案例一:企业网络安全与防护案例某企业网络拓扑如图所示,注册xyz.cn域名对外提供 WEB 服务,接入 ISP 并获得 1 个公网 IP 地址113.14.223.16用于对外提供 WEB 服务和内部用户访问互联网。问题 2该企业计划启用 WEB 业务的 HTTPS 服务,与 HTTP 相比,HTTPS 通过(5)和 TLS 协议提升数据传输安全,在启用 HTTPS 之前,需要先为xyz.cn域名申请数字证书,其作用是鉴别主体的(6)。在 WEB 服务器部署数字证书后,某位员工报告说通过 HTTPS 访问该网站时浏览器提示 “此网站的安全证书存在问题”/“您的连接不是私密连接”,造成该提示的原因可能是(7)(至少回答 2 种原因)。参考解答:(5) SSL(HTTPS 通过 SSL/TLS 协议栈实现传输加密,SSL 是早期的安全协议,后续演进为 TLS,二者常合称 SSL/TLS 协议)(6) 身份(数字证书的核心作用是验证服务端的真实身份,绑定域名与服务器信息,防止用户访问到假冒的钓鱼网站,保障访问真实性)(7) 常见原因包括:
证书域名不匹配:证书绑定的域名和用户访问的域名不一致;
证书不受信任:使用了自签名证书,或客户端未导入根证书,导致信任链不完整;
证书过期:当前时间超出了证书的有效期限;
证书被吊销:证书已被 CA 机构吊销,浏览器校验时发现异常。
问题 3某天,该企业接到电信主管部门通报:网络存在异常访问234.244.100.203的流量。网络工程师通过防火墙日志进行分析,获得如下信息。防火墙每秒产生上千条发往234.244.100.203的出站连接日志;部分异常日志显示源 IP 存在大量未分配的地址;日志中的目的 IP 属于某知名网站真实 IP。根据上述信息分析原因并处置:局域网内存在感染了恶意软件的 “僵尸主机”,这部分主机通过伪造(8)对目标 IP 发起网络攻击,可能会造成攻击目标无法正常提供服务,此类攻击属于(9)攻击,该攻击流量由局域网流向互联网,说明局域网中缺失(10)机制。请针对上述问题应采取的处置和整改措施是(11)(需分别从处置和整改措施两个方面回答,每个方面至少回答 2 点措施)。参考解答:(8) 源 IP 地址(僵尸主机伪造未分配的内网IP,隐藏自身真实主机地址,规避溯源检测)(9) DDoS(分布式拒绝服务)(大量僵尸主机同时发起恶意请求,耗尽目标服务器带宽、算力等资源,导致正常用户无法访问服务)(10) URPF(单播逆向路径转发)(URPF 可校验出站数据包的源IP合法性,拦截伪造源IP的异常流量,是内网防地址伪造的核心机制)(11) 处置与整改措施:
处置措施:
1.立即在防火墙封堵发往目标 IP 的异常出站流量,快速终止攻击行为; 2.通过流量日志定位内网僵尸主机,临时隔离故障终端,防止攻击扩散; 3.指导终端用户进行全盘病毒查杀,清除主机内恶意软件。
本题总结-L2TP协议基础:二层隧道协议,基于UDP 1701端口传输,分为控制消息(建链、维护、断链)+数据消息(封装业务报文);本身无加密、无校验,明文传输,必须搭配IPSec加密,行业标准为L2TP over IPSec。-认证方式区别:PAP为明文账号密码认证,安全性极低;CHAP为三次握手加密质询认证,不传输明文密码,企业VPN、拨号网络首选,考试高频辨析考点。-华为L2TP配置要点:必须开启L2TP服务、隧道两端密码一致、客户端主动发起连接、服务端配置白名单放行;虚拟模板统一管理认证参数,是PPPoE+L2TP组合配置核心。-VPDN应用与优劣势:适用异地分支机构、远程居家办公;优点:公网搭建私有隧道、部署简单、成本低廉;缺点:单纯L2TP安全性差、传输速率受公网带宽限制。
