HCIE-SEC笔试知识点

Anti-DDoS方案支持直路和旁路两种部署模式。
云计算的四类部署模式：私有云Private Cloud、社区云/行业云Community cloud、公有云Public cloud、混合云Hybrid cloud
防火墙部署


WAF主机的部署方式有透明代理和反向代理两种。
IPS的部署方式包括直路部署、旁路部署和单臂部署三种方式。

（旁路部署、混合部署、单路部署、单臂部署、）


三次握手：
SYN：同步序列编号(Synchronize Sequence Numbers)。
同步SYN：连接建立时用于同步序号。当SYN=1，ACK=0时表示：这是一个连接请求报文段。若同意连接，则在响应报文段中使得SYN=1，ACK=1。
因此，SYN=1表示这是一个连接请求，或连接接受报文。SYN这个标志位只有在TCP建产连接时才会被置1，握手完成后SYN标志位被置0。

HCIE-SEC笔试知识点

AntiDDoS 方案组成：管理中心、检测中心、清洗中心
Anti-DDoS方案支持直路和旁路两种部署模式。

安全攻击链、网络攻击链：
情报收集
工具准备
投递载荷
漏洞利用
载荷释放
建立通道
目标达成

第7章    负载均衡


第8章    日志：
Syslog日志是系统日志的一种，能够存放在本地也能够发送到syslog日志服务器。
Syslog消息没有定义最小长度，但消息的总长度不能超过1024字节。

第9章 kerberos、PKI
kerberos是一种网络认证协议，其设计目标是通过密钥系统为客户机/服务器应用程序提供强大的认证服务。
kerberos工作原理
Kerberos基于对称密钥体制。
Kerberos认证过程分为3个阶段，6个步骤。
第一阶段：认证服务交换，客户端获取授权服务器访问许可票据。
第二阶段：票据许可服务交换，客户端获得应用服务器访问许可票据。
第三阶段：客户端与应用服务器认证交换，客户端最终获得应用服务。

AD服务器认证安全简介
AD认证包含了一个Kerberos认证和一个标准的LDAP认证流程。
通过配置访问AD服务器的管理员区别名和管理员密码来验证合法性。
LDAP过程可以通过配置LDAP over SSL（LDAPS）来增强安全性。
Kerberos是一种网络认证协议。
Kerberos协议的目的是解决在不安全的开放网络(Open Network)上安全传输数据的问题。
Kerberos V5中的一项重要服务是密钥发行中心 (KDC)。KDC作为 Active Directory 目录服务的一部分在每个域控制器上运行，它存储了所有客户端密码和其他账户信息。
每个域控制器默认都是一个KDC，KDC由身份验证服务AS和票据授予服务TGS两个组件构成。
客户机和服务器都应向KDC注册，KDC应在Active Directory的账户库中拥有所有参与用户的凭据（包括ID和口令Hash值），KDC应与每个用户和每个服务器共享一个密钥。




安全认证机构（CA）也称为认证中心（Certificate Authority）、数字证书认证中心CA

PKI简介(证书分类、证书格式、数字信封和数字签名、公钥加密)。
公钥基础设施PKI（Public Key Infrastructure），是一种遵循既定标准的证书管理平台，它利用公钥技术能够为所有网络应用提供安全服务。

数字信封
数字信封是指发送方采用接收方的公钥来加密对称密钥后所得的数据。
采用数字信封时，接收方需要使用自己的私钥才能打开数字信封得到对称密钥。
 数字签名
数字签名是指发送方用自己的私钥对数字指纹进行加密后所得的数据。
采用数字签名时，接收方需要使用发送方的公钥才能解开数字签名得到数字指纹。
证书结构
最简单的证书包含一个公钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效期，颁发者（证书授权中心）的名称，该证书的序列号等信息，证书的结构遵循X.509 v3版本的规范。

PKI的工作过程（华为考题）：
1、客户端向CA请求CA证书
2、CA回复给客户端CA证书
3、客户端请求本地证书
4、CA颁发给客户端本地证书
5、客户端之间互相获取对方本地证书
6、客户端之间验证对方本地证书有效后，进行通信。
PKI利用公钥技术.

对称加密算法：DES、3DES、AES、RC5、IDEA、RC4
对称加密算法（对称算法也叫私钥算法）：IDEA、Blowfish、RC2、RC4、RC5、CAST、AES高级加密标准
DES 数据加密标准、AES高级加密标准，AES算法是DES算法升级版。

对称加密算法相对非对称加密算法加密的效率高，适合大量数据加密。
在对称加密体制中必须保密的是密钥。而算法是公开的。

Kerberos基于对称密钥体制。

非对称加密算法：DSS、ElGamal、Diffie-Hellman
RSA是一种典型的公钥加密算法，公钥算法：DSA、、ElGamal
非对称加密算法：RSA、、、、、、、、
公钥加密算法：RSA、DSA、EIGamal、ECC

非对称密钥技术也称为公钥算法，就是加密系统的加密密钥和解密密钥完全不同，并且不可能从任何一个推导出另一个。

在非对称加密算法中，私钥用于解密和签名，公钥用于加密和认证。
--------------------------------------------------------------------
Kerberos基于对称密钥体制

(1)甲使用对称密解对明文进行加密，生成密文信息。
(2)甲使使用乙的公钥加密对称密钥，生成数字信封。
(3)甲将数字信封和密文信息起发给乙
(4)乙接收到甲的加密信息后，使用自己的私钥打开数字信封，得到对称密钥。
(5)乙使用对称密钥对官方信息进行解密，得到最初的明文。

数字签名技术不但证明了信息未被篡改，还证明了发送方的身份。数字签名和数字信封技术也可以组合使用。

数字信封是指发送方采用接收方的公钥来加密对称密钥后所得的数据。
采用数字信封时，接收方需要使用自己的私钥才能打开数字信封得到对称密钥。
数字签名是指发送方用自己的私钥对数字指纹进行加密后所得的数据。
采用数字签名时，接收方需要使用发送方的公钥才能解开数字签名得到数字指纹。

--------------------------------------------------------------------


第11章 云业务流程
1、业务信息收集      对应  评估调研
2、功能与性能验证    对应  迁移验收
3、云上资源发放      对应  迁移实施
4、业务监控与优化    对应  规则设计




华为云能够为租用提个的安全服务不包括   代码审计。
云计算的四类部署模式：私有云Private Cloud、社区云/行业云Community cloud、公有云Public cloud、混合云Hybrid cloud

华为云租户业务防护方案：
（1）主机防护：HSS企业主机安全服务Host Security Service是一个用于保障主机整体安全的安全服务。
（2）漏洞发现：漏洞扫描服务具有web网站扫描和主机扫描两种扫描能力。
（3）web防火墙：通过web应用防火墙，轻松应对各种web安全风险。
（4）容器防护：容器安全服务提供了镜像漏洞管理、容器安全策略管理和容器逃逸检测功能。

HSS企业主机安全服务
HSS企业主机安全服务可以提供：资源管理、漏洞管理、入侵检测、基线检查、网页防篡改。
资源管理:资产管理功能可深度扫信息。描出主机中的账号、端口、进程、Web目录和软件
漏洞管理:漏洞管理功能将检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞。
入侵检测:入侵检测功能可识别并阻止入侵主机的行为，实时检测主机内部的风险异变，检测并查杀主机中的恶意程序，识别主机中的网站后门。
基线检查:基线检查功能可扫描出主机系统和关键软件含有风险的配置信息。
网页防篡改:网页防篡改功能可发现并阻止篡改指定目录下文件的行为，快速恢复被篡改的文件。


容器安全服务 CGS
（1）漏洞管理
扫描节点中所有正在运行的容器镜像，发现镜像中的漏洞并给出修复建议，帮助用户得到一个安全的镜像。
（2）安全策略
通过配置安全策略，帮助企业制定容器进程白名单和文件保护列表，确保容器以最小权限运行，从而提高系统和应用的安全性。
（3）运行时监控
监控节点中容器运行状态，发现违反容器安全策略的进程运行和文件修改，以及容器逃逸行为。

华为云漏洞扫描服务VSS是针对网站进行漏洞扫描一种安全检测服务，它采用  网页爬虫 技术全面深入爬虫网站URL, 逐步深度分析网站细节，帮助用户发现网站潜在安全隐患。

华为云安全架构：网络层防护规划
外网边界通过DDoS防御保护业务可用性
内网边界通过NGFW实现安全隔离
租房间通过安全组网络隔离


华为云端业务系统全生命周期安全：
（1）上线前
（2）上线时
（3）安全维


CIS能够与SecoManager、华为防火墙以及第三方EDR等设备联动。

ECA探针形态包括独立CIS流探针、交换机内置流探针。





--------------------------------------------------------------------

第15章    防火墙

防火墙：金融数据中心解决方案中，防火墙主要部署在三个位置
（1）数据中心出口
（2）内网接入区
（3）互联网出口


DNS过滤和URL过滤
DNS过滤是在域名解析阶段进行控制
URL过滤是在发起HTTP/HTTPS的URL请求阶段进行控制
DNS过滤控制粒度粗，只能控制到域名级别
URL过滤控制粒度细，可以控制到目录和文件级别
DNS过滤性能影响小
URL过滤性能影响大
DNS过滤能够对该域名对应的所有服务进行控制
URL过滤仅控制HTTP/HTTPS访问

URL过滤的动作（允许，告警，阻断）（模式：严格模式与松散模式）


Web信誉网站的分类：
自定义可信网站
自定义可疑网站
预定义可信网站

URL的分类：
自定义URL分类
预定义URL分类
自定义URL分类优先级高于预定义URL分类。

文件过滤是一种根据文件类型对文件进行过滤的安全机制。
注意：是根据文件类型，不是根据文件内容。

DGA 域名检测模型分为两类：
聚类算法
分类算法

DNS过滤处理流程
（1）域名是否命中白名单
（2）域名是否命中黑名单
（3）域名是否匹配自定义分类
（4）域名是否匹配本地缓存中的预定义分类
（5）启动远程查询



对象中的自定义签名的动作，包括：
    告警：当报文命中此签名时，允许通过，但会记录日志。
    阻断：当报文命中此签名时，丢弃报文，并记录日志。
放行：当报文命中此签名时，允许通过。



入侵防御的签名过滤的动作：
（1）    采用签名的缺省动作
（2）    告警
（3）    阻断
选择签名过滤器的动作。
    采用签名的缺省动作：当报文命中此签名过滤器中的签名时，按照签名动作处理。
    告警：当报文命中此签名过滤器中的任何签名时，均按告警处理。忽略签名本身的动作。
    阻断：当报文命中此签名过滤器中的任何签名时，均按阻断处理。忽略签名本身的动作。



下一代防火墙：识别出文件的应用、文件传输方向、文件类型和文件扩展名

firewall packet-filter basic-protocol enable命令用来开启基于BGP、LDP、BFD、DHCP单播报文、DHCPv6单播报文以及OSPF单播报文的安全策略控制开关。

防火墙上用户分类主要分为三类：
（1）接入用户：外部网络中访问网络资源的主体
（2）上网用户：内部网络中访问网络资源的主体
（3）管理员：通过Telnet、SSH、web、FTP等协议或通过console接口访问设备并对设备进行配置或者操作的用户。





WAF主机的部署方式有透明代理和反向两种。

IPS的部署方式包括直路部署、旁路部署和单臂部署三种方式。

入侵防御特性配置流程：
（1）升级特征库
（2）配置签名
（3）配置入侵防御文件
（4）验证与检查

IDS（Intrusion Detection System）




第24章    震网

 “震网”病毒攻击过程
（1）侦察组织架构和人员信息
（2）社会工程学渗透
（3）使用U盘横向扩散
（4）寻找感染目录
（5）发起攻击



CRSF攻击：挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
暴力破解：攻击者试图通过反复攻击来发现系统或服务的密码，通常这样的攻击方式非常消耗时间，但目前大多数攻击者使用软件自动执行攻击任务。
跨站脚本攻击：攻击者试图通过反复攻击来发现系统或服务的密码，通常这样的攻击方式非常消耗时间，但目前大多数攻击者使用软件自动执行攻击任务。
内部人员攻击：恶意攻击向web页面插入恶意html代码，当用户浏览该页面之时，嵌入web里面的html代码将会被执行，从而达到恶意用户的特殊目的。



中间人攻击：攻击者将自身插入双方事务中时发生的攻击。攻击者中断量后，他们会过滤并窃取数据。
拒绝服务攻击：攻击者利用大量流量对系统、服务器或网络发动泛洪攻击，其耗尽资源和带宽，最终导致系统无法满足正当的请求。
0day零日漏洞攻击：攻击发生在网络漏洞宣布后但补丁或解决方案还没来得及实施前。攻击者在这段时间内以披露的漏洞为目标发起攻击。
SQL注入攻击：攻击者将恶意代码插入使用结构化查询语句的服务器中获取服务器通常不会透露的信息。

跨站脚本攻击（XSS
人们经常将跨站脚本攻击（Cross Site Scripting）缩写为CSS，但这会与层叠样式表（Cascading Style Sheets，CSS）的缩写混淆。因此，有人将跨站脚本攻击缩写为XSS。
跨站脚本攻击（XSS），是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中，当正常用户访问该页面时，则可导致嵌入的恶意脚本代码的执行，从而达到恶意攻击用户的目的。

简化的网络攻击链
（1）目标侦察（2）边界突破（3）横向攻击（4）目标打击

畸形报文主要包括Frag Flood、Smurf、Stream Flood、Land Flood、IP畸形报文、TCP畸形报文、UDP畸形报文等。
传输层DDoS攻击主要包括Syn Flood、Ack Flood、UDP Flood、ICMP Flood、RstFlood等。
DNS DDoS攻击主要包括DNS Request Flood、DNS Response Flood、虚假源+真实源DNS Query Flood、权威服务器攻击和Local服务器攻击等。
连接型DDoS攻击主要是指TCP慢速连接攻击、连接耗尽攻击、Loic、Hoic、Slowloris、 Pyloris、Xoic等慢速攻击。
Web应用层攻击主要是指HTTP Get Flood、HTTP Post Flood、CC等攻击。




邮件发送过程：
（1）PC将邮件内容封装在SMTP消息中寄给发送方SMTP Server
（2）发送方SMTP Server将邮件封装在SMTP消息中寄给接收方SMTP Server,接收方SMTP Server存储起来。
（3）POP3 Server收到用户的请求后，读取SMTP Server储存的邮件
（4）POP3 Server将邮件封装到POP3消息中发给PC



国家等级保护制度（GB）
一级：监管程度为自主保护级、测评时间无要求、对象为一般系统。
二级：监管程度为指导保护级、测评时间建议二年/次、对象为一般系统。
三级：监管程度为监督保护级、测评时间要求一年/次、对象为重要系统。
四级：监管程度为强制保护级、测评时间要求半年/次、对象为重要系统。
五级：监管程度为专控保护级、测评时间依据特殊安全需求进行等级测评、对象为极重要系统。

等级保护备案办理流程：
（1）定级
（2）备案
（3）建设整改
（4）等级测评
（5）监督检测

隐私：
（1）用户在某社保APP上输入个人身份证号码、电话号码、姓名、社保帐号等信息
（2）该APP发送查询信息至社保局官方网站查询
（3）社保局官方网站执行查询行为并将信息返回至该APP
（4）APP上呈现出用户社保信息
（4）将数据交由第三方平台截取



P2DR模型是动态网络安全体系的代表模型，其包括四个主要部分：
（1）安全策略
（2）防护
（3）检测
（4）响应



数字签名的加解密过程：
（1）甲使用乙的公钥对明文进行加密，生成密文信息。
（2）甲使用HASH算法对明文进行HASH运算，生成数字指纹
（3）甲使用自己的私钥对数字指纹进行加密，生成数字签名
（4）甲将密文信息和数字签名一起发送给乙
（5）乙使用甲的公钥对数字签名进行解密，得到数字指纹
（6）乙接收到甲的加密信息后，你表和自己的私钥对密文信息进行解密，得到最初的明文
（7）乙使用HASH算法对明文进行HASH运算，生成数字指纹
（8）乙将生成的数字指纹与得到的数字指纹进行比较，如果一致，乙接受明文；如果不一致，乙丢弃明文。


国外反垃圾联盟（PBL）工作流程：
（1）FW收到SMTP消息后，提取发送方SMTP Server的ip地址
（2）FW将解析出来的IP地址和由第三方RBL服务器指定的RBL服务名放到一条信息中，向DNS Server发送解析请求
（3）DNS Server收到FW发送的信息后，读取RBL服务名，解析出RBL服务器对应的ip地址，将查询请求转发给RBL服务器
（4）RBL服务器收到DNS服务器转发的查询请求后，将结果以应答码的形式反馈给DNS Server, 应答码是一个IP地址，标识此次RBL查询是否有结果
（5）DNS Server将从RBL服务器获取的应答码转发给FW
（6）FW根据应答码判断来自该SMTP Server的邮件是否为垃圾邮件


智能DNS的配置过程如下：
（1）开启智能DNS功能。
（2）根据企业内网部署一台Web服务器或者多台Web服务器，选择如下配置之一：
单服务器智能DNS：当企业内网只部署一台Web服务器，即企业内网的DNS服务器上Web服务器的域名与一个Web服务器的IP地址对应时，选择配置单服务器智能DNS。
多服务器智能DNS：当企业内网部署多台Web服务器，即企业内网的DNS服务器上Web服务器的域名与多个Web服务器的IP地址对应时，选择配置多服务器智能DNS。
（3）配置服务器映射（NAT Server）功能，将访问报文的目的地址由公网地址映射为Web服务器的私网地址。
（4）配置源进源出功能，直接使用入接口作为DNS响应报文的出接口。

HTTP分为请求报文与响应报文。
TLS 协议由两部分组成，包括握手协议和记录协议。