防火墙|WAF|漏洞|网络安全

防火墙|WAF|漏洞|网络安全

在这里插入图片描述

防火墙

根据内容分析数据包:

1、源IP和目的IP地址
2、有效负载中的内容。
3、数据包协议(例如,连接是否使用 TCP/IP 协议)。
4、应用协议(HTTP、Telnet、FTPDNSSSH 等)。
5、表明特定网络攻击的数据模式。

功能

地址转换、网络环境支持、带宽管理功能、入侵检测和攻击防御、用户认证、高可用性、

分类

防火墙工作于OSI模型层次越高,检查数据包中的信息就越多,消耗的工作周期越长,提供的安全保护等级就越高
基于部署方式分,有三种:
1、软件防火墙
直接部署在主机设备上,只保护一台主机
2、硬件防火墙
单独的硬件,用于过滤进出网络的流量,适合大型企业
3、基于云的防火墙
通过Internet按需要提供,Faas防火墙即服务,

基于操作方法的防火墙分,有n种:
1、包过滤防火墙
充当网络层的检查站点,OSI第三层网络层,
2、电路级网关
OSI第五层会话层,监视本地和远程主机之间的TCP握手,仅处理请求的事务,并拒绝所有其他流量。不检查数据包
3、状态检测防火墙
OSI第三层和第四层:网络层和传输层,监控传入传出的数据包,检查源IP、目的IP和端口号
4、代理防火墙/应用级网关
具有深度包检测的功能(DPI)
5、下一代防火墙(NGFW)
将其他防火墙的多种功能集成在一起的安全设备或程序

对于数据流防火墙处理方式:
1、允许数据通过
2、拒绝数据流通过,并且向发送者发送数据流已经被拒绝
3、将数据流丢弃,此时防火墙不会对数据进行任何处理,也不会发送任何信息给发送者

性能指标

吞吐量(每一秒内处理数据包的最大能力),越大性能越高
时延(系统处理数据包所需要的时间),越小性能越高
丢包率(数据应转发但是未转发的百分比),越小性能越高
并发连接数量(最大能够同时处理的连接会话个数,一个链接就是一个TCP/UDP的访问),越大性能越高
新建链接速率(每一秒以内防火墙所能够处理的 HTTP 新建连连接请求的数量),越大性能越高

WAF ( Web Application Firewall ) 网络应用防火墙

一种HTTP入侵检测和防御系统,可以视为用户和应用程序本身之间的中介,通信到达应用程序或者用户之间对其分析,WAF处于第OSI模型第七层,应用层

用处

  • 过滤HTTP/HTTPS协议流量,防护Web攻击。
  • WAF可以对Web应用进行安全审计
  • WAF可以防止CC攻击(针对Web服务的攻击,模仿正常用户请求耗尽服务器资源)
  • 应用交付

不能

  • WAF不能过滤其他协议流量,如FTP、PoP3协议
  • WAF不能实现传统防护墙功能,如地址映射
  • WAF不能防止网络层的DDoS攻击
  • 防病毒

特点

  • 具备威胁感知能力
  • 具备HTTP/HTTPS深度检测能力. 检出率高,误报率低/漏报率低
  • 高性能
  • 复杂环境下高稳定性

IPS入侵防御系统

一种网络安全设备,监视网络流量,并且根据预定义的规则和策略检测阻止可能的网络攻击,可以部署在网络边界(不同安全级别的网络之间的连接形成了网络边界)、数据中心、云环境、边界防火墙等位置部署,以防止来自外部和内部网络的攻击。

漏洞

漏洞是指一个系统存在的弱点或缺陷,系统对特定威胁攻击或危险事件的敏感性,或进行攻击的威胁作用的可能性。

1-弱口令

使用容易被盗取/套取的密码

2-SQL注入

Web应用向后端传递SQL语句进行数据库操作时,若对用户输入参数没有经过严格的过滤处理,那么攻击者就可以通过构造特殊的SQL语句,直接输入数据库引擎执行,获取或修改数据库中的数据。

防御

通过预设定SQL语句,加上PrepareStatement函数获取用户输入作为参数,拼接到SQL语句中,而不是直接将用户输入作为参数。

3-文件上传

攻击者可能上传恶意文件到服务器,若服务器未对上传文件进行严格的验证和过滤,就可能导致攻击方获取执行服务端命令的能力

防御
  • 文件上传目录设置不可执行
  • 判断文件类型是否合法
  • 使用安全设备防御

4-XSS攻击(跨站脚本攻击)

攻击者在网页中嵌入客户端脚本(通常是JavaScript的恶意脚本)当用户使用浏览器加载被嵌入恶意代码的网页时,恶意脚本代码就会在用户的浏览器执行,造成跨站脚本的攻击,可能会被窃取敏感信息,篡改网页内容,截止用户会话,重定向用户等等
反射型XSS攻击
在网页URL里修改HTML代码,然后将URL链接转成短小链接,用户点击,然后遭受攻击(诈骗链接)
在这里插入图片描述

存储型XSS攻击
攻击方通过发表带有恶意攻击代码到网页上,服务器没有进行过滤就将其保存,正常用户访问的时候就会访问到有恶意攻击的网页,从而被攻击
在这里插入图片描述
DOM型

防御
  • 对特殊字符(如 <、>、 ’ 、 ”等)以及

5-CSRF(跨站请求伪造)

攻击者利用目标用户的身份,执行某些非法的操作,可能会篡改目标站点上的用户数据,盗取用户隐私数据、传播 CSRF 蠕虫

防御
  • 检查HTTP Referer是否是同域
  • 限制Session Cookie的生命周期,减少被攻击的概率
  • 使用验证码
  • 使用一次性token

6-SSRF(Server-Side Request Forgery服务器端请求伪造)

攻击者伪造成用户,然后访问服务器的资源,主要是由于服务器B未对传回的请求作特殊处理造成。
遭受拒绝服务攻击、读取任意文件、扫描内网(主机、端口)
在这里插入图片描述

防御
  • 禁用不需要的协议,仅允许http和https
  • 根据请求需求,可以将特定域名加入白名单,拒绝白名单之外的请求
  • 统一错误信息,避免用户根据错误信息来判断远程服务器的端口状态
  • 限制请求的端口为http的常用端口,比如:80、443、8080等

7-XXE(XML外部实体注入)

XML External Entity Injection,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致用户可以控制外部的加载文件,造成XXE漏洞。可能会造成任意文件的读取、内网端口探测、拒绝服务攻击。

防御
  • 使用开发语言提供的禁用外部实体的方法
  • 过滤用户提交的XML数据

8-远程代码执行漏洞

应用程序调用系统命令函数,比如php中的system、exec、shell_exec的函数,执行系统命令,攻击者通过修改这些函数中的参数,将恶意命令拼接到正常命令中,从而造成命令攻击

防御
  • 尽量不要使用命令执行函数
  • 客户端提交的变量在进入执行命令函数方法之前,一定要做好过滤,对敏感字符进行转义
  • 在使用动态函数之前,确保使用的函数是指定的函数之一
  • 对PHP语言来说,不能完全控制的危险函数最好不要使用

9-反序列化漏洞

将字节流转换成具体内容时,被注入了恶意程序,导致恶意代码被执行
在这里插入图片描述

防御
  • 应该尽量避免用户输入反序列化的参数
  • 严格控制反序列化相关函数的参数,坚持用户所输入的信息都是不可靠的原则
  • 做好代码审计相关工作,提高开发人员的安全意识
  • 对于反序列化后的变量内容进行检查,以确定内容没有被污染

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/912759.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【Linux系统编程】第四十四弹---从TID到线程封装:全面掌握线程管理的核心技巧

✨个人主页&#xff1a; 熬夜学编程的小林 &#x1f497;系列专栏&#xff1a; 【C语言详解】 【数据结构详解】【C详解】【Linux系统编程】 目录 1、tid是什么 1.1、理解库 1.2、理解tid 1.3、tid中线程局部存储 2、封装线程 2.1、基本结构 2.2、函数实现 2.3、使用…

医学图像算法之基于Unet的视网膜血管分割

第一步&#xff1a;准备数据 视网膜血管分割数据比较少&#xff0c;但效果好&#xff0c;总共40张 第二步&#xff1a;搭建模型 UNet主要贡献是在U型结构上&#xff0c;该结构可以使它使用更少的训练图片的同时&#xff0c;且分割的准确度也不会差&#xff0c;UNet的网络结构…

ARM死机(HardFault)调试技巧详解(栈回溯,不破坏现场)

目录 Keil调试技巧&#xff1a; 一.不破坏现场连接仿真器与进入debug 二.栈回溯 死机调试示例 J-Link调试方法 示例&#xff1a;空指针异常 不能连接烧录器或者读取内存怎么办&#xff1f; 在日常开发中&#xff0c;经常会遇到单片机卡死机等问题&#xff0c;经常很难定…

nodejs 020: React语法规则 props和state

props和state 在 React 中&#xff0c;props 和 state 是管理数据流的两种核心机制。理解它们之间的区别和用途是构建 React 应用程序的基础。 一、props 和 state的区别 特性propsstate定义方式由父组件传递给子组件的数据组件内部管理的本地数据是否可修改不可变&#xff…

【开源免费】基于SpringBoot+Vue.JS水果购物网站(JAVA毕业设计)

博主说明&#xff1a;本文项目编号 T 065 &#xff0c;文末自助获取源码 \color{red}{T065&#xff0c;文末自助获取源码} T065&#xff0c;文末自助获取源码 目录 一、系统介绍二、演示录屏三、启动教程四、功能截图五、文案资料5.1 选题背景5.2 国内外研究现状5.3 可行性分析…

python可视化进阶

引用&#xff1a; 首先需要安装 plotnine from plotnine import* import joypy数据可视化进阶操作 3.1 类别数据可视化 【例3-1】——绘制简单条形图 【代码框3-1】——绘制简单条形图 # 图3-1的绘制代码 import pandas as pd import matplotlib.pyplot as plt from cvxpy …

大模型入门自学资源汇总,很难找到比这还全的大模型学习资源总结了!

接触各种AI工具到现在也快两年了&#xff0c;今年和同学陆续做了一些AI应用的科普宣讲&#xff0c;在这过程中收集了不少自学资源&#xff0c;特地挑出一部分整理成以下的内容。 书籍 大模型应用开发极简入门&#xff1a;基于GPT-4和ChatGPT 首推今年年初出版的《大模型应用开…

为何选择Spring AI Alibaba开发智能客服平台?

0 前言 本文来看如何使用Spring AI Alibaba构建Agent应用。 1 需求 智能客服平台&#xff0c;可帮助用户完成机票预定、问题解答、机票改签、取消等动作&#xff0c;具体要求&#xff1a; 基于 AI 大模型与用户对话&#xff0c;理解用户自然语言表达的需求支持多轮连续对话…

Python学习从0到1 day27 第三阶段 Spark ② 数据计算Ⅰ

人总是会执着于失去的&#xff0c;而又不珍惜现在所拥有的 —— 24.11.9 一、map方法 PySpark的数据计算&#xff0c;都是基于RDD对象来进行的&#xff0c;采用依赖进行&#xff0c;RDD对象内置丰富的成员方法&#xff08;算子&#xff09; map算子 功能&#xff1a;map算子…

数据结构合并两个有序链表

数据结构 1.合并两个有序数组代码&#xff1a; 1.合并两个有序数组 这里我们可以创建一个新的对象作为合并后的新链表newHead&#xff0c;而NewHead.next就是我们要返回的头部的位置 在创建一个对象来获取nextHead.next下一个节点来作为我们新链表的起始位置防止我们的头部位置…

动态规划 —— dp 问题-买卖股票的最佳时机含手续费

1. 买卖股票的最佳时机含手续费 题目链接&#xff1a; 714. 买卖股票的最佳时机含手续费 - 力扣&#xff08;LeetCode&#xff09;https://leetcode.cn/problems/best-time-to-buy-and-sell-stock-with-transaction-fee/description/ 2. 算法原理 状态表示&#xff1a;以某一个…

利用pythonstudio写的PDF、图片批量水印生成器,可同时为不同读者生成多组水印

现在很多场合需要将PDF或图片加水印&#xff0c;本程序利用pythonstudio编写。 第一步 界面 其中&#xff1a; LstMask:列表框 PopupMenu:PmnMark LstFiles:列表框 PopupMenu:PmnFiles OdFiles:文件选择器 Filter:PDF文件(.PDF)|.PDF|图像文件(.JPG)|.JPG|图像文件(.png…

基于python深度学习技术矩阵分解的推荐系统,通过学习隐含特征,实现推荐

实现了一个基于矩阵分解的推荐系统&#xff0c;用于预测用户对电影的评分。具体来说&#xff0c;该程序通过TensorFlow构建和训练一个模型&#xff0c;来学习用户和电影之间的隐含特征&#xff0c;并根据这些特征预测评分。以下是代码的主要功能和步骤的详细描述&#xff1a; …

[vulnhub] DarkHole: 1

https://www.vulnhub.com/entry/darkhole-1,724/ 端口扫描主机发现 探测存活主机&#xff0c;184是靶机 nmap -sP 192.168.75.0/24 Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-11-08 09:59 CST Nmap scan report for 192.168.75.1 Host is up (0.00027s latency). MA…

4.1 WINDOWS XP,ReactOS对象与对象目录----1

系列文章目录 文章目录 系列文章目录4.1 对象与对象目录OBJECT_HEADERObpLookupEntryDirectory()NtCreateTimer() 4.1 对象与对象目录 “对象(Object)”这个词现在大家都已耳熟能详了&#xff0c;但是对象到底是什么呢?广义地说&#xff0c;对象就是“目标”&#xff0c;行为…

STM32H503开发(2)----STM32CubeProgrammer烧录

STM32H503开发----2.STM32CubeProgrammer烧录 概述硬件准备视频教学样品申请源码下载参考程序自举模式BOOT0设置UART烧录USB烧录 概述 STM32CubeProgrammer (STM32CubeProg) 是一款用于编程STM32产品的全功能多操作系统软件工具。 它提供了一个易用高效的环境&#xff0c;通过…

“双十一”电商狂欢进行时,在AI的加持下看网易云信IM、RTC如何助力商家!

作为一年一度的消费盛会&#xff0c;2024年“双十一”购物狂欢节早已拉开帷幕。蹲守直播间、在主播热情介绍中点开链接并加购&#xff0c;也已成为大多数人打开“双11”的重要方式。然而&#xff0c;在这火热的购物氛围背后&#xff0c;主播频频“翻车”、优质主播稀缺、客服响…

debian系统安装qt的时候 显示xcb相关文件缺失

如果是安装之后的问题 我们可以选择使用ldd的命令查看当前依赖的so那些文件确实 ldd /home/yinsir/Qt/5.15.2/gcc_64/plugins/platforms/libqxcb.so 本人在进行打包的时候 出现则会个报错 ERROR: ldd outputLine: “libxcb-util.so.1 > not found” ERROR: for binary: “/…

A023-基于SpringBoot的冷链物流系统的设计与实现

&#x1f64a;作者简介&#xff1a;在校研究生&#xff0c;拥有计算机专业的研究生开发团队&#xff0c;分享技术代码帮助学生学习&#xff0c;独立完成自己的网站项目。 代码可以查看文章末尾⬇️联系方式获取&#xff0c;记得注明来意哦~&#x1f339; 赠送计算机毕业设计600…

【数据分析】如何构建指标体系?

有哪些指标体系搭建模型&#xff1f;五个步骤教你从0开始搭建指标体系 一、企业指标体系搭建存在什么问题 许多企业在搭建数据指标体系时遇到了诸多难题&#xff0c;如问题定位不准确、数据采集不完整、目标不一致、报表无序、指标覆盖不全面以及报表价值未充分利用等。 1、…