网络安全设备类
一、防火墙
定位:访问控制类产品
功能:隔离内网、外网,提供IP地址、端口的访问控制和阻断,不对应用层做防护和过滤
部署方式:部署在网络边界或者重要系统边界。工作在网络层。
局限性: 防火墙是根据合法网址和服务端口过滤数据包的,但是对合法的具有破坏性的数据包没有防护功能,防火墙必须部署在流量的必经之路上,防火墙的效能会影响网络的效能。
二、IPS
定位:访问控制类产品,入侵防御系统。
功能:能够对流经设备的网络流量进行分析、监控,最重要的是发现攻击后,能够及时拦截阻断。它是防火墙的重要补充。只要发现攻击行为都会检测、拦截,其中也包括对HTTP/HTTPS流量的分析。可检测到IDS检测不到的攻击行为IPS是在应用层的内容检测基础上加上主动响应和过滤功能,弥补传统的防火墙+IDS方案不能完成的更多内容检查的不足,填补了网络安全产品基于内容的安全检查的恐怖。 IPS是一种失效即阻断机制当IPS被攻击失效后,它会阻断网络连接,就像防火墙一样,使被保护资源与外界隔断。
部署方式:通常串接在网络主干链路上,或者重要业务系统边界,通常由防火墙的地方就有IPS。
三、IDS
定位:审计类产品,入侵检测系统。
功能:监视、记录网络中的各种攻击企图、攻击行为或者攻击结果。特点是只记录,不阻断任何攻击行为,只能事中监测和事后追查。不同于防火墙,IDS入侵检测系统就是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。
部署方式:旁路部署,类似电路并联,不影响正常网络通信。服务区区域的交换机上,Internet接入路由器之后的第一台交换机上,重点保护网段的局域网交换机上
注意:防火墙和IDS可以分开操作,IDS是个临控系统,可以自行选择合适的,或是符合需求的环境
四、WAF
定位:访问控制类产品,Web应用安全网关。
功能:基于HTTP/HTTPS协议的流量,对Web应用程序客户端的请求进行内容检测和验证,,对非法的请求予以实时阻断。
部署方式:通常部署在Web应用边界。通常工作在应用层。
WAF可以有效识别web业务流量的恶意特折,在对流量进行清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致服务器性能异常等问题,保障网站的业务安全和数据安全。 WAF一般部署在Web服务器之前,用来保护Web应用。
WAF能做什么?
WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。 WAF可以对Web应用进行安全审计 WAF可以防止CC攻击 应用交付
WAF的主要功能:
WAF主要是通过内置的很多安全规则来进行防御。 可防护常见的SQL注入、XSS、网页篡改、中间件漏洞等OWASP TOP10攻击行。 当发现攻击后,可将IP进行锁定,IP锁定之后将无法访问网站业务。 也支持防止CC攻击,采用集中度和速率双重检测算法。
WAF不能做什么?
WAF不能过滤其他协议流量,如FTP、PoP3协议 WAF不能实现传统防护墙功能,如地址映射 WAF不能防止网络层的DDoS攻击 防病毒
五、漏扫设备
定位及功能:漏洞扫描设备,是指基于漏洞特征库,通过扫描探测的手段检测系统的安全脆弱性,发现有无可利用的漏洞,并提供解决方案的设备。它可以针对网络、主机、数据库、应用等进行分类扫描。通常与防火墙、IDS、IPS等配合使用。
作用: 检查计算机或者网络上可能存在的漏洞点,脆弱点等,它是一类自动检测本地或远程主机安全弱点的程序,能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。 原理: 根据漏洞库,发送数据包检测目标是否具有漏洞库中的漏洞,根据对方的反馈来判断漏洞,系统,端口和服务等等。 意义: 提前发现漏洞,预先修复,减少漏洞造成的损失 分类: 端口扫描器:Nmap 网络漏洞扫描器:Nessus,Qualys,SAINT web应用安全扫描器:Burp Suite,OWASP ZAP 数据库安全扫描器 基于主机的漏洞扫描器 ERP安全扫描器 单一漏洞扫描器
六、各种审计设备
定位及功能:一种防御类产品,能够进行日志等的审计及跟踪。例:数据库审计、运维操作审计、日志审计、用户行为审计、网络审计、应用审计、视频应用审计。
七、蜜罐
定位及功能:蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方的工具与方法,推测攻击意图和动机,能让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。
部署方式:设置蜜罐并不难,只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行。因为黑客可能会设陷阱,以获取计算机的日志和审查功能,你就要在计算机和因特网连接之间安置一套网络监控系统,以便悄悄记录下进出计算机的所有流量。然后只要坐下来,等待攻击者自投罗网。
八、沙箱(沙盒)
在计算机安全领域中的安全机制,为运行中的程序提供的隔离环境。通常是作为一些来源不可信、具破坏力或无法判定程序意图的程序提供实验之用。
九、SOC安全运营中心
作用:(不是一个防护产品而是一个防护系统)
SOC是一个以IT资产为基础,以业务信息系统为核心,以客户体验为指引,从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台。
特点:是一个综合的技术支持平台。将安全看成一个动态的过程,态势感知的根基就是安全运营中心
态势感知:态势感知是一种基于环境的、动态的、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式。
检测:提供网络安全持续监控能力,及时发现各种异常,特别是针对性攻击。对威胁的影响范围、攻击路径、目的、手段进行快速研判,目的是为了有效的安全决策和响应。
预测、预防:建立风险通报和威胁预警机制,掌握攻击者目的、技术战术、攻击工具等信息
防御:利用掌握的攻击者相关目的、技术战术、攻击工具等情报,完善防御体系。
十、CDN
CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台和负载均衡、内容分发、调度等功能模块,是用户和就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。
十一、DDOS防护
什么是DDoS攻击? DDoS攻击就是分布式的拒绝服务攻击,DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,随着计算机与网络技术的发展,DoS攻击的困难程度加大了。于是就产生了DDoS攻击,它的原理就很简单:计算机与网络的处理能力加大了10倍,用一台攻击机来攻击不再能起作用,那么DDoS就是利用更多的傀儡机来发起进攻,以比从前更大的规模来进攻受害者。 在这里补充两点:第一就是DDOS攻击不仅能攻击计算机,还能攻击路由器,因为路由器是一台特殊类型的计算机;第二是网速决定攻击的好和快,比如说,如果你一个被限制网速的环境下,它们的攻击效果不是很明显,但是快的网速相比之下更加具有攻击效果 DDOS分布式拒绝服务攻击:消耗带宽,消耗资源 通过大量的合法请求消耗或者占用目标的网络资源,使之不能正常工作或者瘫痪
防护手段:
1)入侵检测
2)流量过滤
3)扩大带宽
4)流量清洗或者封IP