Knowledge warehouse

二、Radius认证技术及配置1、Radius协议介绍RemoteAuthenticationDialInUserService ，远程用户拨号认证系统，是目前应用最广泛的AAA协议。 一种C/S结构的协议，它的客户端最初就是NAS(NetAccessServer) 服务器，任何运行RADIUS客户端软件的计算机都可以成为RADIUS 的客户端。RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Unix登录认证等多种方式。 深信服 AC...

一、LSAP高级认证技术及配置 识别LDAP服务器：LDAP是轻量级目录访问协议，以树状的层次结构来存储数据。 LDAP认证即用户的账号密码信息保存在第三方LDAP服务器上，AC将用户提交的用户名密码信息转给LDAP服务器校验，通过服务器返回的认证成功与否信息，决定用户是否通过AC/SG的认证。 AC支持的常见LDAP服务器有：MS（微软） Active Directory、Open LDAP、 SUN LDAP、IBM LDAP、 Lotus LDAP...

一、用户认证的需求背景 （1）身份风险：非法“用户”和“终端”采用非法方式接入网络； （2）外来人员可轻易接入组织内网，窃取内部核心资料，甚至破坏内部网络； （3）不安全终端接入网络，给内网环境带来极大的威胁，如导致病毒内网疯狂传播。 如何唯一确定一个用户？？？？？？ 用户认证简单定义：需要知道这个IP当前是谁在使用二、常见的用户认证技术 1、认证要素： ...

一、什么是漏洞？ 0Day漏洞： “零日漏洞”（zero-day）又叫零时差攻击，是指被发现后立即被恶意利用的安全漏洞。 通俗低讲，即安全补丁与瑕疵曝光的同一日内，相关的恶意程序就出现。 这种攻击往往具有很大的突发性与破坏性。人们掌握的安全漏洞知识越来越多，就有越来越多的漏洞被发现和利用。 一般使用防火墙、入侵检测系统和防病毒软件来保护关键业务IT基础...

不同方向的安全研究 （1）信息安全算法类： 密码算法、信息隐蔽与检测算法、数字水印嵌入与检测算法、数据挖掘与过滤算法量子计算、、、、、、、 （2）信息安全协议类： 认证协议、密钥交换与管理协议、电子支付协议、多方安全计算协议、安全协议的安全性分析理论与方法、、、、、、、 （3）信息系统安全类： 可信计算、...

一、网络威胁的发展历程 传统计算机病毒的特征： 通过媒介复制进行感染，达到破坏个人计算机的目的。例如：U盘病毒 二、信息安全发展历程 信息安全发展的4个阶段： 通信保密阶段——>计算机安全阶段——>信息技术安全阶段——>信息保障阶段 通信保密阶段： 时间：19世纪40~70年代 特点：（1）通过密码技术解决通信...

一、OSI参考模型1、通信概述 网络是用物理链路将各个孤立的工作站或主机相连一起，组成数据链路，从而达到资源共享和通信的目的。 通信是人与人之间通过某种媒体进行的信息交流与传递。 网络通信是通过网络将各个孤立的设备进行连接，通过信息交换实现人与人、人鱼计算机、计算机与计算机之间的通信。2、网络与网络通信 交换机：（1）终端用户设备的接入； （2）基本的接入安全功能； ...

一、全局负载（单站点）基本原理 1、A记录： 用来指定主机名（或域名）对应的IP地址。 LDNS：开通线路时，运营商告诉客户的DNS服务器。 2、NS记录：域名服务器记录 用来指定域名由哪个DNS服务器来进行解析。NS记录推荐格式： NS: www.abc.com ns1.abc.com ...

一、智能路由基本原理 》使用场景：外网多条线路时，部署传统的路由器总是出现：链路调度不均衡、跨运营商访问慢、当某条线路故障不能自动切换等各种上网问题； 》使用原理：出口具有多条外网线路时，根据源目IP、源目端口、链路选择策略等条件，设定基于某些策略的路由，以确定数据从哪个WAN口转发，实现智能选路功能，达到对多链路实现流量分隔，优化带宽的目的。该功能可以单独使用，推荐结合DNS代理一起使用。 1、链路选择策略原理： ...

一、DNS代理原理 1、DNS代理介绍：DNS代理主要应用于实现DNS流量的负载，同时可以针对指定域名返回指定结果，或者指定域名指向特定DNS服务器解析等。 代理过程：（1）终端发起DNS请求； （2）AD设备根据预设的策略（代理目标范围等）拦截用户的DNS请求，并重新按策略（选择策略等）分发至各线路对应的运营商DNS服务器； （3）AD收...

AD支持两种部署方式：网关模式和旁路模式。 》不同场景下的部署模式： 应用场景 主要依赖功能模块 支持部署模式 出站链路负载 智能路由 网关模式 入站链路负载 智能DNS 旁路模式、网关模式 服务器负载 应用负载 ...

一、传统网络和应用面临的挑战 1、传统路由器的负载均衡方式 》传统的边界路由器的运营商链路负载方式只有通过ECMP或策略路由的方式来实现。 》路由器ECMP链路负载方式：配置多条等价默认路由分别指向不同的ISP，通过路由选路将内网用户上网数据量HASH到ISP链路上实现链路负载。 缺点：无法根据链路带宽进行区分调度，经常出现跨运营商转发情况。如访问电信的服务器被转发到联通ISP，配置NAT映射会出现来回路径不一致访问不通的情况，资...

一、IPv6基础知识：1、IPv6地址表示方法： IPv6的地址长度为128位，是IPv4地址长度的4倍。采用十六进制表示。 IPv6地址分为两部分，分别是网络前缀和接口标识。 网络前缀：相当于IPv4中的网络ID；前缀可书写为：地址/前缀长度。例如：21DA:D3:0:2f3b::/64 》》IPv6的3种表示方法：（1）冒分十六进制表示法： 格式为 X:X:X:X:X:X:X:X，其中每个 ...

一、基础网络1、企业网络环境介绍》》计算机网络的类型： LAN----本地局域网：通常指几千米以内的，可以通过某种介质互联的计算机、打印机、modem或其他设备的集合；（常见：家庭网络） WAN----广域网：分布距离远，它可通过各种连接以便在更大的地理区域内实现接入；（常见：互联网）》》计算机网络的功能和衡量指标： 计算机网络的基本功能：资源共享、分布式处理与负载均衡、综合信息服务； 计算机网络的主要衡量指标： ...

1、链路层--ARP欺骗 ARP实现机制只考虑业务的正常交互，对非正常交互或恶意行为不做任何的验证。当主机收到ARP响应包后，不会去验证自己是否发送过这个ARP请求，而是直接将应答包里的MAC地址与IP地址的对应关系替换掉原有的ARP缓存表。 数据链路层常见的攻击有MAC泛洪攻击、ARP欺骗。2、网络层--ICMP攻击 网络层主要的攻击方式有ICMP不可达报文攻击。不同的系统对ICMP不可达报文（类型为3）的处理不同，有的系统...

1、协议栈自身的脆弱性缺乏数据源验证机制 缺乏完整性验证机制 缺乏机密性保障机制2、常见安全风险3、网络的基本攻击模式4、物理层--物理攻击 物理设备破坏 是指攻击者直接破坏网络的各种物理设施，比如服务器设备，或者网络的传输通信设施等 设备破坏攻击的目的主要是为了中断网络服务 物理设备窃听 光纤监听 红外监听 自然灾害 常见场景：高温、低温、洪涝、龙卷风、暴雨、地震、海啸、雷电等 常见处理方法：建设异地灾备数据中心 5、链路层-

1.1 信息安全现状及挑战网络空间安全市场在中国潜力无穷 数字化时代威胁升级——攻击频发，勒索病毒、数据泄露、黑客入侵等网络安全事件呈现上升趋势 传统防火墙、IPS、杀毒软件等基于特征库的安全检测，无法过滤变种僵/木/蠕、U盘带入、恶意的内部用户、BYOD带入1.2 信息安全脆弱性及常见安全攻击1.3 信息安全要素1.4 整体安全解决方案...