cisp-pte安全渗透工程师，如何成为安全渗透测试工程师？从认识网络安全威胁开始

cisp-pte安全渗透工程师，如何成为安全渗透测试工程师？从认识网络安全威胁开始

网络安全威胁是指网络系统所面临的，由已经发生的或潜在的安全事件对某一资源的保密性、完整性、可用性或合法使用所造成的威胁。能够在不同程度、不同范围内解决或者缓解网络安全威胁的手段和措施就是网络安全服务。

网络系统所面临的安全威胁包括四个方面：信息泄露、完整性破坏、业务拒绝、非法使用。我们可以使用一些网络安全服务来解决这些问题。例如身份认证、接入安全、数据安全、防火墙技术、攻击检测及防范等。

1. 身份认证
   1. AAA认证：Authentication、Authorization、Accounting（认证、授权、计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。可以通过多种协议来实现，例如RADIUS协议、HWTACACS协议或LDAP协议，在实际应用中最常使用的是RADIUS协议。
   2. PKI认证：PKI（Public Key Infrastructure，公钥基础设施）是一个利用公共密钥理论和技术来实现并提供信息安全服务的具有通用性的安全基础设施。在PKI系统中，以数字证书的形式分发和使用公钥。数字证书是一个用户的身份和他所持有的公钥的结合。基于数字证书的PKI系统，能够为网络通信和网络交易（例如电子政务和电子商务业务）提供各种安全服务。
2. 接入安全
   1. 802.1X认证：802.1X协议是一种基于端口的网络接入控制协议，即在局域网接入设备的端口上对所接入的用户进行认证，以便接入设备控制用户对外部网络资源的访问。接入设备上的802.1X认证需要用户侧802.1X客户端的配合，主要用于解决以太网内部接入认证和安全方面的问题。
   2. MAC地址认证：基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，它不需要用户安装任何客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址以后，即启动对该用户的认证操作。认证过程中，不需要用户手工输入用户名或者密码。若用户认证成功，则允许其通过该端口访问网络资源。
   3. 端口安全：基于MAC地址对网络接入进行控制的安全机制，是对已有的802.1X认证和MAC地址认证的扩充。该机制有两方面的作用：通过检测端口收到的数据帧中的源MAC地址来控制非授权设备对网络的访问；通过检测从端口发出的数据帧中的目的MAC地址来控制对非授权设备的访问。
   4. Portal认证：通常也称为Web认证，即通过Web页面接受用户输入的用户名和密码，对用户进行认证。Portal认证技术提供一种灵活的访问控制方式，不需要安装客户端，就可以在接入层以及需要保护的关键数据入口处实施访问控制。
   5. Triple认证：允许端口上同时开启多种接入认证方式的解决方案，它允许在设备的二层端口上同时开启Portal认证、MAC地址认证和802.1X认证功能，使得用户可以选用其中任意一种方式进行认证来接入网络。
3. 数据安全
   1. 公钥管理：主要用于管理非对称密钥对，包括本地密钥对的生成、销毁、显示和导出，以及如何将远端主机公钥保存到本地。
   2. IPsec/IKE：IPsec（IP Security，IP安全）是一个IP层的安全框架，它为网络上传输的IP数据提供安全保证，是一种传统的实现三层VPN的安全技术。IKE（Internet Key Exchange，因特网密钥交换）为IPsec提供了自动协商安全参数的服务，能够简化IPsec的配置和维护工作。
   3. SSL/SSL VPN：SSL是一个提供私密性保护的安全协议，主要采用公钥密码机制和数字证书技术，为基于TCP的应用层协议提供安全连接，如SSL可以为HTTP协议提供安全连接。SSL VPN是以SSL为基础的VPN技术，工作在传输层和应用层之间,广泛应用于基于Web的远程安全接入。
   4. SSH：Secure Shell的简称，它能够在不安全的网络上提供安全的远程连接服务。
4. 防火墙技术
   1. 基于ACL的包过滤：实现了对IP数据包的过滤。
   2. ASPF：高级状态包过滤，是基于应用层状态的报文过滤。它可以进行传输层协议检测和应用层协议检测。
   3. ALG：是一种对应用层报文进行处理的技术，它通过与NAT（Network Address Translation，网络地址转换）、ASPF等技术的组合应用，实现对应用层的处理和检测。
5. 攻击检测及防范
   1. ARP攻击防范：ARP协议有简单、易用的优点，但是因为没有任何安全机制而容易被攻击发起者利用。
   2. ND攻击防御：IPv6 ND（Neighbor Discovery，邻居发现）协议功能强大，但没有自身的安全机制，容易被攻击者利用。
   3. TCP/IP攻击防御：针对攻击者利用TCP连接的建立过程或者通过发送大量ICMP分片报文形成的网络攻击，TCP和ICMP攻击防御可以提供SYN Cookie功能、防止Naptha功能、关闭ICMP分片报文转发功能。
   4. SAVI：源地址有效性验证，功能应用在接入设备上，通过ND Snooping特性、DHCPv6 Snooping特性及IP Source Guard特性建立起地址和端口的绑定关系表，并且以绑定关系为依据对DHCPv6协议报文、ND协议报文和IPv6数据报文的源地址进行合法性的过滤检查。
   5. WEB过滤：通过过滤内部用户的非法Web访问请求，包括阻止内部用户访问非法网址，以及对网页内的Java或ActiveX程序进行阻断，来提高内部网络的安全性。
   6. DDOS流量清洗：主要是为了解决运营商网络中日益严重的DDOS攻击而构建的解决方案，该方案的核心是在运营商网络中建立流量清洗中心，通过该清洗中心为遭受DDoS困扰的机构提供流量清洗服务，解除受害机构的DDoS威胁。

 

这些网络安全和数据保护的防范措施都有一定的限度，并不是越安全就越可靠。因而，看一个网络是否安全时不仅要考虑其手段，而更重要的是对该网络所采取的各种措施，其中不仅是物理防范，而且还有人员素质其他因素，进行综合评估，从而得出是否安全的结论。cisp-pte安全渗透工程师，如何成为安全渗透测试工程师？从认识网络安全威胁开始