒软件的病毒库一般是滞后于计算机病毒的。那么病毒库的实时更新就显得尤为重要了。

7.如图，内网DMZ有个服务器，外网Untrust有个用户想要访问内网服务器，源IP地址为2.2.2.5,目的IP为202.20.1.5，防火墙通过NAT转换，将目的IP地址转换为真实的192.168.1.5，这样有什么问题吗？如何解决？

外网用户访问的内网服务器；内网服务器回应也要封装数据，由于防火墙只配置的NAT Server，只能转化成服务器地址，不能转化成2.2.2.5回复不过去。所以在NAT Server加上源NAT，把2.2.2.5转化一个私网地址192.168.1.1，回复的就变成了192.168.1.1，不用再额外配置路由，防火墙再把1.1转化成2.2.2.5，不用配置服务器到公网的路由，直接源MAT 转化为私网地址。

8. 防火墙双机热备的备份方式有哪些？

 自动备份：master的配置和状态信息，自动同步到backup
 手工批量备份：主备无法自动同步，手动命令备份
 快速备份：仅用于负载均衡模式，不同步配置，仅同步状态

9. 在某企业中允许192.168.5.0/24网段的员工访问Internet，但是在此网段中192.168.5.2、192.168.5.3和192.168.5.6的这几台PC对安全性要求较高，不允许上网。请问配置思路是什么？

一.配ip（防火墙，pc接口）
二．配置接口（加入trust和untrust）
进入安全区域:firewall zone trust
【FW】firewall zone trust
将接口加入trust区域：add interface 接口
[FW-zone-trust] add interface 接口
三.配安全策略
创建拒绝特殊的几个IP地址访问Internet的安全策略规则
[NGFW]security-policy [NGFW-policy-security]rule name celue1 [NGFW-policy-security-rule-celue1]source-zone trust [NGFW-policy-security-rule-celue1]destination-zone untrust [NGFW-policy-security-rule-celue1]source-address 192.168.5.2 32 [NGFW-policy-security-rule-celue1]source-address 192.168.5.3 32 [NGFW-policy-security-rule-celue1]source-address 192.168.5.6 32 [NGFW-policy-security-rule-celue1]action deny 创建允许192.168.5.0/24网段访问Internet的安全策略规则
[NGFW]security-policy [NGFW-policy-security]rule name celue2 [NGFW-policy-security-rule-celue2]source-zone trust [NGFW-policy-security-rule-celue2]destination-zone untrust [NGFW-policy-security-rule-celue2]source-address 192.168.5.0 24
[NGFW-policy-security-rule-celue2]action permit 四.匹配动作

10.病毒、蠕虫和木马三者的关系和区别？

蠕虫是病毒的一种，木马严格意义上不属于病毒。
病毒、蠕虫和木马是可导致您的计算机和计算机上的信息损坏的恶意程序。它们可能使你的网络和操作系统变慢，危害严重时甚至会完全破坏系统，并且，它们还可能使用您的计算机将它们自己传播给朋友、家人、同事以及 Web 的其他地方，在更大范围内造成危害。这三种东西都是人为编制出的恶意代码，都会对用户照成危害，人们往往将它们统称作病毒。
区别

病毒：编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或程序代码。可以自动执行。它通常将自己的代码置于另一个程序的执行路径中（附着于宿主程序）可以进行自我复制。

特点

 很强的感染性
 一定隐蔽性
 一定的潜伏性
 特定的触发性
 不可预见性
 很大的破坏性
蠕虫：一种通过网络传播的恶性病毒
特点
 它的入侵对象是整个互联网上的电脑
 不采用将自身复制在租住程序的方式传播
 通过互联网传播，极强的传染性、破坏性

木马：指那些表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。它是具有欺骗性的文件(宣称是良性的，但事实上是恶意的)，是一种基于远程控制的黑客工具，具有隐蔽性和非授权性的特点。
特点
 不直接对计算机软硬件进行破坏式攻击
 信息的窃取或控制电脑
 拥有更强的隐蔽性和欺骗性。