记录一些学习资料

应用层攻击 ：HTTP、DNS、FTP等 应用层攻击可参考：应用层(DNS/HTTP/HTTPS)攻击与防御原理 网络层攻击防御网络层攻击防御主要分为以下三类： TCP类报文攻击防御 UDP类报文攻击防御 ICMP类报文攻击防御 TCP类报文攻击防御TCP正常的交互过程： 图：TCP正常交互过程 在TCP/IP协议中，TCP协议提供可靠的连接服务，采用三次握手建立一个连接。 第一次握手：建立连接时，客户端发送SYN包到服务器，等待服务器确认。 第二次握手：服务器收到SYN包，回应 ...

网络攻击介绍可参考：网络攻击介绍 Anti-DDoS防御体系介绍Anti-DDoS介绍：华为的Anti-DDoS是主要用来防范DDoS攻击。 DDoS（Distributed Denial of Service）即分布式拒绝服务。DDoS攻击是指攻击者通过控制大量的僵尸主机，向被攻击目标发送大量精心构造的攻击报文，造成被攻击者所在网络的链路拥塞、系统资源耗尽，从而使被攻击者产生拒绝向正常用户的请求提供服务的效果 Anti-DDoS系统组成： 图：Anti-DDoS系统组成 由三大核心 ...

网络攻击介绍网络攻击简介：网络攻击（Cyberattack，也译为赛博攻击）是指针对计算机信息系统、基础设施、计算机网络或个人计算机设备的，任何类型的进攻动作。 于计算机和计算机网络中，破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据，都会被视为于计算机和计算机网络中的攻击。 网络攻击行为是企业网中重大安全隐患。应对不同的网络攻击行为有不同的防御方法和手段。真多这样写不同的网络攻击行为，设计出相应的安全产品对其进行防御。 网络攻击总体分类：网络攻击主要分 ...

SSL详解SSL VPN的技术主要用到了SSL技术。有关SSL具体技术，可以参考： SSL/TLS协议详解 SSL VPN简介SSL VPN是以SSL协议为安全基础的VPN远程接入技术，移动办公人员（在SSL VPN中被称为远程用户）使用SSL VPN可以安全、方便的接入企业内网，访问企业内网资源，提高工作效率。 SSL VPN与IPSec VPN对比： 如上图，SSL保护的是应用层的数据，可以针对某个应用做具体保护。而IPSec VPN针对的是整个网络层。无法做精细化控制。 所以在SSL ...

SSL VPN可参考：SSL VPN技术原理 SSL简介SSL和TLS：SSL (Secure Sockets Layer）安全套接层。是由Netscape公司于1990年开发，用于保障Word Wide Web（WWW）通讯的安全。主要任务是提供私密性，信息完整性和身份认证。1994年改版为SSLv2,1995年改版为SSLv3. TLS(Transport Layer Security）安全传输层协议,）用于在两个通信应用程序之间提供保密性和数据完整性。该标准协议是由IETF于1999年 ...

VPN部署现状问题企业广泛部署VPN时的问题： 总部不能集中管理VPN。 每个分支需要配置IPSec VPN，工作量大，对维护人员有一定的技术要去。 每一个分支需要重复配置： DNS域名、DNS服务器地址、WINS服务器地址等网络资源。 ACL推送，设定了允许分支子网访问的总部子网范围 需要重复配置分支设备升级。 Efficient VPN简化企业VPN部署： 总部集中管理VPN配置。 分支从总部获取IPSec VPN的配置信息，简化分支IPSec配置。 分支从总部获取：网络资源配置，AC ...

GRE over IPSec的缺陷GRE over IPSec的缺陷： 图：企业典型的Hub-Spoke组网（配置DSVNP之前） 如上图，如果一个公司又很多分支站点，采用GRE over IPSec的话会存在如下缺点： IPSec隧道集中在Hub点，所有流量都穿越Hub点。 所有流量通过总部封装和解封装时，会引入额外的网络延时。 每增加一个新的Sopke点，Hub点都必须被配置。 若Spoke点的公网地址是动态变化的，部署点到点的GRE会存在问题。 DSVPN原理介绍DSVNP简介：动态 ...

GRE原理GRE简介：General Routing Encapsulation，简称GRE，是一种三层VPN封装技术。GRE可以对某些网络层协议（如IPX、Apple Talk、IP等）的报文进行封装，使封装后的报文能够在另一种网络中（如IPv4）传输，从而解决了跨越异种网络的报文传输问题。异种报文传输的通道称为Tunnel（隧道）。 GRE报文封装： 图：GRE报文格式 其中： 净荷（Payload）：系统收到的需要封装和路由的数据报称为净荷。 乘客协议（Passenger Proto ...

IPSec高可靠性技术IPSec VPN高可靠性概述：IPSec隧道由网络设备和链路组成，设备故障或者链路故障都会导致IPSec隧道中断，存在单点故障。因此在设计IPSec VPN高可靠性时既要考虑保护链路，也需要考虑保护网络设备。 IPSec高可靠性设计可以分为两类，一种是链路冗余，另一种是主备网络备份。其中链路冗余可以分为主备链路备份和隧道化链路备份。 解决链路单点故障解决方案概述：多链路两种思路： A. 链路的主备方式 2:1模式 2:2 模式 B.隧道化的备份 —-华为建议 ...

IPSec NAT 穿越简介IPSec NAT穿越的场景：本质上解决ESP协议无法提供转换端口，插入UDP 4500端口 有以下两种场景，需要进行进行NAT穿越。 场景一、FW既做IPSEC网关，又做NAT转换 此种场景下，是当运营商给客户的动态分配的私网地址情况下，FW需要穿越运营商的nat。 IPSEC网关与NAT在同一台设备 ，如果运营商给分配的是公网地址，需要做NAT旁路(NAT豁免） 场景二、FW处于内部只做IPSEC网关，前面有专门的设备做NAT(可以FW也可以ROUTER） ...