防火墙|WAF|漏洞|网络安全

防火墙|WAF|漏洞|网络安全

在这里插入图片描述

防火墙

根据内容分析数据包:

1、源IP和目的IP地址
2、有效负载中的内容。
3、数据包协议(例如,连接是否使用 TCP/IP 协议)。
4、应用协议(HTTP、Telnet、FTPDNSSSH 等)。
5、表明特定网络攻击的数据模式。

功能

地址转换、网络环境支持、带宽管理功能、入侵检测和攻击防御、用户认证、高可用性、

分类

防火墙工作于OSI模型层次越高,检查数据包中的信息就越多,消耗的工作周期越长,提供的安全保护等级就越高
基于部署方式分,有三种:
1、软件防火墙
直接部署在主机设备上,只保护一台主机
2、硬件防火墙
单独的硬件,用于过滤进出网络的流量,适合大型企业
3、基于云的防火墙
通过Internet按需要提供,Faas防火墙即服务,

基于操作方法的防火墙分,有n种:
1、包过滤防火墙
充当网络层的检查站点,OSI第三层网络层,
2、电路级网关
OSI第五层会话层,监视本地和远程主机之间的TCP握手,仅处理请求的事务,并拒绝所有其他流量。不检查数据包
3、状态检测防火墙
OSI第三层和第四层:网络层和传输层,监控传入传出的数据包,检查源IP、目的IP和端口号
4、代理防火墙/应用级网关
具有深度包检测的功能(DPI)
5、下一代防火墙(NGFW)
将其他防火墙的多种功能集成在一起的安全设备或程序

对于数据流防火墙处理方式:
1、允许数据通过
2、拒绝数据流通过,并且向发送者发送数据流已经被拒绝
3、将数据流丢弃,此时防火墙不会对数据进行任何处理,也不会发送任何信息给发送者

性能指标

吞吐量(每一秒内处理数据包的最大能力),越大性能越高
时延(系统处理数据包所需要的时间),越小性能越高
丢包率(数据应转发但是未转发的百分比),越小性能越高
并发连接数量(最大能够同时处理的连接会话个数,一个链接就是一个TCP/UDP的访问),越大性能越高
新建链接速率(每一秒以内防火墙所能够处理的 HTTP 新建连连接请求的数量),越大性能越高

WAF ( Web Application Firewall ) 网络应用防火墙

一种HTTP入侵检测和防御系统,可以视为用户和应用程序本身之间的中介,通信到达应用程序或者用户之间对其分析,WAF处于第OSI模型第七层,应用层

用处

  • 过滤HTTP/HTTPS协议流量,防护Web攻击。
  • WAF可以对Web应用进行安全审计
  • WAF可以防止CC攻击(针对Web服务的攻击,模仿正常用户请求耗尽服务器资源)
  • 应用交付

不能

  • WAF不能过滤其他协议流量,如FTP、PoP3协议
  • WAF不能实现传统防护墙功能,如地址映射
  • WAF不能防止网络层的DDoS攻击
  • 防病毒

特点

  • 具备威胁感知能力
  • 具备HTTP/HTTPS深度检测能力. 检出率高,误报率低/漏报率低
  • 高性能
  • 复杂环境下高稳定性

IPS入侵防御系统

一种网络安全设备,监视网络流量,并且根据预定义的规则和策略检测阻止可能的网络攻击,可以部署在网络边界(不同安全级别的网络之间的连接形成了网络边界)、数据中心、云环境、边界防火墙等位置部署,以防止来自外部和内部网络的攻击。

漏洞

漏洞是指一个系统存在的弱点或缺陷,系统对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。

1-弱口令

使用容易被盗取/套取的密码

2-SQL注入

Web应用向后端传递SQL语句进行数据库操作时,若对用户输入参数没有经过严格的过滤处理,那么攻击者就可以通过构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。

防御

通过预设定SQL语句,加上PrepareStatement函数获取用户输入作为参数,拼接到SQL语句中,而不是直接将用户输入作为参数。

3-文件上传

攻击者可能上传恶意文件到服务器,若服务器未对上传文件进行严格的验证和过滤,就可能导致攻击方获取执行服务端命令的能力

防御
  • 文件上传目录设置不可执行
  • 判断文件类型是否合法
  • 使用安全设备防御

4-XSS攻击(跨站脚本攻击)

攻击者在网页中嵌入客户端脚本(通常是JavaScript的恶意脚本)当用户使用浏览器加载被嵌入恶意代码的网页时,恶意脚本代码就会在用户的浏览器执行,造成跨站脚本的攻击,可能会被窃取敏感信息,篡改网页内容,截止用户会话,重定向用户等等
反射型XSS攻击
在网页URL里修改HTML代码,然后将URL链接转成短小链接,用户点击,然后遭受攻击(诈骗链接)
在这里插入图片描述

存储型XSS攻击
攻击方通过发表带有恶意攻击代码到网页上,服务器没有进行过滤就将其保存,正常用户访问的时候就会访问到有恶意攻击的网页,从而被攻击
在这里插入图片描述
DOM型

防御
  • 对特殊字符(如 <、>、 ’ 、 ”等)以及

5-CSRF(跨站请求伪造)

攻击者利用目标用户的身份,执行某些非法的操作,可能会篡改目标站点上的用户数据,盗取用户隐私数据、传播 CSRF 蠕虫

防御
  • 检查HTTP Referer是否是同域
  • 限制Session Cookie的生命周期,减少被攻击的概率
  • 使用验证码
  • 使用一次性token

6-SSRF(Server-Side Request Forgery服务器端请求伪造)

攻击者伪造成用户,然后访问服务器的资源,主要是由于服务器B未对传回的请求作特殊处理造成。
遭受拒绝服务攻击、读取任意文件、扫描内网(主机、端口)
在这里插入图片描述

防御
  • 禁用不需要的协议,仅允许http和https
  • 根据请求需求,可以将特定域名加入白名单,拒绝白名单之外的请求
  • 统一错误信息,避免用户根据错误信息来判断远程服务器的端口状态
  • 限制请求的端口为http的常用端口,比如:80、443、8080等

7-XXE(XML外部实体注入)

XML External Entity Injection,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致用户可以控制外部的加载文件,造成XXE漏洞。可能会造成任意文件的读取、内网端口探测、拒绝服务攻击。

防御
  • 使用开发语言提供的禁用外部实体的方法
  • 过滤用户提交的XML数据

8-远程代码执行漏洞

应用程序调用系统命令函数,比如php中的system、exec、shell_exec的函数,执行系统命令,攻击者通过修改这些函数中的参数,将恶意命令拼接到正常命令中,从而造成命令攻击

防御
  • 尽量不要使用命令执行函数
  • 客户端提交的变量在进入执行命令函数方法之前,一定要做好过滤,对敏感字符进行转义
  • 在使用动态函数之前,确保使用的函数是指定的函数之一
  • 对PHP语言来说,不能完全控制的危险函数最好不要使用

9-反序列化漏洞

将字节流转换成具体内容时,被注入了恶意程序,导致恶意代码被执行
在这里插入图片描述

防御
  • 应该尽量避免用户输入反序列化的参数
  • 严格控制反序列化相关函数的参数,坚持用户所输入的信息都是不可靠的原则
  • 做好代码审计相关工作,提高开发人员的安全意识
  • 对于反序列化后的变量内容进行检查,以确定内容没有被污染

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/466702.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

WorkFlow源码剖析——Communicator之TCPServer(中)

WorkFlow源码剖析——Communicator之TCPServer&#xff08;中&#xff09; 前言 系列链接如下&#xff1a; WorkFlow源码剖析——GO-Task 源码分析 WorkFlow源码剖析——Communicator之TCPServer&#xff08;上&#xff09; WorkFlow源码剖析——Communicator之TCPServer&…

【HCIP园区网综合拓扑实验】配置步骤与详解(未施工完,持续更新中)

一、实验要求 实验拓扑图如上图所示 1、按照图示的VLAN及IP地址需求&#xff0c;完成相关配置 2、要求SW1为VLAN 2/3的主根及主网关 SW2为vlan 20/30的主根及主网关 SW1和SW2互为备份 3、可以使用super vlan 4、上层通过静态路由协议完成数据通信过程 5、…

飞腾平台Arm ComputeLibrary编译安装指南

【写在前面】 飞腾开发者平台是基于飞腾自身强大的技术基础和开放能力&#xff0c;聚合行业内优秀资源而打造的。该平台覆盖了操作系统、算法、数据库、安全、平台工具、虚拟化、存储、网络、固件等多个前沿技术领域&#xff0c;包含了应用使能套件、软件仓库、软件支持、软件适…

论文2—《基于柔顺控制的智能神经导航手术机器人系统设计》文献阅读分析报告

论文报告&#xff1a;基于卷积神经网络的手术机器人控制系统设计 摘要 本研究针对机器人辅助微创手术中定向障碍和缺乏导航信息的问题&#xff0c;设计了一种智能控制导航手术机器人系统。该系统采用可靠和安全的定位技术、7自由度机械臂以及避免关节角度限制的逆运动学控制策…

使用Ida Pro和Core Dump文件定位崩溃位置

目录 一、Core Dump文件简介 二、准备环境 三、生成Core Dump文件 四、使用IDA Pro分析Core Dump文件 五、案例分析 1. 测试代码 2. 使用GDB初步分析 3. 使用IDA Pro深入分析 4. 修复代码 六、总结 在软件开发过程中&#xff0c;尤其是C/C编程中&#xff0c;Core Dum…

Spring Boot中集成MyBatis操作数据库详细教程

目录 前言1. 项目依赖配置1.1 引入MyBatis和数据库驱动依赖1.2 数据源配置 2. 创建数据库映射实体类3. 创建Mapper层接口4. 创建Service层4.1 定义Service接口4.2 实现Service接口 5. 创建Controller层6. 运行和测试项目6.1 启动项目6.2 测试接口 7. 总结 前言 在Java开发中&a…

vscode Comment Translate 反应慢 加载中...

Comment Translate 版本&#xff1a;v2.3.3 你是不是疑惑切换了 Bing 源也无法使用还是加载中… 那么可能你切换Bing后没重启vscode 下面是切换成功后的插件日志&#xff0c;一定要重启vscode&#xff0c;只是禁用和启用插件不行的&#xff0c;另外google是没用的&#xff0c;用…

ES文档:文档操作_doc(7.9.2)

用心记录技术&#xff0c;走心分享&#xff0c;始于后端&#xff0c;不止于后端&#xff0c;励志成为一名优秀的全栈架构师&#xff0c;真正的实现码中致富。 ElasticSearch文档的操作&#xff1b; 添加文档 新建一个索引 goboy-blog&#xff0c;如果添加文档索引不存在则会创…

人保财险(外包)面试分享

前言&#xff1a; 这是本月面的第三家公司&#xff0c;太难了兄弟们&#xff0c;外包都不好找了&#xff0c;临近年底&#xff0c;金九银十已经错过了&#xff0c;金三银四虽然存在&#xff0c;但按照这几年的行情&#xff0c;金九银十和金三银四其实已经是不复存在了&#xf…

机器视觉基础—双目相机

机器视觉基础—双目相机与立体视觉 双目相机概念与测量原理 我们多视几何的基础就在于是需要不同的相机拍摄的同一个物体的视场是由重合的区域的。通过下面的这种几何模型的目的是要得到估计物体的长度&#xff0c;或者说是离这个相机的距离。&#xff08;深度信息&#xff09…

C++ | Leetcode C++题解之第542题01矩阵

题目&#xff1a; 题解&#xff1a; class Solution { public:vector<vector<int>> updateMatrix(vector<vector<int>>& matrix) {int m matrix.size(), n matrix[0].size();// 初始化动态规划的数组&#xff0c;所有的距离值都设置为一个很大的…

分布式——BASE理论

简单来说&#xff1a; BASE&#xff08;Basically Available、Soft state、Eventual consistency&#xff09;是基于CAP理论逐步演化而来的&#xff0c;核心思想是即便不能达到强一致性&#xff08;Strong consistency&#xff09;&#xff0c;也可以根据应用特点采用适当的方…

安卓智能指针sp、wp、RefBase浅析

目录 前言一、RefBase1.1 引用计数机制1.2 设计目的1.3 主要方法1.4 如何使用1.5 小结 二、sp和wp2.1 引用计数机制2.2 设计目的2.3 主要方法2.3.1 sp2.3.2 wp 2.4 如何使用2.5 小结 四、参考链接 前言 安卓底层binder中&#xff0c;为什么 IInterface要继承自RefBase &#x…

k8s 上如何跑 Dolphins 模型

接着上一篇的介绍&#xff0c;这一篇就来跑跑 Dolphins 模型&#xff0c;本篇会记录&#xff0c;跑模型常见的阬点。 1 在 k8s 上创建 pod 将外部数据挂载在 pod 里&#xff0c;并申请 gpu 资源。同时修改代码里对应的引入数据的路径 # dolphins.yaml apiVersion: v1 kind: …

CentOS 7 更换软件仓库

CentOS 7 于2024年6月30日停止维护&#xff0c;官方仓库已经没有软件了&#xff0c;想要继续使用 &#xff0c;需要更换软件仓库&#xff0c;这里更换到阿里云的软件仓库 https://developer.aliyun.com/mirror/ 查看目前可用的软件数量 yum repolist 更换软件仓库&#xff1a…

初学者指南:用例图——开启您的软件工程之旅

目录 背景&#xff1a; 基本组成&#xff1a; 关联&#xff08;Assciation&#xff09;&#xff1a; 包含&#xff08;Include&#xff09;&#xff1a; 扩展&#xff08;Extend&#xff09;&#xff1a; 泛化&#xff08;Inheritance&#xff09;&#xff1a; 完整银行…

单位正交矢量的参数化,用于特征矢量对厄尔米特矩阵对角化使用

​ 首先α β 在0-pi/2内&#xff0c;这样就可以取值0-1&#xff0c;满足了单位化的要求 每个向量的模由α和β定义&#xff0c;αβ定义模的时候只限制在0–pi/2&#xff0c;由画图可知不可正交 为了验证矩阵 U 3 \boldsymbol{U}_3 U3​ 的第一列和第二列是否正交&#xff…

Spring Security 框架篇-深入了解 Spring Security 的授权核心功能(RBAC 权限模型、自定义异常处理器、校验权限方法)

&#x1f525;博客主页&#xff1a; 【小扳_-CSDN博客】 ❤感谢大家点赞&#x1f44d;收藏⭐评论✍ 文章目录 1.0 权限系统 1.1 引入 1.2 RBAC 权限模型 1.3 数据库设计 2.0 Spring Security 核心功能-授权 2.1 思路分析 2.2 编写 SQL 语句 2.3 将用户权限进行封装 2.4 获取用户…

使用 API 和离线库查询 IP 地址方法详解

目录 一、IP 地址查询能获取哪些信息1.地理位置信息2.网络信息3.网络类型 二、IP 地址查询方法&#xff0c;附代码1.在线查询 IP 地址方法2.使用 API 进行 IP 地址查询3.使用离线库进行 IP 地址查询 互联网监管部门要求公开 IP 归属地&#xff0c;引起了很大热度&#xff0c;但…

微服务day02

教学文档&#xff1a; 黑马教学文档 Docker Docker的安装 镜像和容器 命令解读 常见命令 案例 查看DockerHub&#xff0c;拉取Nginx镜像&#xff0c;创建并运行容器 搜索Nginx镜像&#xff1a;在 www.hub.docker.com 网站进行查询 拉取镜像&#xff1a; docker pull ngin…