常见网络安全设备.docx
《常见网络安全设备.docx》由会员分享,可在线阅读,更多相关《常见网络安全设备.docx(33页珍藏版)》请在冰豆网上搜索。
常见网络安全设备
Web应用防火墙(WAF)
为何需要WAF?
WAF(webapplicationfirewall)的出现是因为传统防火墙没法对应用层的攻
击进行有效抵挡,并且IPS也没法从根本上防备应用层的攻击。
所以出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。
什么是WAF?
WAF是一种基础的安全保护模块,经过特色提取和分块检索技术进行特色般配,主要针对HTTP接见的Web程序保护。
WAF部署在Web应用程序前面,在用户恳求抵达Web服务器前对用户请
求进行扫描和过滤,剖析并校验每个用户恳求的网络包,保证每个用户恳求有效且安全,对无效或有攻击行为的恳求进行阻断或隔绝。
经过检查HTTP流量,能够防备源自Web应用程序的安全破绽(如SQL注入,跨站脚本(XSS),文件包含和安全配置错误)的攻击。
与传统防火墙的差别
WAF差别于惯例防火墙,因为WAF能够过滤特定Web应用程序的内容,而惯例防火墙则充任服务器之间的安全门。
WAF不是全能的
WAF不是一个最后的安全解决方案,而是它们要与其余网络周边安全解决方案(如网络防火墙和入侵防守系统)一同使用,以供应全面的防守策略。
入侵检测系统(IDS)
什么是IDS?
IDS是英文“IntrusionDetectionSystems的缩写,”中文意思是“入侵检测系
统”。
专业上讲就是依照必定的安全策略,对网络、系统的运转状况进行监督,
1/21
尽可能发现各样攻击企图、攻击行为或许攻击结果,以保证网络系统资源的机密性、完好性和可用性。
跟防火墙的比较
若是防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监督系统。
一旦小偷爬窗进入大楼,或内部人员有越界行为,只有及时监督系统才能发现状况并发出警示。
不一样于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,不必网络流量流经它便能够工作。
部署地点选择
所以,对IDS的部署独一的要求是:
IDS应当挂接在全部所关注流量都一定流经的链路上。
在这里,”所关注流量”指的是来自高危网络地区的接见流量和需要进行统计、监督的网络报文。
在此刻的网络拓扑中,已经很难找到从前的HUB式的共享介质矛盾域的网络,绝大多半的网络地区都已经全面升级到互换
式的网络结构。
所以,IDS在互换式网络中的地点一般选择在:
尽可能凑近攻击源;
这些地点往常是:
服务器地区的互换机上;
Internet接入路由器以后的第一台互换机上;
要点保护网段的局域网互换机上
防火墙和IDS能够分开操作,IDS是个临控系统,能够自行选择适合的,或是切合需求的,比方发现规则或监控不完美,能够改正设置及规则,或是从头设置!
主要构成部分
2/21
事件产生器,从计算环境中获取事件,并向系统的其余部分供应此事件;
事件剖析器,剖析数据;
响应单元,发出警报或采纳主动反响举措;
事件数据库,寄存各样数据。
主要任务
主要任务包含:
监督、剖析用户及系统活动;
审计系统结构和短处;
辨别、反应已知攻击的活动模式,向有关人士报警;
统计剖析异样行为模式;
评估重要系统和数据文件的完好性;
审计、追踪管理操作系统,辨别用户违犯安全策略的行为。
工作流程
(1)信息采集
信息采集的内容包含系统、网络、数据及用户活动的状态和行为。
入侵检测利用的信息一般来自系统日记、目录以及文件中的异样改变、程序履行中的异样行为及物理形式的入侵信息4个方面。
(2)数据剖析
数据剖析是入侵检测的核心。
它第一建立剖析器,把采集到的信息经过预办理,成立一个行为剖析引擎或模型,而后向模型中植入时间数据,在知识库
中保留植入数据的模型。
数据剖析一般经过模式般配、统计剖析和完好性剖析3种手段进行。
前两种方法用于及时入侵检测,而完好性剖析则用于过后剖析。
3/21
可用5种统计模型进行数据剖析:
操作模型、方差、多元模型、马尔柯夫过程模型、时间序列剖析。
统计剖析的最大优点是能够学惯用户的使用习惯。
(3)及时记录、报警或有限度还击
入侵检测系统在发现入侵后会及时做出响应,包含切断网络连结、记录事件和报警等。
响应一般分为主动响应(阻挡攻击或影响从而改变攻击的进度)和被动响应(报告和记录所检测出的问题)两种种类。
主动响应由用户驱动或系统自己自动履行,可对入侵者采纳行动(如断开连结)、修正系统环境或采集实用信息;被动响应则包含告警和通知、简单网络管理协议(SNMP)圈套和插件等。
此外,还可以够按策略配置响应,可分别采纳立刻、紧迫、合时、当地的长久和全局的长久等行动。
弊端
(1)误报、漏报率高
(2)没有主动防守能力
(3)不可以分析加密数据流
入侵预防系统(IPS)
什么是入侵预防系统
入侵预防系统(IntrusionPreventionSystem,IPS),又称为入侵侦测与预防系统(intrusiondetectionandpreventionsystems,IDPS),是计算机网络安全设备,是对防病毒软件(AntivirusSoftwares)和防火墙的增补。
入侵预防系统是一部能够监督网络或网络设备的网络数据传输行为的计算机网络安全设备,能够即时的中止、调整或隔绝一些不正常或是拥有损害性的网络数据传输行为。
为何在存在传统防火墙和IDS时,还会出现IPS?
固然防火墙能够依据英特网地址(IP-Addresses)或服务端口(Ports)过滤数据包。
可是,它关于利用合法网址和端口而从事的损坏活动则力所不及。
因为,防火墙很少深入数据包检查内容。
4/21
forensic)。
在ISO/OSI网络层次模型(见OSI模型)中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很轻微。
而除病毒软件主要在第五到第七层起作用。
为了填充防火墙和除病毒软件两者在第四到第五层之间留下的空
档,几年前,工业界已经有入侵检测系统投入使用。
入侵侦察系统在发现异样
状况后及时向网络安全管理人员或防火墙系统发出警报。
惋惜这时灾祸常常已
经形成。
固然,亡羊补牢,尤未为晚,可是,防卫体制最好应当是在危害形成
从前先期起作用。
随后应运而生的入侵反响系统(IRS:
IntrusionResponse
Systems)作为对入侵侦察系统的增补能够在发现入侵时,快速做出反响,并自
动采纳阻挡举措。
而入侵预防系统则作为两者的进一步发展,吸取了两者的优点。
IPS怎样工作
入侵预防系统特意深入网络数据内部,查找它所认识的攻击代码特色,过滤有害数据流,扔掉有害数据包,并进行记录,以便过后剖析。
除此以外,更重要的是,大多半入侵预防系统同时联合考虑应用程序或网络传输层的异样状况,来辅助辨别入侵和攻击。
比方,用户或用户程序违犯安全条例、数据包在不该当出现的时段出现、操作系统或应用程序短处的空子正在被利用等等现象。
入侵预防系统固然也考虑已知病毒特色,可是它其实不只是依靠于已知病毒特色。
应用入侵预防系统的目的在于及时辨别攻击程序或有害代码及其克隆和变种,采纳预防举措,先期阻挡入侵,防患于已然。
或许起码使其危害性充足降低。
入侵预防系一致般作为防火墙和防病毒软件的增补来投入使用。
在必需
时,它还可以够为追查攻击者的刑事责任而供应法律上有效的凭证(
入侵预防技术
异样侦察。
正如入侵侦察系统,入侵预防系统知道正常数据以及数据之间关系的往常的样子,能够比较辨别异样。
在碰到动向代码(ActiveX,JavaApplet,各样指令语言scriptlanguages等等)时,先把它们放在沙盘内,察看其行为动向,假如发现有可疑状况,则停止传输,严禁履行。
5/21
有些入侵预防系统联合协议异样、传输异样和特色侦察,对经过网关或防火墙进入网络内部的有害代码推行有效阻挡。
内核基础上的防备体制。
用户程序经过系统指令享受资源(如储存区、输入输出设备、中央办理器等)。
入侵预防系统能够截获有害的系统恳求。
对Library、Registry、重要文件和重要的文件夹进行防守和保护。
与IDS对比,IPS的优势
同时具备检测和防守功能IPS不单能检测攻击还可以阻挡攻击,做到检测和防守兼备,并且是在进口处就开始检测,而不是等到进入内部网络后再检测,这样,检测效率和内网的安全性都大大提高。
可检测到IDS检测不到的攻击行为IPS是在应用层的内容检测基础上加上主动响应和过滤功能,填充了传统的防火墙+IDS方案不可以达成更多内容检查的不足,填充了网络安全产品鉴于内容的安全检查的空白IPS是一种无效既阻断体制
当IPS被攻击无效后,它会阻断网络连结,就像防火墙同样,使被保护资源与外界间隔。
安全营运中心(SOC)
什么是安全营运中心?
SOC,全称是SecurityOperationsCenter,是一个以IT财产为基础,以业务信
息系统为核心,以客户体验为引导,从监控、审计、风险和运维四个维度成立起来的一套可胸怀的一致业务支撑平台,使得各样用户能够对业务信息系统进行可用性与性能的监控、配置与事件的剖析审计预警、风险与态势的胸怀与评估、安全运维流程的标准化、例行化和常态化,最后实现业务信息系统的连续安全营运。
实质上,SOC不是一款纯真的产品,而是一个复杂的系统,他既有产品,又有服务,还有运维(营运),SOC是技术、流程和人的有机联合。
SOC产品是SOC系统的技术支撑平台,这是SOC产品的价值所在。
为何会出现SOC?
6/21
过去我们都让安全专家来管理各样种类的防火墙、IDS和诸这样类的安全举措,这主若是因为安全问题一般都发生在网络中特别详细的某个地址。
可是,
此刻的状况已经变化,安全问题已经不再像当年那么简单。
安全部是一个动向的过程,因为敌方攻击手段在变,攻击方法在变,破绽不停出现;我方业务在变,软件在变,人员在变,企图经过一个系统、一个方案解决全部的问题是不现实的,也是不行能的,安全需要不停地营运、连续地优化。
安全举措应当被实行在应用层、网络层和储存层上。
它已经成为您的端对端应用服务中的一部分,与网络性能的地位特别凑近。
安全管理平台在将来安全建设中的地位特别重要,它能够站在管理者的角度去‘俯瞰’整个安全系统建设,对此中每一层产品都能够进行全面、集中、一致的监测、调动和指挥控制。
能够说,将来的态势感知的基础就是安全管理平台。
主要功能(以venustech公司的soc产品为例)
面向业务的一致安全管理
系统内置业务建模工具,用户能够建立业务拓扑,反应业务支撑系统的财产构成,并自动建立业务健康指标系统,从业务的性能与可用性、业务的柔弱性和业务的威迫三个维度计算业务的健康度,辅助用户从业务的角度去剖析业务可用性、业务安全事件和业务告警。
全面的日记采集
能够经过多种方式来采集设备和业务系统的日记,比如Syslog、SNMPTrap、FTP、OPSECLEA、NETBIOS、ODBC、WMI、Shell脚本、WebService
等等。
智能化安全事件关系剖析
借助先进的智能事件关系剖析引擎,系统能够及时不中断地对全部范式化后的日记流进行安全事件关系剖析。
系统为安全剖析师供应了三种事件关系剖析技术,分别是:
鉴于规则的关系剖析、鉴于情境的关系剖析和鉴于行为的关
7/21
联剖析,并供应了丰富的可视化安全事件剖析视图,充足提高剖析效率,联合威迫情报,更好的帮助安全剖析师发现安全问题。
全面的柔弱性管理
系统实现与天镜漏扫、网御漏扫和绿盟漏扫系统的及时高效联动,内置安全配置核查功能,从技术和管理两个维度进行全面的财产和业务柔弱性管控。
主动化的预警管理
用户能够经过预警管理功能公布内部及外面的初期预警信息,并与网络中
的IP财产进行关系,剖析出可能受影响的财产,提早让用户认识业务系统可能遭到的攻击和潜伏的安全隐患。
系统支持内部预警和外面预警;预警种类包含安全通知、攻击预警、破绽预警和病毒预警等;预警信息包含预备预警、正式预警和归档预警三个状态。
主动化的网络威迫情报利用
系统供应主动化的威迫情报采集,经过采集及时威迫情报,联合规则关系和察看列表平剖析方式,使安全管理人员及时发现来自己发现的外面攻击源的威迫。
鉴于风险矩阵的量化安全风险评估
系统参照GB/T20984-2007信息安全风险评估规范、ISO27005:
2008信息安全风险管理,以及OWASP威迫建模项目中风险计算模型的要求,设计了一套适用化的风险计算模型,实现了量化的安全风险估量和评估。
指标化宏观态势感知
针对系统采集到的海量安全事件,系统借助地址熵剖析、热门剖析、威迫态势剖析、KPI剖析等数据发掘技术,帮助管理员从宏观层面掌握整体安全态势,对重要威迫进行辨别、定位、展望和追踪。
多样的安全响应管理
8/21
系统具备完美的响应管理功能,能够依据用户设定的各样触发条件,经过多种方式(比如邮件、短信、声音、SNMPTrap、即时信息、工单等)通知用户,并触发响应办理流程,直至追踪到问题办理完成,从而实现安全事件的闭环管理。
丰富灵巧的报表报告
出具报表报告是安全管理平台的重要用途,系统内置了丰富的报表模板,包含统计报表、明细报表、综合审计报告,审计人员能够依据需要生成不一样的报表。
系统内置报表生成调动器,能够准时自动生成日报、周报、月报、季
报、年报,并支持以邮件等方式自动送达,支持以PDF、Excel、Word等格式导出,支持打印。
系统还内置一套报表编写器,用户能够自行设计报表,包含报表的页面版式、统计内容、显示风格等流安全剖析
除了采集各种安全事件,系统还可以够采集形如NetFlow的流量数据并进行
可视化展现。
针对采集来的NetFlow流量数据的剖析,系统能够成立网络流量模型,经过泰合独有的鉴于流量基线的剖析算法,发现网络异样行为。
知识管理
系统拥有国内完美的安全管理知识库系统,内容涵盖安全事件库、安全策略库、安全通告库、预警信息库、破绽库、关系规则库、办理方案库、事例库、报表库等,并供应按期或许不按期的知识库升级服务。
用户管理
系统采纳三权分立的管理系统,默认设置了用户管理员、系统管理员、审计管理员分别管理。
系统用户管理采纳鉴于角色的接见控制策略,即依照对系统中角色行为来限制对资源的接见。
自己系统管理
9/21
实现了系统自己安全及保护管理。
主要包含组织管理、系统数据库及功能组件运转状态监控、日记保护及其余一些与系统自己有关的运转保护的管理和配置功能。
一体化的安全管控界面
系统供应了强盛的一体化安全管控功能界面,为不一样层级的用户供应了多视角、多层次的管理视图。
信息安全和事件管理(SIEM)
SIEM,信息安全和事件管理,全称是securityinformationandeventmanagement,由SEM和SIM两部分构成。
什么是SIEM?
SIEM软件能给公司安全人员供应其IT环境中所发生活动的洞见和轨迹记
录。
SIEM技术最早是从日记管剪发展起来的。
它将安全事件管理(SEM)——及时
剖析日记和事件数据以供应威迫监督、事件关系和事件响应,与安全信息管理(SIM)——采集、剖析并报告日记数据,联合了起来。
SIEM的运作体制是什么?
SIEM软件采集并聚合公司全部技术基础设备所产生的日记数据,数据根源从主机系统及应用,到防火墙及杀软过滤器之类网络和安全设备都有。
采集到数据后,SIEM软件就开始辨别并分类事件,对事件进行剖析。
该软件的主要目标有两个:
产出安全有关事件的报告,比方成功/失败的登录、歹意软件活动和其余可能的歹意活动。
假如剖析表示某活动违犯了预约义的规则集,有潜伏的安全问题,就发出警报。
10/21
除了传统的日记数据,好多SIEM技术还引入了威迫情报馈送,更有多种SIEM产品具备安全剖析能力,不单监督网络行为,还监测用户行为,可针对某
动作能否歹意活动给出更多情报。
此刻,大型公司往常都将SIEM视为支撑安全营运中心(SOC)的基础。
怎样最大化SIEM的价值?
第一,SIEM技术是资源密集型工具,需要经验丰富的人员来实现、保护和调整——这种职工不是全部公司都能完好投入的。
(团队)
想要最大化SIEM软件产出,就需要拥有高质量的数据。
数据源越大,该工具产出越好,越能辨别出异样值。
(数据)
软件的限制
在检测可接受活动和合法潜伏威迫上,SIEM并不是完好正确,正是这种差别,致使了好多SIEM部署中出现了大批误报。
该状况需要公司内有强力看管和有效规程,防止安全团队被警报过载拖垮。
破绽扫描器(VulnerabilityScanner)
破绽扫描是检查计算机或网络上可能利用的破绽点,以辨别安全破绽。
什么是破绽扫描器?
破绽扫描器是一类自动检测当地或远程主机安全短处的程序,它能够快速的正确的发现扫描目标存在的破绽并供应给使用者扫描结果。
破绽扫描器的工作原理
工作原理是扫描器向目标计算机发送数据包,而后依据对方反应的信息来判断对方的操作系统种类、开发端口、供应的服务等敏感信息。
破绽扫描器的作用
经过扫描器,提早探知到系统的破绽,早先修复。
11/21
分类
端口扫描器(Portscanner)
比如Nmap
网络破绽扫描器(Networkvulnerabilityscanner)
比如Nessus,Qualys,SAINT,OpenVAS,INFRASecurityScanner,Nexpose
Web应用安全扫描器(Webapplicationsecurityscanner)
比如Nikto,Qualys,Sucuri,High-TechBridge,BurpSuite,OWASPZAP,w3af。
数据库安全扫描器(atabasesecurityscanner)
鉴于主机的破绽扫描器(Hostbasedvulnerabilityscanner)
比如Lynis
ERP安全扫描器(ERPsecurityscanner)
单调破绽测试(Singlevulnerabilitytests)
一致威迫管理(UTM)
什么是UTM?
一致威迫管理(UTM,UnifiedThreatManagement),顾名思义,就是在单个硬件或软件上,供应多种安全功能。
这跟传统的安全设备不一样,传统的安全设备一般只解决一种问题。
包含的功能
基础功能:
网络防火墙(NetworkFirewall)
入侵检测(IntrusionDetection)
入侵预防(IntrusionPrevention)
12/21
可能会有的功能:
防病毒网关(GatewayAnti-Virus)
应用层防火墙和控制器(ApplicationLayerFirewallandcontrol)
深度包检测(Deeppacketinspection)
Web代理和内容过滤(WebProxy&contentfiltering)
数据丢掉预防(DLP)
安全信息和事件管理(SIEM)
虚构专用网络(VPN)
网络沼泽(NetworkTarpit)
UTM的优势是什么?
UTM经过为管理员供应一致管理的方式,使得安全系统的管理人员能够集
中管理他们的安全防守,而不需要拥有多个单调功能的设备,每个设备都需要人去熟习、关注和支持;
一体化方法简化了安装、配置和保护;
与多个安全系统对比,节俭了时间、金钱和人员。
UTM的弊端是什么?
单点故障
固然UTM供应了一个单调设备管理的简易性,但这引入了单点故障,一旦UTM设备出问题,整个安全防守会无效。
内部防守单薄
因为UTM的设计原则违反了深度防守原则,固然UTM在防守外面威迫特别有效,但面对内部威迫就没法发挥作用了。
13/21
抗DDOS产品
抗DDOS产品的防守方式
拒绝服务攻击的防守方式往常为入侵检测,流量过滤和多重考证,旨在拥塞网络带宽的流量将被过滤,而正常的流量可正常经过。
扩大带宽
流量冲洗和封IP
CDN
防火墙(Firewall)
什么是防火墙
在计算机科学领域中,防火墙(英文:
Firewall)是一个架设在互联网与公司内网之间的信息安全系统,依据公司预约的策略来监控来往的传输。
防火墙可能是一台专属的网络设备或是运转于主机上来检查各个网络接口上的网络传输。
它是目前最重要的一种网络防备设备,从专业角度来说,防火墙是位于两
个(或多个)网络间,推行网络间接见或控制的一组组件会合之硬件或软件。
功能
防火墙最基本的功能就是隔绝网络,经过将网络区分红不一样的地区(往常状况下称为ZONE),拟订出不一样地区之间的接见控制策略来控制不一样相信程度地区间传递的数据流。
种类
网络层(数据包过滤型)防火墙
运作于TCP/IP协议货仓上。
管理者会先依据公司/组织的策略早先设置好数据包经过的规则或采纳内置规则,只同意般配规则的数据包经过。
应用层防火墙
14/21
应用层防火墙是在TCP/IP货仓的“应用层”上运作,使用阅读器时所产生的数据流或是使用FTP时的数据流都是属于这一层。
应用层防火墙能够拦截出入
某应用程序的全部数据包,并且封闭其余的数据包(往常是直接将数据包扔掉)。
理论上,这一类的防火墙能够完好阻绝外面的数据流进受保护的机器里。
代理服务
代理(Proxy)服务器(能够是一台专属的网络设备,或是在一般电脑上的一套软件)采纳应用程序的运作方式,回应其所收到的数据包(例:
连结要求)来实现防火墙的功能,而封闭/扔掉其余数据包。
弊端
正常状况下,全部互联网的数据包软件都应经过防火墙的过滤,这将造成网络交通的瓶颈。
比如在攻击性数据包出现时,攻击者会时时寄出数据包,让防火墙疲于过滤数据包,而使一些合法数据包软件亦没法正常出入防火墙。
虚构专用网(VPN)
什么是VPN