● 120 entries
网络安全
- 5G 安全由 3GPP TS 33.501 定义的 5G 移动网络安全架构,涵盖用户身份隐私、双向认证以及信令面与用户面流量保护。
- 安全邮件网关位于网络边界或云端的服务,在邮件抵达用户邮箱前过滤入站和出站邮件中的垃圾邮件、钓鱼、恶意软件、数据泄漏和违规行为。
- 包过滤一种网络安全技术,根据静态规则集检查每个数据包的报头字段,从而决定放行或丢弃。
- 代理服务器位于客户端与其访问的服务之间的中介服务器,负责转发请求,可隐藏客户端并集中实现流量审查、过滤和缓存。
- 端口敲门一种技术,默认关闭服务端口,只有当客户端按预先约定的顺序发起一系列连接尝试后才打开端口。
- 端口转发一种 NAT 配置,路由器将到达特定公网端口的流量重定向到选定的内部主机和端口。
- 反向代理位于一个或多个后端服务之前的服务器,代为接收客户端请求并向后端转发。
- 防火墙一种网络安全设备或软件,依据预定义的规则集监控和控制入站与出站流量,将可信网络与不可信网络隔离开来。
- 隔离区 (DMZ)位于内外网络之间的缓冲网段,用于承载对外暴露的服务,并与内网隔离,以限制被攻陷后的影响范围。
- 公钥基础设施(PKI)由政策、软件、硬件和可信机构组成的体系,负责签发、分发、验证和吊销数字证书,将身份与公钥绑定。
- 灰名单一种反垃圾邮件技术,初次见到的发送方三元组会被返回 SMTP 临时拒绝,只有当对方按规范重试时才接受邮件。
- 机会性 TLS双方在均支持时使用 TLS、否则回退到明文的加密策略,典型见于使用 STARTTLS 但缺乏强认证的邮件服务器之间。
- 机器人管理机器人管理是指识别自动化流量、区分善意机器人与恶意机器人,并据此分别放行、挑战或阻断。
- 基于特征的检测通过将观察到的流量、文件或行为与已知恶意模式(特征/签名)数据库进行匹配来识别恶意活动的检测方法。
- 基于网络的入侵检测系统(NIDS)通过对从网络段捕获的流量进行检查,识别恶意模式和策略违规的入侵检测传感器。
- 基于异常的检测通过建立正常活动的基线,并将偏离基线的行为标记为潜在恶意的检测方法。
- 基于主机的入侵检测系统(HIDS)部署在服务器或终端上的入侵检测代理,通过监控本地文件、进程、日志和系统调用来发现恶意行为。
- 金丝雀令牌一种特殊的蜜标,被触发时悄悄回连控制端,作为未授权访问或数据滥用的早期告警绊线。
- 扩展验证证书(EV)在 CA 按统一规范对申请机构的法律身份、实地存在与申请权限进行严格审核后才会签发的 TLS 证书。
- 零信任网络默认不信任任何用户、设备或服务,并对每一次连接基于身份进行持续验证的网络架构。
- 蜜标嵌入真实系统中的虚假数据(凭据、文件、记录或 API 密钥),没有合法用途,一旦被访问即触发告警。
- 蜜罐故意暴露的诱饵系统或服务,用于吸引攻击者、观察其技战术并将其引离生产资产。
- 蜜网由多个互联蜜罐组成的受控网络,用于在真实的多主机环境中研究攻击者的行为。
- 入侵防御系统(IPS)一种串接在数据路径中的安全控制设备,能够实时检测恶意流量并主动丢弃、重置或净化。
- 入侵检测系统(IDS)一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。
- 深度包检测(DPI)一种不仅检查报头还分析数据包整个负载的检测技术,用于识别应用、内容和威胁。
- 双向 TLS(mTLS)TLS 的扩展模式,客户端和服务器都出示 X.509 证书,从而以加密方式相互认证对方身份。
- 通配符证书主体名称使用星号通配某个域下任意单级子域名的 X.509 证书,例如 *.example.com。
- 透明代理串联在网络路径中的代理,无需客户端配置即可截获客户端流量。
- 网络地址转换 (NAT)路由器在转发数据包时改写 IP 地址和端口的技术,使大量内部主机能共享一个或少量公网地址。
- 网络分段将网络划分为多个区域并对区域间流量进行受控管理的实践,用以遏制入侵并落实最小权限。
- 网络准入控制 (NAC)一组策略与技术,在授予设备和用户网络访问之前进行身份认证,并持续执行合规性要求。
- 微分段细粒度的分段方式,基于身份在工作负载或应用之间下发白名单策略,通常由主机或虚拟化层执行。
- 无状态防火墙对每个数据包独立按静态规则进行评估、且不跟踪连接状态的防火墙。
- 下一代防火墙(NGFW)在状态化检测基础上引入应用识别、集成 IPS、用户身份控制和 TLS 解密,从而实施更精细策略的高级防火墙。
- 限速限速对某个标识(IP、用户、API key 或令牌)在一段时间内的请求数量加以约束,用以保护 API 和应用免受滥用、爬取和暴力破解。
- 远程接入 VPN允许个人用户从任意可上网的位置,通过笔记本或手机安全接入企业网络的 VPN。
- 站点到站点 VPN在两张网络之间(分支、数据中心或云上 VPC)建立的持久加密隧道,使两侧主机可以透明互访。
- 正向代理在客户端侧配置的代理,代表用户将出站请求转发到外部服务。
- 证书颁发机构(CA)可信第三方实体,负责颁发并签名数字证书,将公钥与已核验的域名或机构身份绑定在一起。
- 证书吊销列表(CRL)由 CA 定期签发的吊销证书清单,列出在自然到期之前已被作废的证书,供依赖方判断证书是否仍可信。
- 证书固定在应用中硬编码预期的证书或公钥,只有匹配时才接受 TLS 连接,从而抵御伪造或被攻破的 CA。
- 状态化防火墙通过连接状态表跟踪活动连接的防火墙,自动放行与已建立会话匹配的返回流量。
- 子网共享相同前缀的一段连续 IP 地址范围,定义了网络中的一个广播域和路由边界。
- 子域接管由于悬空的 DNS 记录(通常是 CNAME)指向未被领取的云或 SaaS 资源,攻击者可以重新注册该资源并冒充该子域。
- 自签名证书由自身私钥对其所包含的公钥进行签名的数字证书,不涉及任何外部证书颁发机构。
- Always-On VPN由 Windows、Apple、Android 配置强制实施的设备级策略:一旦有可用网络就自动建立 VPN 隧道,并拒绝任何未经隧道的流量。
- ARC(已认证接收链)RFC 8617 定义的邮件标准,通过让每个中间节点用密码学签署此前检查的结果,使认证结果在多次转发后仍可保留。
- ARPRFC 826 定义的链路层协议,用于将 IPv4 地址映射为同一广播域中主机的 MAC 地址,以便投递帧。
- BGP 劫持攻击者所在的自治系统通告并不真正拥有的 IP 前缀,从而吸引并可能拦截全球互联网流量的攻击。
- BGP 路由泄漏BGP 中意外的传播行为:某自治系统将路由通告到本不该到达的商业关系范围之外,往往使全球流量被错误地引向另一 AS。
- BIMI一项邮件标准,在支持的客户端中为通过认证的邮件展示经过验证的品牌徽标,前提是该域名启用 quarantine 或 reject 的 DMARC 策略。
- CDN 安全CDN 安全利用内容分发网络的全球边缘节点 —— 在贴近用户处终结 TLS —— 实施 DDoS 防护、WAF、机器人管理与 TLS 安全配置。
- CIDR 表示法无类域间路由(CIDR)表示法用地址加斜杠和有效位数来表示一个 IP 前缀,例如 10.0.0.0/8。
- DANERFC 6698 定义的协议族,利用经 DNSSEC 签名的 TLSA 记录,将服务的 TLS 证书或公钥绑定到 DNS 中,降低对公共 CA 的依赖。
- DDoS 缓解DDoS 缓解是一套技术和服务,用于在分布式拒绝服务攻击耗尽目标的网络、基础设施或应用容量之前,吸收、过滤并重路由这些攻击流量。
- DHCP基于 UDP 的协议(RFC 2131,67/68 端口),用于自动为加入网络的客户端分配 IP 地址和网络配置参数。
- Diameter 协议由 RFC 6733 标准化的 AAA(认证、授权、计费)协议,在 IMS、LTE EPC 和漫游/IPX 网络中取代了 RADIUS。
- DKIMRFC 6376 定义的邮件认证标准,发送方域名为外发邮件附加加密签名,以便接收方验证邮件头和正文未被篡改。
- DMARCRFC 7489 定义的邮件认证标准,域名所有者可发布策略告诉接收方如何处理 SPF/DKIM 失败或不对齐的邮件。
- DNS 黑名单 (DNSBL)基于 DNS 的查询机制(RFC 5782),邮件系统可向其查询已知发送垃圾邮件或恶意软件的 IP 或域名,并据此执行阻断、评分或路由决策。
- DNS 隧道通过将任意数据编码到 UDP/TCP 53 端口的 DNS 查询与响应中而形成的隐蔽通道,常用于命令控制和数据外泄。
- DNS 重绑定一种基于浏览器的攻击,通过极低的 DNS TTL,使主机名先解析到攻击者服务器,再切换到内部 IP,从而绕过同源策略。
- DNS over HTTPS (DoH)通过将 DNS 查询封装在 HTTPS 中传输的协议,可防止路径上的观察者读取或篡改查询。
- DNS over TLS (DoT)在专用 TLS 会话中加密 DNS 查询的协议,防止其在网络上被窃听或篡改。
- DNSSEC一组 DNS 扩展,通过数字签名使解析器能够验证 DNS 记录的真实性和完整性。
- FTPRFC 959 定义的早期文件传输协议,使用 TCP 21 端口进行控制、20 端口传输数据,凭据与文件均以明文传输,因安全原因已基本被废弃。
- GnuPG (GPG)OpenPGP 标准(RFC 4880、RFC 9580)的自由软件实现,用于签名、加密和解密数据,包括电子邮件与软件包。
- HTTP 严格传输安全(HSTS)通过 HTTP 响应头声明的 Web 安全策略,指示浏览器在指定时间内只能通过 HTTPS 访问某个域名。
- HTTP/2 安全HTTP/2(RFC 9113)在 TLS 1.2+ 上的安全模型,以及 HPACK、多路复用、CONTINUATION 帧和 2023 年 Rapid Reset 攻击带来的运营隐患。
- HTTP/3 / QUICHTTP/3(RFC 9114)是 HTTP 在 QUIC(RFC 9000)之上的映射,QUIC 是基于 UDP 的加密传输协议,内置 TLS 1.3 并按流多路复用,无队头阻塞。
- HTTPS运行在 TLS 加密连接之上的 HTTP,为 Web 流量提供机密性、完整性以及服务端身份认证。
- ICMP由 RFC 792(IPv4)和 RFC 4443(IPv6)定义的网络层控制与诊断协议,供主机和路由器报告错误并反馈路径状态。
- IEEE 802.1X基于端口的网络访问控制标准,在有线或无线端口允许通信之前对设备或用户进行身份认证。
- IP 地址分配给网络接口、用于在 IP 网络中进行路由的数字标识符:IPv4(RFC 791)为 32 位,IPv6(RFC 8200)为 128 位。
- IPsecIETF 制定的一组协议,对 IP 数据包进行认证和加密,以在网络层提供安全通信。
- known_hosts 文件OpenSSH 客户端文件(~/.ssh/known_hosts),用于固定服务器公钥,以便 SSH 在主机密钥变化时识别潜在的中间人攻击。
- LTE 安全由 3GPP TS 33.401 定义的 4G/LTE 移动网络安全架构,涵盖 EPS-AKA 认证以及 RRC、NAS 和用户面流量的加密。
- MAC 地址IEEE 802 标准定义的 48 位硬件标识符,固化在网卡中,用于同一数据链路层段内的帧投递。
- MTA-STSRFC 8461 定义的邮件安全机制,域名可对入站 SMTP 强制启用 TLS 并固定受信任的 MX 主机,从而防御降级和 STARTTLS 剥离攻击。
- OCSP(在线证书状态协议)一种基于 HTTP 的协议,允许客户端实时向 CA 的响应器查询特定 X.509 证书的状态(有效、已吊销或未知)。
- OpenVPN在用户态运行的开源 VPN,使用 TLS/OpenSSL 进行对等端认证,并通过隧道传输任意 IP 或以太网流量。
- PGP由 Phil Zimmermann 于 1991 年创立的端到端加密与数字签名方案,用于邮件、文件和消息。
- RADIUS广泛部署的 AAA 协议,网络设备借此对用户或设备访问进行身份认证、授权和计费。
- S/MIMEIETF 标准,使用由公共或企业 CA 签发的 X.509 证书对 MIME 邮件进行端到端签名与加密。
- SASESASE 是 Gartner 于 2019 年提出的云交付架构,在网络边缘将 SD-WAN 与 SWG、CASB、ZTNA、FWaaS 等安全服务融合在一起。
- SFTP运行在 SSH 会话内部、通常通过 TCP 22 端口提供经过身份验证和加密的文件与目录操作的安全文件传输子系统。
- SPF(发件人策略框架)RFC 7208 定义的邮件认证机制,允许域名所有者在 DNS 中公开授权使用其域名作为信封 MAIL FROM 的 IP 地址或主机。
- SSESSE 是 SASE 中的安全部分,即云交付的 SWG、CASB、ZTNA 组合,通常还包括 DLP 与 FWaaS,用于保护用户到互联网、SaaS 与私有应用的流量。
- SSHRFC 4251 定义、运行在 22 端口的加密网络协议,在不可信网络上提供经过身份验证、加密且完整性保护的远程登录、命令执行与隧道。
- SSH 代理转发OpenSSH 的一项功能,使用 -A 或 ForwardAgent yes 启用,会在远程主机上暴露一个 UNIX 套接字,使远端命令可借助本地 SSH 代理完成对后续主机的认证。
- SSH 密钥类型OpenSSH 支持的用户与主机身份认证非对称算法:RSA、ECDSA(NIST 曲线),以及目前的现代默认 Ed25519。
- SSL 剥离一种中间人攻击,悄悄将受害者的 HTTPS 连接降级为明文 HTTP,使攻击者能够读取并篡改流量。
- SSL VPN通过 TLS(历史上称为 SSL)封装隧道的 VPN,可通过标准 Web 端口实现远程访问,无需专用 VPN 协议。
- SSL(安全套接层)TLS 的历史前身,由 Netscape 于 1990 年代开发用于加密 Web 流量,如今已被正式废弃。
- STARTTLSRFC 3207 定义的 SMTP/IMAP/POP3/XMPP 扩展,在协议握手之后将明文连接升级到 TLS,实现邮件服务器与客户端之间的机会性加密。
- SWG安全 Web 网关(SWG)是部署在本地或云端的代理,负责检查用户的 Web 流量,强制执行可接受使用策略,并阻断恶意软件、钓鱼与数据外泄。
- TACACS+Cisco 开发的 AAA 协议,将身份认证、授权与计费分离,并在客户端与服务器之间加密整个数据包负载。
- TCP面向连接的传输层协议(RFC 9293),在 IP 之上为两个端点提供有序、可靠且带拥塞控制的字节流传输。
- TCP/IP由四层组成的互联网协议族,规定了如何在互联的网络中对数据包进行寻址、路由、分片并可靠交付。
- TLS 握手Transport Layer Security 协议建立连接时的初始交换,用于验证服务器(可选地验证客户端)并派生用于加密会话后续数据的对称密钥。
- TLS(传输层安全)由 IETF 标准化的加密协议,为两个联网应用之间的通信提供机密性、完整性与认证。
- UDPRFC 768 定义的无连接传输协议,以最小开销在端口之间传送独立数据报,但不保证可靠性或顺序。
- VLAN虚拟局域网(IEEE 802.1Q)通过在以太网帧中插入 12 位 VLAN ID,将交换机端口划分为彼此独立的广播域。
- VoIP 安全保护互联网语音(SIP 信令与 RTP 媒体)免受窃听、欺诈、拒绝服务和身份伪造的一组安全控制。
- VoLTE 安全基于 LTE 的语音(Voice over LTE)安全:对通过 4G/5G 数据承载传输的 SIP/RTP 通话进行的 IMS 认证、信令与媒体保护。
- VPN 分流(Split Tunneling)一种 VPN 配置,仅将所选流量(如企业子网)经加密隧道传输,其余流量直接走本地互联网。
- VPN 紧急停断(Kill Switch)一项安全保护:一旦 VPN 隧道断开,主机上所有网络流量将被自动阻断,以防止未加密连接造成意外泄露。
- VPN(虚拟专用网络)在公共网络之上建立加密且经过认证的隧道,使流量看起来像是通过专用网络传输的技术。
- WAAPWAAP(Web 应用与 API 防护)是 WAF 的现代演进形态,在统一的云服务中集成 API 安全、机器人管理与 DDoS 防护。
- Web 应用防火墙(WAF)一种反向代理式的过滤器,通过检查 HTTP/HTTPS 流量,在请求到达应用之前阻断 SQL 注入、XSS、机器人滥用等 Web 攻击。
- WEP(有线等效保密)1997 年定义的最早一代 Wi-Fi 保密协议,如今已被认定为彻底破解,任何生产环境都不应再使用。
- Wi-Fi 6EWi-Fi 6(802.11ax)向 6 GHz 频段的扩展。Wi-Fi 联盟要求该频段下的认证设备与网络必须使用 WPA3。
- Wi-Fi 7IEEE 802.11be 的市场名称,引入 320 MHz 信道、4K-QAM 调制以及多链路操作(MLO),并将 WPA3 作为强制的安全基线。
- Wi-Fi 去认证攻击Wi-Fi 去认证攻击利用未受保护的 802.11 管理帧,强行将客户端从接入点踢下线,从而实现拒绝服务或为后续攻击铺路。
- WireGuard现代化、极简的 VPN 协议,采用固定的新一代密码学原语,并作为 Linux 内核的一部分运行。
- WPA2Wi-Fi Protected Access 的第二代,基于 AES-CCMP 与 IEEE 802.11i,自 2004 年起一直是 Wi-Fi 安全的事实标准。
- WPA3Wi-Fi Protected Access 的第三代,引入基于 SAE 的身份认证、前向保密以及更强的个人与企业 Wi-Fi 防护。
- X.509 证书数字证书的标准结构,通过受信任 CA 的签名将公钥与某一身份绑定在一起。
- ZTNAZTNA 是一种模型,仅在持续校验身份、设备和上下文之后,才授予用户对特定私有应用的访问权限,默认不提供任何网络层访问。