cisp-pte安全滲透工程師，如何成為安全滲透測試工程師？從認(rèn)識網(wǎng)絡(luò)安全威脅開始

網(wǎng)絡(luò)安全威脅是指網(wǎng)絡(luò)系統(tǒng)所面臨的，由已經(jīng)發(fā)生的或潛在的安全事件對某一資源的保密性、完整性、可用性或合法使用所造成的威脅。能夠在不同程度、不同范圍內(nèi)解決或者緩解網(wǎng)絡(luò)安全威脅的手段和措施就是網(wǎng)絡(luò)安全服務(wù)。

網(wǎng)絡(luò)系統(tǒng)所面臨的安全威脅包括四個方面：信息泄露、完整性破壞、業(yè)務(wù)拒絕、非法使用。我們可以使用一些網(wǎng)絡(luò)安全服務(wù)來解決這些問題。例如身份認(rèn)證、接入安全、數(shù)據(jù)安全、防火墻技術(shù)、攻擊檢測及防范等。

身份認(rèn)證

AAA認(rèn)證：Authentication、Authorization、Accounting（認(rèn)證、授權(quán)、計費(fèi)）的簡稱，是網(wǎng)絡(luò)安全的一種管理機(jī)制，提供了認(rèn)證、授權(quán)、計費(fèi)三種安全功能。可以通過多種協(xié)議來實(shí)現(xiàn)，例如RADIUS協(xié)議、HWTACACS協(xié)議或LDAP協(xié)議，在實(shí)際應(yīng)用中最常使用的是RADIUS協(xié)議。

PKI認(rèn)證：PKI（Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）是一個利用公共密鑰理論和技術(shù)來實(shí)現(xiàn)并提供信息安全服務(wù)的具有通用性的安全基礎(chǔ)設(shè)施。在PKI系統(tǒng)中，以數(shù)字證書的形式分發(fā)和使用公鑰。數(shù)字證書是一個用戶的身份和他所持有的公鑰的結(jié)合。基于數(shù)字證書的PKI系統(tǒng)，能夠?yàn)榫W(wǎng)絡(luò)通信和網(wǎng)絡(luò)交易（例如電子政務(wù)和電子商務(wù)業(yè)務(wù)）提供各種安全服務(wù)。

接入安全

802.1X認(rèn)證：802.1X協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，即在局域網(wǎng)接入設(shè)備的端口上對所接入的用戶進(jìn)行認(rèn)證，以便接入設(shè)備控制用戶對外部網(wǎng)絡(luò)資源的訪問。接入設(shè)備上的802.1X認(rèn)證需要用戶側(cè)802.1X客戶端的配合，主要用于解決以太網(wǎng)內(nèi)部接入認(rèn)證和安全方面的問題。

MAC地址認(rèn)證：基于端口和MAC地址對用戶的網(wǎng)絡(luò)訪問權(quán)限進(jìn)行控制的認(rèn)證方法，它不需要用戶安裝任何客戶端軟件。設(shè)備在啟動了MAC地址認(rèn)證的端口上首次檢測到用戶的MAC地址以后，即啟動對該用戶的認(rèn)證操作。認(rèn)證過程中，不需要用戶手工輸入用戶名或者密碼。若用戶認(rèn)證成功，則允許其通過該端口訪問網(wǎng)絡(luò)資源。

端口安全：基于MAC地址對網(wǎng)絡(luò)接入進(jìn)行控制的安全機(jī)制，是對已有的802.1X認(rèn)證和MAC地址認(rèn)證的擴(kuò)充。該機(jī)制有兩方面的作用：通過檢測端口收到的數(shù)據(jù)幀中的源MAC地址來控制非授權(quán)設(shè)備對網(wǎng)絡(luò)的訪問；通過檢測從端口發(fā)出的數(shù)據(jù)幀中的目的MAC地址來控制對非授權(quán)設(shè)備的訪問。

Portal認(rèn)證：通常也稱為Web認(rèn)證，即通過Web頁面接受用戶輸入的用戶名和密碼，對用戶進(jìn)行認(rèn)證。Portal認(rèn)證技術(shù)提供一種靈活的訪問控制方式，不需要安裝客戶端，就可以在接入層以及需要保護(hù)的關(guān)鍵數(shù)據(jù)入口處實(shí)施訪問控制。

Triple認(rèn)證：允許端口上同時開啟多種接入認(rèn)證方式的解決方案，它允許在設(shè)備的二層端口上同時開啟Portal認(rèn)證、MAC地址認(rèn)證和802.1X認(rèn)證功能，使得用戶可以選用其中任意一種方式進(jìn)行認(rèn)證來接入網(wǎng)絡(luò)。

數(shù)據(jù)安全

公鑰管理：主要用于管理非對稱密鑰對，包括本地密鑰對的生成、銷毀、顯示和導(dǎo)出，以及如何將遠(yuǎn)端主機(jī)公鑰保存到本地。

IPsec/IKE：IPsec（IP Security，IP安全）是一個IP層的安全框架，它為網(wǎng)絡(luò)上傳輸?shù)腎P數(shù)據(jù)提供安全保證，是一種傳統(tǒng)的實(shí)現(xiàn)三層VPN的安全技術(shù)。IKE（Internet Key Exchange，因特網(wǎng)密鑰交換）為IPsec提供了自動協(xié)商安全參數(shù)的服務(wù)，能夠簡化IPsec的配置和維護(hù)工作。

SSL/SSL VPN：SSL是一個提供私密性保護(hù)的安全協(xié)議，主要采用公鑰密碼機(jī)制和數(shù)字證書技術(shù)，為基于TCP的應(yīng)用層協(xié)議提供安全連接，如SSL可以為HTTP協(xié)議提供安全連接。SSL VPN是以SSL為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間,廣泛應(yīng)用于基于Web的遠(yuǎn)程安全接入。

SSH：Secure Shell的簡稱，它能夠在不安全的網(wǎng)絡(luò)上提供安全的遠(yuǎn)程連接服務(wù)。

防火墻技術(shù)

基于ACL的包過濾：實(shí)現(xiàn)了對IP數(shù)據(jù)包的過濾。

ASPF：高級狀態(tài)包過濾，是基于應(yīng)用層狀態(tài)的報文過濾。它可以進(jìn)行傳輸層協(xié)議檢測和應(yīng)用層協(xié)議檢測。

ALG：是一種對應(yīng)用層報文進(jìn)行處理的技術(shù)，它通過與NAT（Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換）、ASPF等技術(shù)的組合應(yīng)用，實(shí)現(xiàn)對應(yīng)用層的處理和檢測。

攻擊檢測及防范

ARP攻擊防范：ARP協(xié)議有簡單、易用的優(yōu)點(diǎn)，但是因?yàn)闆]有任何安全機(jī)制而容易被攻擊發(fā)起者利用。

ND攻擊防御：IPv6 ND（Neighbor Discovery，鄰居發(fā)現(xiàn)）協(xié)議功能強(qiáng)大，但沒有自身的安全機(jī)制，容易被攻擊者利用。

TCP/IP攻擊防御：針對攻擊者利用TCP連接的建立過程或者通過發(fā)送大量ICMP分片報文形成的網(wǎng)絡(luò)攻擊，TCP和ICMP攻擊防御可以提供SYN Cookie功能、防止Naptha功能、關(guān)閉ICMP分片報文轉(zhuǎn)發(fā)功能。

SAVI：源地址有效性驗(yàn)證，功能應(yīng)用在接入設(shè)備上，通過ND Snooping特性、DHCPv6 Snooping特性及IP Source Guard特性建立起地址和端口的綁定關(guān)系表，并且以綁定關(guān)系為依據(jù)對DHCPv6協(xié)議報文、ND協(xié)議報文和IPv6數(shù)據(jù)報文的源地址進(jìn)行合法性的過濾檢查。

WEB過濾：通過過濾內(nèi)部用戶的非法Web訪問請求，包括阻止內(nèi)部用戶訪問非法網(wǎng)址，以及對網(wǎng)頁內(nèi)的Java或ActiveX程序進(jìn)行阻斷，來提高內(nèi)部網(wǎng)絡(luò)的安全性。

DDOS流量清洗：主要是為了解決運(yùn)營商網(wǎng)絡(luò)中日益嚴(yán)重的DDOS攻擊而構(gòu)建的解決方案，該方案的核心是在運(yùn)營商網(wǎng)絡(luò)中建立流量清洗中心，通過該清洗中心為遭受DDoS困擾的機(jī)構(gòu)提供流量清洗服務(wù)，解除受害機(jī)構(gòu)的DDoS威脅。

?

這些網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的防范措施都有一定的限度，并不是越安全就越可靠。因而，看一個網(wǎng)絡(luò)是否安全時不僅要考慮其手段，而更重要的是對該網(wǎng)絡(luò)所采取的各種措施，其中不僅是物理防范，而且還有人員素質(zhì)其他因素，進(jìn)行綜合評估，從而得出是否安全的結(jié)論。cisp-pte安全滲透工程師，如何成為安全滲透測試工程師？從認(rèn)識網(wǎng)絡(luò)安全威脅開始

總結(jié)

以上是生活随笔為你收集整理的cisp-pte安全渗透工程师，如何成为安全渗透测试工程师？从认识网络安全威胁开始的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。