网络安全全景图：入门者必知的100个概念

网络安全全景图入门者必知的100个核心概念干了这么多年网络安全我发现一个规律很多人技术很熟练但基础概念一塌糊涂。问他SQL注入能说一堆但问到TCP三次握手就卡壳。这种偏科在实战中非常致命。这篇文章覆盖网络安全最核心的100个概念不求全但求扎实。适合准备面试、想转行做安全、或者想体系化提升的朋友。一、网络基础 — 不懂网络谈安全是空谈1. OSI七层模型网络安全的根基。我面试必问TCP在哪层HTTP在哪层交换机在哪层很多人答不上来。各层功能• **物理层**网线、光纤、网卡。物理攻击比如网线窃听、MAC地址泛洪• **数据链路层**MAC地址、交换机、ARP。ARP欺骗是内网渗透的入门技术• **网络层**IP、ICMP、路由器。IP欺骗、ICMP洪泛攻击发生在这里• **传输层**TCP、UDP。SYN洪泛、TCP会话劫持• **会话层**RPC、SQL会话。Session相关漏洞• **表示层**SSL/TLS、编码转换。加密传输在这里• **应用层**HTTP、DNS、SMTP。Web攻击、钓鱼、DNS劫持的大本营**实战建议**用Wireshark抓包看数据包逐层分析。坚持一个月网络协议这块就通了。2. TCP/IP协议栈OSI是理论模型TCP/IP是实际用的。四层模型网络接口、网络层、传输层、应用层。三次握手客户端 → SYN → 服务器客户端 ← SYNACK ← 服务器客户端 → ACK → 服务器连接建立**安全问题**SYN洪泛攻击利用的就是这个原理。攻击者疯狂发SYN服务器回SYNACK但永远收不到ACK连接队列耗尽。防御用SYN Cookies。**四次挥手**关闭连接需要四次交互TIME_WAIT状态会持续2-4分钟。渗透测试中注意这个细节有时候端口明明关闭了但还是能连上。3. IP地址与子网公网vs私网• 10.0.0.0/8 — 阿里云内网、很多企业内部网• 172.16.0.0/12 — 虚拟机默认网段• 192.168.0.0/16 — 家用路由器、办公室局域网**实战经验**渗透第一步往往是探测内网IP段。很多企业内网安全做得稀烂拿到IP段就成功了一半。子网掩码/24是256个IP/16是65536个。渗透时算清楚CIDR能省很多功夫。4. 端口与服务端口是服务的入口。nmap -sV跑一遍目标开了哪些服务基本清楚。• 21/22/23 — FTP/SSH/Telnet。弱口令爆破、SSH公钥注入• 25 — SMTP。邮件伪造、relay攻击• 53 — DNS。DNS劫持、DNS隧道、Zone Transfer• 80/443 — HTTP/HTTPS。Web漏洞的主战场• 3306 — MySQL。弱口令、UDF提权、写入Webshell• 3389 — RDP。蓝屏攻击、哈希传递• 6379 — Redis。未授权访问、主从同步写公钥• 27017 — MongoDB。未授权访问**血的教训**2016年某次渗透测试客户的Redis 6379端口对外开放我通过未授权访问写了SSH公钥直接拿到root。端口管理真的太重要了。5. DNS协议DNS是互联网的基石也是攻击面最大的服务之一。DNS查询流程① 查本地缓存② 查本地DNS服务器ISP的③ 本地DNS递归查询根域→.com域→example.com权威DNS攻击手段• **DNS欺骗**伪造DNS响应把域名解析到恶意IP。ARP欺骗配合效果更好• **DNS隧道**DNS协议本身很宽松数据可以封装在DNS查询里。著名工具dnscat2、iodine• **DNS劫持**ISP劫持最常见访问域名跳转到他想要的页面• **DNS放大**利用DNS响应包比请求包大的特点进行DDoS**防御**DNSSEC签名验证、DNS-over-HTTPS加密查询、定期检查DNS记录。二、安全核心概念 — 搞懂这些才算入门6. CIA三元组信息安全的ABC。任何安全方案都可以用这三个维度去评估。机密性Confidentiality• 数据不被未授权的人看到• 手段加密对称AES、非对称RSA、访问控制、数据分类**案例**某公司数据库被拖密码用MD5存的黑客秒破解。如果用了bcrypt或AES加密完全不同完整性Integrity• 数据不被未授权修改• 手段数字签名、哈希校验SHA-256、版本控制**案例**软件更新包被篡改植入后门。数字签名验证可以杜绝这个问题可用性Availability• 需要的时候能用• 手段冗余、负载均衡、DDoS防护、备份**案例**电商大促被DDoS打挂损失千万。提前做流量清洗和弹性扩容7. 身份认证与授权认证是你是谁授权是你能做什么。这两个概念分不清权限管理必出问题。认证因素• **知识因素**密码、PIN、安全问题。“你知道什么”• **持有因素**手机、硬件令牌、银行卡。“你有什么”• **固有因素**指纹、虹膜、人脸、声音。“你是什么”**多因素认证MFA**至少用两种不同类型的因素。密码手机验证码是最常见的。强烈建议所有账号都开MFA。授权模型• **RBAC**基于角色。管理员、编辑、访客。简单粗暴• **ABAC**基于属性。时间、地点、设备、部门。精细但复杂• **最小权限**只给够用的权限用完回收8. 对称加密加密和解密用同一把密钥。速度快适合加密大量数据。**AES**现在的事实标准。128/192/256位密钥长度。各种模式• ECB最简单但相同明文产生相同密文不安全• CBC常用需要随机IV• GCM带认证推荐使用**问题**密钥怎么传递两个人用同一把钥匙钥匙泄露就完蛋。所以才有非对称加密。9. 非对称加密公钥和私钥一对。公钥加密私钥解密或者私钥签名公钥验证。**RSA**最经典。密钥长度2048位起步。数学原理是大数分解。**ECC**椭圆曲线密码学。同等安全强度下密钥短很多。移动端推荐用ECC。**混合加密**实际用法用对方公钥加密一个随机对称密钥→用对称密钥加密实际数据→对方用私钥解密得到对称密钥再用对称密钥解密数据。TLS就是这样工作的。10. 哈希与数字签名**哈希散列**把任意长度输入变成固定长度输出。单方向无法反推。• MD5不安全可碰撞。2010年后不要用于安全场景• SHA-1逐步淘汰中Chrome已经标记SHA-1证书不安全• SHA-256目前推荐。SHA-3更安全但用得少• bcrypt专为密码存储设计带盐值可配置计算成本**数字签名**私钥签名公钥验证。证明这确实是某人发的。11. 数字证书与PKI公钥解决了加密问题但怎么证明这个公钥确实是这个人的答案是证书。**X.509证书**包含公钥、身份信息、CA签名。主体、颁发者、公钥、有效期、CA签名。**证书链**浏览器验证证书时会验证CA的CA形成链。最顶层是根CA操作系统内置。**自签名证书**自己签自己的证书。不被浏览器信任但内网测试、临时环境可以用。12. SSL/TLSHTTPS HTTP TLS。互联网最重要的安全协议。TLS握手简化版① ClientHello客户端说我支持哪些加密套件② ServerHello服务端选一个发送证书③ 证书验证客户端验证证书链、有效期、域名④ 密钥交换用服务端公钥加密预主密钥或者用DH/ECDH⑤ 握手完成双方用预主密钥生成会话密钥开始加密通信**漏洞历史**SSLv2、SSLv3、Poodle攻击、TLS 1.0/1.1的BEAST攻击。现在应该禁用SSL和TLS 1.0/1.1只用TLS 1.2或1.3。三、防御技术 — 知道攻击才能防御13. 防火墙网络边界的第一道防线。根据规则放行或阻断流量。类型• **包过滤**只看IP、端口、协议。简单快速但容易被IP欺骗• **状态检测**跟踪连接状态。TCP三次握手、UDP会话。主流• **应用层网关**深入分析应用层协议。可以检测HTTP内容、FTP命令• **下一代NGFW**集成应用识别、IPS、用户识别、威胁情报**部署**DMZ放对外服务内网和DMZ隔离核心区域与DMZ隔离。最小化放行规则。14. VPN在公网上建立加密隧道。远程办公必备。协议• **IPSec**网络层加密。两种模式传输模式和隧道模式。三大协议AH认证头、ESP封装安全载荷、IKE密钥交换• **SSL VPN**基于TLS。浏览器就能用方便。适合移动办公• **WireGuard**新秀。代码量只有4万行配置简单性能好**零信任替代**传统VPN是打洞模式连接后信任内网所有东西。零信任ZTNA每个请求都要验证更安全。15. IDS/IPS检测和防御入侵。**IDS**检测到威胁只告警不阻断。旁路部署。• **签名检测**基于已知攻击特征。Snort规则库• **异常检测**基于正常行为建立基线偏离就告警**IPS**串接直接阻断。需要精心调优避免误阻断。16. WAFWeb应用防火墙。专门保护HTTP/HTTPS流量。检测内容• SQL注入特征’ OR ‘1’1、UNION SELECT• XSS特征• 路径穿越…/、…\• 命令执行whoami、cat /etc/passwd**部署**硬件、软件、云WAF。云WAFCloudflare、阿里云部署最简单。**注意**WAF不是万能的。绕过WAF是渗透测试的必备技能。编码、混淆、分片都能尝试。四、常见攻击 — 知己知彼17. DDoS攻击拒绝服务攻击。让服务不可用。类型• **容量型**UDP洪泛、ICMP洪泛。用流量撑爆带宽• **协议型**SYN洪泛、Ping of Death。利用协议缺陷• **应用层**HTTP洪泛、慢速HTTP。CC攻击最常见**防御**流量清洗把攻击流量引到清洗中心过滤、CDN分散流量CDN节点扛大部分、弹性扩容云服务自动加机器、高防IP专门抗DDoS的IP。18. SQL注入Web漏洞TOP 1。通过用户输入拼接SQL语句。最简单示例后端代码sql “SELECT * FROM users WHERE username ” username “”正常输入admin → SQL: SELECT * FROM users WHERE username ‘admin’恶意输入admin’ OR ‘1’1 → SQL: SELECT * FROM users WHERE username ‘admin’ OR ‘1’‘1’‘1’1’永远为真返回所有用户防御• **参数化查询**用占位符数据库自动转义。必须这样做• **输入验证**白名单验证类型、长度• **最小权限**数据库用户只给必要权限不要用root• **WAF**辅助防护19. XSS跨站脚本在页面注入JavaScript代码窃取Cookie、会话劫持。类型• **反射型**恶意代码在URL参数里服务器直接返回。例子?name• **存储型**恶意代码存到数据库所有访问者受害。留言板、评论区• **DOM型**前端JS处理URL时触发不经过服务器防御• **输出编码**HTML实体编码变成• **CSP**内容安全策略限制脚本执行来源• **HttpOnly**Cookie设置HttpOnlyJS读不到20. CSRF跨站请求伪造诱导用户访问恶意页面以用户身份发请求。**攻击原理**恶意页面用户登录银行后访问此页面浏览器自动带上银行的Cookie服务器认为是合法请求执行转账。防御• **CSRF Token**表单带随机Token服务器验证• **SameSite Cookie**设置SameSiteStrict/Lax• **验证Referer**检查请求来源21. 中间人攻击MITM插入到通信双方之间窃听或篡改。常见手法• **ARP欺骗**发伪造ARP包让目标把流量发到攻击者• **DNS欺骗**伪造DNS响应• **SSL剥离**阻止用户与服务器建立HTTPS强制用HTTP**防御**HTTPS全程加密、证书验证不忽略证书警告、HSTS强制HTTPS。五、安全运营与框架22. CVE与漏洞评分**CVE**通用漏洞披露。每个漏洞有一个唯一ID。格式CVE-年份-编号。如CVE-2024-12345。查漏洞cve.mitre.org**CVSS**漏洞评分系统。0-10分0-3.9低危、4-6.9中危、7-8.9高危、9-10严重。**0day**未公开的漏洞。厂商还没补丁。APT攻击最爱用。23. 渗透测试授权的安全评估。模拟黑客攻击发现漏洞。类型• **黑盒**不了解目标完全外部视角• **白盒**给全部信息更全面• **灰盒**给部分信息平衡效率**流程**信息收集→漏洞发现→漏洞利用→权限提升→横向移动→持续控制→清理痕迹→报告24. 威胁情报关于威胁的信息。帮助知己知彼。• **IOC**妥协指标。恶意IP、域名、文件哈希• **TTP**战术、技术、过程。攻击者的套路• **情报源**开源MISP、AlienVault、商业Recorded Future、厂商FireEye25. 安全框架做安全需要方法论。NIST网络安全框架• **识别**资产管理、风险评估• **保护**访问控制、数据安全• **检测**持续监控、异常检测• **响应**事件响应、沟通• **恢复**恢复计划、改进**ISO 27001**信息安全管理体系国际标准。认证过的企业说明安全管理达到国际水平。**MITRE ATTCK**攻击技术知识库。覆盖了已知的所有攻击技术。是红蓝对抗的重要参考。六、快速概念清单26-100以下是后续需要学习的概念按类别整理• **26. 零信任**永不信任始终验证 • **27. 最小权限**只给够用的权限 • **28. 纵深防御**多层防护 • **29. 攻击面**暴露的入口点 • **30. 风险管理**识别、评估、缓解风险• **31. SOC**安全运营中心7x24监控 • **32. SIEM**日志聚合分析 • **33. SOAR**自动化响应 • **34. EDR**端点检测响应 • **35. XDR**扩展检测响应• **36. DLP**数据防泄漏 • **37. 恶意软件**病毒、木马、蠕虫、勒索软件 • **38. 勒索软件**加密数据索要赎金 • **39. 供应链攻击**通过供应商渗透 • **40. APT**高级持续性威胁• **41. 社工**利用人性弱点 • **42. 钓鱼**伪装诱骗 • **43. 鱼叉式钓鱼**定向精准钓鱼 • **44. 沙箱**安全隔离分析 • **45. 蜜罐**诱饵系统• **46. 威胁狩猎**主动搜寻威胁 • **47. 应急响应**安全事件处置 • **48. 取证**数字证据分析 • **49. 日志分析**通过日志发现异常 • **50. 流量分析**网络流量模式• **51. 云原生安全**容器、K8s • **52. DevSecOps**安全融入开发 • **53. 代码审计**源代码审查 • **54. SAST/DAST**静态/动态安全测试 • **55. 红队**模拟攻击• **56. 蓝队**防御方 • **57. 紫队**红蓝协作 • **58. Burp Suite**Web渗透工具 • **59. Nmap**端口扫描 • **60. Metasploit**渗透框架• **61. Wireshark**抓包分析 • **62. 堡垒机**运维审计 • **63. 数据库审计**操作监控 • **64. 移动安全**App安全 • **65. API安全**接口安全• **66. IAM**身份管理 • **67. PAM**特权访问管理 • **68. 数据脱敏**测试数据保护 • **69. 灾备**备份恢复 • **70. 等保**网络安全等级保护• **71. GDPR**欧盟数据保护 • **72. PCI-DSS**支付卡安全 • **73. 补丁管理**系统更新 • **74. 安全基线**配置标准 • **75. 资产发现**识别IT资产• **76. 漏洞管理**发现-评估-修复-验证 • **77. 安全培训**安全意识 • **78. 钓鱼演练**测试员工 • **79. 安全策略**安全规则 • **80. 安全审计**合规检查• **81. 风险评估**威胁分析 • **82. 业务连续性**BCP/DR • **83. 安全度量**KPI/KRI • **84. 区块链安全**智能合约 • **85. 物联网安全**IoT设备• **86. 无线安全**WiFi安全 • **87. 物理安全**门禁、监控 • **88. 人员安全**背景调查 • **89. 供应商安全**第三方风险 • **90. 安全架构**整体设计• **91. 渗透报告**漏洞记录 • **92. 漏洞赏金**Bug Bounty • **93. CTF**网络安全竞赛 • **94. CVE库**漏洞数据库 • **95. 威胁建模**STRIDE、攻击树• **96. 密码管理**密码策略 • **97. 多因素认证**MFA • **98. 加密备份**安全备份 • **99. 网络分段**VLAN隔离 • **100. 日志保留**审计日志总结这100个概念是网络安全的入门门槛。搞懂这些你才能跟别人说我做安全。学习资源如果你也是零基础想转行网络安全却苦于没系统学习路径、不懂核心攻防技能光靠盲目摸索不仅浪费时间还消磨自己信心。这份 360 智榜样学习中心独家出版《网络攻防知识库》专为转行党量身打造01内容涵盖这份资料专门为零基础转行设计19 大核心模块从 Linux系统、Python 基础、HTTP协议等地基知识到 Web 渗透、代码审计、CTF 实战层层递进攻防结合的讲解方式让新手轻松上手真实实战案例 落地脚本直接对标企业岗位需求帮你快速搭建转行核心技能体系这份完整版的网络安全学习资料已经上传CSDN【保证100%免费】**读者福利 |***CSDN大礼包《网络安全入门进阶学习资源包》免费分享 *安全链接放心点击02 知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。03 谁需要掌握本知识库负责企业整体安全策略与建设的CISO/安全总监从事渗透测试、红队行动的安全研究员/渗透测试工程师负责安全监控、威胁分析、应急响应的蓝队工程师/SOC分析师设计开发安全产品、自动化工具的安全开发工程师对网络攻防技术有浓厚兴趣的高校信息安全专业师生04部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。1、网络安全意识2、Linux操作系统3、WEB架构基础与HTTP协议4、Web渗透测试5、渗透测试案例分享6、渗透测试实战技巧7、攻防对战实战8、CTF之MISC实战讲解这份完整版的网络安全学习资料已经上传CSDN【保证100%免费】**读者福利 |***CSDN大礼包《网络安全入门进阶学习资源包》免费分享 ***安全链接放心点击**