cisp-pte安全滲透工程師,如何成為安全滲透測試工程師?從認識網絡安全威脅開始
網絡安全威脅是指網絡系統所面臨的,由已經發生的或潛在的安全事件對某一資源的保密性、完整性、可用性或合法使用所造成的威脅。能夠在不同程度、不同范圍內解決或者緩解網絡安全威脅的手段和措施就是網絡安全服務。
網絡系統所面臨的安全威脅包括四個方面:信息泄露、完整性破壞、業務拒絕、非法使用。我們可以使用一些網絡安全服務來解決這些問題。例如身份認證、接入安全、數據安全、防火墻技術、攻擊檢測及防范等。
身份認證 AAA認證:Authentication、Authorization、Accounting(認證、授權、計費)的簡稱,是網絡安全的一種管理機制,提供了認證、授權、計費三種安全功能。可以通過多種協議來實現,例如RADIUS協議、HWTACACS協議或LDAP協議,在實際應用中最常使用的是RADIUS協議。PKI認證:PKI(Public Key Infrastructure,公鑰基礎設施)是一個利用公共密鑰理論和技術來實現并提供信息安全服務的具有通用性的安全基礎設施。在PKI系統中,以數字證書的形式分發和使用公鑰。數字證書是一個用戶的身份和他所持有的公鑰的結合。基于數字證書的PKI系統,能夠為網絡通信和網絡交易(例如電子政務和電子商務業務)提供各種安全服務。接入安全 802.1X認證:802.1X協議是一種基于端口的網絡接入控制協議,即在局域網接入設備的端口上對所接入的用戶進行認證,以便接入設備控制用戶對外部網絡資源的訪問。接入設備上的802.1X認證需要用戶側802.1X客戶端的配合,主要用于解決以太網內部接入認證和安全方面的問題。MAC地址認證:基于端口和MAC地址對用戶的網絡訪問權限進行控制的認證方法,它不需要用戶安裝任何客戶端軟件。設備在啟動了MAC地址認證的端口上首次檢測到用戶的MAC地址以后,即啟動對該用戶的認證操作。認證過程中,不需要用戶手工輸入用戶名或者密碼。若用戶認證成功,則允許其通過該端口訪問網絡資源。端口安全:基于MAC地址對網絡接入進行控制的安全機制,是對已有的802.1X認證和MAC地址認證的擴充。該機制有兩方面的作用:通過檢測端口收到的數據幀中的源MAC地址來控制非授權設備對網絡的訪問;通過檢測從端口發出的數據幀中的目的MAC地址來控制對非授權設備的訪問。Portal認證:通常也稱為Web認證,即通過Web頁面接受用戶輸入的用戶名和密碼,對用戶進行認證。Portal認證技術提供一種靈活的訪問控制方式,不需要安裝客戶端,就可以在接入層以及需要保護的關鍵數據入口處實施訪問控制。Triple認證:允許端口上同時開啟多種接入認證方式的解決方案,它允許在設備的二層端口上同時開啟Portal認證、MAC地址認證和802.1X認證功能,使得用戶可以選用其中任意一種方式進行認證來接入網絡。數據安全 公鑰管理:主要用于管理非對稱密鑰對,包括本地密鑰對的生成、銷毀、顯示和導出,以及如何將遠端主機公鑰保存到本地。IPsec/IKE:IPsec(IP Security,IP安全)是一個IP層的安全框架,它為網絡上傳輸的IP數據提供安全保證,是一種傳統的實現三層VPN的安全技術。IKE(Internet Key Exchange,因特網密鑰交換)為IPsec提供了自動協商安全參數的服務,能夠簡化IPsec的配置和維護工作。SSL/SSL VPN:SSL是一個提供私密性保護的安全協議,主要采用公鑰密碼機制和數字證書技術,為基于TCP的應用層協議提供安全連接,如SSL可以為HTTP協議提供安全連接。SSL VPN是以SSL為基礎的VPN技術,工作在傳輸層和應用層之間,廣泛應用于基于Web的遠程安全接入。SSH:Secure Shell的簡稱,它能夠在不安全的網絡上提供安全的遠程連接服務。防火墻技術 基于ACL的包過濾:實現了對IP數據包的過濾。ASPF:高級狀態包過濾,是基于應用層狀態的報文過濾。它可以進行傳輸層協議檢測和應用層協議檢測。ALG:是一種對應用層報文進行處理的技術,它通過與NAT(Network Address Translation,網絡地址轉換)、ASPF等技術的組合應用,實現對應用層的處理和檢測。攻擊檢測及防范 ARP攻擊防范:ARP協議有簡單、易用的優點,但是因為沒有任何安全機制而容易被攻擊發起者利用。ND攻擊防御:IPv6 ND(Neighbor Discovery,鄰居發現)協議功能強大,但沒有自身的安全機制,容易被攻擊者利用。TCP/IP攻擊防御:針對攻擊者利用TCP連接的建立過程或者通過發送大量ICMP分片報文形成的網絡攻擊,TCP和ICMP攻擊防御可以提供SYN Cookie功能、防止Naptha功能、關閉ICMP分片報文轉發功能。SAVI:源地址有效性驗證,功能應用在接入設備上,通過ND Snooping特性、DHCPv6 Snooping特性及IP Source Guard特性建立起地址和端口的綁定關系表,并且以綁定關系為依據對DHCPv6協議報文、ND協議報文和IPv6數據報文的源地址進行合法性的過濾檢查。WEB過濾:通過過濾內部用戶的非法Web訪問請求,包括阻止內部用戶訪問非法網址,以及對網頁內的Java或ActiveX程序進行阻斷,來提高內部網絡的安全性。DDOS流量清洗:主要是為了解決運營商網絡中日益嚴重的DDOS攻擊而構建的解決方案,該方案的核心是在運營商網絡中建立流量清洗中心,通過該清洗中心為遭受DDoS困擾的機構提供流量清洗服務,解除受害機構的DDoS威脅。
?
這些網絡安全和數據保護的防范措施都有一定的限度,并不是越安全就越可靠。因而,看一個網絡是否安全時不僅要考慮其手段,而更重要的是對該網絡所采取的各種措施,其中不僅是物理防范,而且還有人員素質其他因素,進行綜合評估,從而得出是否安全的結論。cisp-pte安全滲透工程師,如何成為安全滲透測試工程師?從認識網絡安全威脅開始
總結
以上是生活随笔為你收集整理的cisp-pte安全渗透工程师,如何成为安全渗透测试工程师?从认识网络安全威胁开始的全部內容,希望文章能夠幫你解決所遇到的問題。
如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。
