网络空间典型特点:
内容复杂性,结构复杂性,服务复杂性
网络安全领域的三大主要难题:
网络安全态势说不清,未知网络攻击抓不着,已知网络攻击追不到
什么是信息安全:
国内回答:
国外回答:
网络与信息安全框架:
| 属性层次 | 机密性 | 真实性 | 可用性 |
|---|---|---|---|
| 物理安全 | 防泄漏 | 抗恶劣环境 | |
| 运行安全 | 抗非授权访问 | 超权限访问 | 正常提供服务 |
| 数据安全 | 防解析 | 发布/路由/内容真实 | 抗否认 |
| 内容安全 | 信息解析 | 路由/内容欺骗 | 信息阻断 |
成熟的网络安全防护模型 PPDRR
安全策略(Policy)
➢目标:降低攻击发生可能性
➢ 措施:
◼ 安全策略制定(访问控制、密码管理)
◼ 员工安全意识培训(钓鱼邮件识别、社交工程防范)
◼ 系统硬化(关闭不必要端口、移除默认账户)
系统防护(Protection)
➢ 目标:限制攻击影响范围
➢ 措施:
◼ 边界防护(防火墙、IDS/IPS)
◼ 数据加密(SSL/TLS、磁盘加密)
◼ 备份策略(定期备份、异地存储)
入侵检测(Detection)
➢ 目标:及时发现安全事件
➢ 措施:
◼ 实时监控(SIEM系统、日志分析)
◼ 异常行为检测(UEBA、机器学习)
◼ 漏洞扫描(Nessus、OpenVAS)
应急响应(Response)
➢ 目标:快速处置安全事件
➢ 措施:
◼ 事件分类与优先级划分(CVSS评分)
◼ 应急响应流程(隔离受影响系统、取证分析)
◼ 法律与公关应对(合规审查、公众声明)
灾难恢复(Restore)
➢ 目标:恢复正常运营并总结经验
➢ 措施:
◼ 系统修复与重建(补丁管理、镜像恢复)
◼ 业务连续性计划(灾难恢复、备用站点)
◼ 事后复盘与改进(根因分析、策略优化)
一、 抓取建库:
1、抓取友好性
2、常用抓取返回码示意:404 503
3、多种 url 重定向识别
4、抓取优先级调配
5、重复 URL 过滤
6、暗网数据获取
7、抓取反作弊
二、 检索排序:
三、 外部投票:
四、结果展示:结构化展现、摘要式展现
大型网络应用技术发展历程:
第一代:最开始的网站架构
第二代:应用、数据、文件分离
第三代:利用缓存改善网络性能
第四代:利用集群改善应用服务器性能
第五代:数据库读写分离和分库分表
第六代:使用 CDN 和反向代理提高网站性
第七代:使用分布式文件系统
第八代:使用NoSql和搜索引擎
第九代:将应用服务器进行业务拆分
第十代:搭建分布式服务
大型网络应用系统设计要点:
数据获取、数据存储、数据分析、数据迁移、计算迁移、进程迁移、分布式内存共享、鲁棒性
分布式系统网络问题:
性能:等待时间和点到点间的传输率
负载均衡策略与算法剖析
为什么需要负载均衡
多台服务器组成一个群组,它们通过网络设备相连接。这些服务器提供相同或相似的网络服务。服务器群组前布局一个负载均衡设备,负责根据已配置均衡策略将用户请求在服务器群组中的分发,为用户提供服务,并对服务器可用性维护。
负载均衡基本原理:
负载均衡的部署方式:路由模式、桥接模式、服务直接返回模式。
负载均衡的主要策略
基于DNS的负载均衡:
一个域名绑定多个 ip ,通过 DNS 服务中的随机域名解析来实现。
优点:实现简单,实施容易,成本低。
缺点:一旦某个服务器出现故障,即使及时修改了DNS设置,还是要等待足够的时间(刷新时间)才能发挥作用,在此期间保存了故障服务器地址的客户计算机将不能正常访问服务器。
缺陷:DNS负载均衡无法得知服务器之间的差异,它不能做到为性能较好的服务器多分配请求,也不能了解到服务器的当前状态,甚至会出现客户请求集中在某一台服务器上的偶然情况。
基于反向代理的负载均衡
通过正则映射将请求重定向到内容服务器。
优点:自带高速缓冲,可减轻内容服务器压力,提速网络访问效率 。
缺点:针对每一次代理,代理服务器就必须打开两个连接,一个对外,一个对内,因此在并发连接请求数量非常大的时候,代理服务器的负载非常大,代理服务器本身可能会成为服务的瓶颈。
缺陷:反向代理是处于OSI参考模型第七层应用层,所以就必须为每一种应用服务专门开发一个反向代理服务器,这样就限制了反向代理负载均衡技术的应用范围,现在一般都用于对web服务器的负载均衡。
基于特定服务器软件的负载均衡
利用网络协议的重定向功能来实现 。
HTTP重定向:服务器无法处理浏览器发送过来的请求(request),服务器告诉浏览器跳转到可以处理请求的url上。(浏览器会自动访问该URL地址,对用户无感)
优点:服务可定制,可依据底层服务器的性能及实况进行负载调控。
问题:需要改动软件,成本较高。
基于NAT的负载均衡
将一个外部IP地址映射为多个内部IP地址
优点:
比较完善的负载均衡技术,均衡算法也较灵活,如随机选择、最少连接数及响应时间等来分配负载。
问题:伸缩能力有限,当服务器结点数目过多时,调度器本身有可能成为系统的新瓶颈 。
基于CDN的负载均衡
通过在现有的Internet中增加一层新的网络架构,将网站的内容发布到最接近用户的网络“边缘”
,使用户可以就近取得所需的内容 。
优点:用户访问就近服务器,提高访问速度。
负载均衡主要算法
静态负载均衡算法:
轮询:将请求依次顺序循环地连接每个服务器。当其中某个服务器发生第2到第7层的故障,就把其从顺序循环队列中拿出,不参加下一次的轮询,直到其恢复正常。
比率:给每个服务器分配一个加权值为比例,根椐这个比例,把用户的请求分配到每个服务器。当其中某个服务器发生第2到第7层的故障,就把其从服务器队列中拿出,不参加下一次的
用户请求的分配,直到其恢复正常。
优先权:给所有服务器分组,给每个组定义优先权,用户的请求分配给优先级最高的服务器组(在同一组内,采用轮询或比率算法,分配用户的请求);当最高优先级中所有服务器出现故障,才将请求送给次优先级的服务器组。这种方式,实际为用户提供一种热备份的方式。
动态负载均衡算法:
⚫ 最少的连接方式(Least Connection):传递新的连接给那些进行最少连接处理的服务器。当其中某个服务器发生第2到第7层的故障,就把其从服务器队列中拿出,不参加下一次的用户请求的分配, 直到其恢复正常。
⚫ 最快模式(Fastest):传递连接给那些响应最快的服务器。当其中某个服务器发生第2到第7层的故障,就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
⚫ 观察模式(Observed):连接数目和响应时间以这两项的最佳平衡为依据为新的请求选择服务器。当其中某个服务器发生第2到第7层的故障,就把其从服务器队列中拿出,不参加下一次的用户请求的分配,直到其恢复正常。
⚫ 预测模式(Predictive):利用收集到服务器当前的性能指标,进行预测分析,选择一台服务器在下一个时间片内,其性能将达到最佳的服务器相应用户的请求。
⚫ 动态性能分配(Dynamic Ratio-APM):收集到的应用程序和应用服务器的各项性能参数,动态调整流量分配。
⚫ 动态服务器补充(Dynamic Server Act):当主服务器群中因故障导致数量减少时,动态地将备份服务器补充至主服务器群。
⚫ 服务质量(QoS):按不同的优先级对数据流进行分配。
⚫ 服务类型(ToS):按不同的服务类型(在Type of Field中标识)负载均衡对数据流进行分配。
⚫ 规则模式:针对不同的数据流设置导向规则,用户可自行设置。
负载均衡算法
⚫ 轮询算法
⚫ Hash散列算法
⚫ 最少链接算法
⚫ 最快链接算法
⚫ 加权算法
⚫ 动态反馈算法
防火墙
定义
防火墙是指设置在不同网络(如可信任的内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,能根据安全策略控制(允许、拒绝、监测)出入网络的信息流。
本身具有较强的抗攻击能力。
提供信息安全服务,实现网络和信息安全的基础设施。
防火墙的三大要素:安全、管理、速度。
防火墙的基本结构
屏蔽路由器:
双重宿主主机防火墙
屏蔽主机防火墙
屏蔽子网防火墙
其他防火墙结构
| 防火墙类型 | 安全性 | 复杂度 | 适用场景 |
|---|---|---|---|
| 屏蔽路由器 | 低 | 低 | 小型网络 |
| 双重宿主主机 | 中 | 中 | 中小企业 |
| 屏蔽主机防火墙 | 中高 | 中 | 企业网络 |
| 屏蔽子网防火墙 | 高 | 高 | 大型企业/关键基础设施 |
| 多堡垒主机+多DMZ | 极高 | 极高 | 金融、政府、高安全需求 |
防火墙的分类
- 包过滤防火墙
- 状态/动态检测防火墙
- 应用程序代理防火墙
- 个人防火墙
入侵检测
计算机安全的三个目标:机密性、完整性、可用性。
入侵检测系统:
信息收集:包括系统,网络,数据及用户活动的状态和行为。
分析引擎:模式匹配、统计分析、完整性分析。
响应部件:简单报警、切断连接、封锁用户、改变文件属性、 最强烈反应:回击攻击者
入侵检测技术的分类:
按照信息源的分类:基于主机的入侵检测、基于网络的入侵检测。
按照检测方法的分类
其他分类标准
规避策略
DDoS攻击
攻击本质:利用木桶原理、阻塞和耗尽
