常见网络安全设备.docx

1、常见网络安全设备Web应用防火墙（WAF）为什么需要WAF？WAF（web application firewall）的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗，并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。什么是WAF？WAF是一种基础的安全保护模块，通过特征提取和分块检索技术进行特征匹配，主要针对 HTTP访问的Web程序保护。WAF部署在Web应用程序前面，在用户请求到达 Web 服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。

2、通过检查HTTP流量，可以防止源自Web应用程序的安全漏洞（如SQL注入，跨站脚本（XSS），文件包含和安全配置错误）的攻击。与传统防火墙的区别WAF区别于常规防火墙，因为WAF能够过滤特定Web应用程序的内容，而常规防火墙则充当服务器之间的安全门。WAF不是全能的WAF不是一个最终的安全解决方案，而是它们要与其他网络周边安全解决方案（如网络防火墙和入侵防御系统）一起使用，以提供全面的防御策略。入侵检测系统（IDS）什么是IDS？IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监

3、视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。跟防火墙的比较假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。部署位置选择因此，对IDS的部署唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，”所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域

4、的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在：尽可能靠近攻击源 ；这些位置通常是：服务器区域的交换机上 ；Internet接入路由器之后的第一台交换机上 ；重点保护网段的局域网交换机上 防火墙和IDS可以分开操作，IDS是个临控系统，可以自行选择合适的，或是符合需求的，比如发现规则或监控不完善，可以更改设置及规则，或是重新设置！主要组成部分事件产生器，从计算环境中获得事件，并向系统的其他部分提供此事件；事件分析器，分析数据；响应单元，发出警报或采取主动反应措施；事件数据库，存放各种数据。主要任务主要任务包括：监视、分析用户及系统活动；审

5、计系统构造和弱点；识别、反映已知进攻的活动模式,向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。工作流程（1）信息收集信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。（2）数据分析数据分析是入侵检测的核心。它首先构建分析器，把收集到的信息经过预处理，建立一个行为分析引擎或模型，然后向模型中植入时间数据，在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。前两种方法

6、用于实时入侵检测，而完整性分析则用于事后分析。可用5种统计模型进行数据分析：操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计分析的最大优点是可以学习用户的使用习惯。（3）实时记录、报警或有限度反击入侵检测系统在发现入侵后会及时做出响应，包括切断网络连接、记录事件和报警等。响应一般分为主动响应（阻止攻击或影响进而改变攻击的进程）和被动响应（报告和记录所检测出的问题）两种类型。主动响应由用户驱动或系统本身自动执行，可对入侵者采取行动（如断开连接）、修正系统环境或收集有用信息；被动响应则包括告警和通知、简单网络管理协议（SNMP）陷阱和插件等。另外，还可以按策略配置响应，可分别采取立即

7、、紧急、适时、本地的长期和全局的长期等行动。缺点（1）误报、漏报率高（2）没有主动防御能力（3）不能解析加密数据流入侵预防系统（IPS）什么是入侵预防系统入侵预防系统（Intrusion Prevention System，IPS），又称为入侵侦测与预防系统（intrusion detection and prevention systems，IDPS），是计算机网络安全设施，是对防病毒软件（Antivirus Softwares）和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为

8、。为什么在存在传统防火墙和IDS时，还会出现IPS？虽然防火墙可以根据英特网地址（IP-Addresses）或服务端口（Ports）过滤数据包。但是，它对于利用合法网址和端口而从事的破坏活动则无能为力。因为，防火墙极少深入数据包检查内容。在ISO/OSI网络层次模型（见OSI模型）中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档，几年前，工业界已经有入侵检测系统投入使用。入侵侦查系统在发现异常情况后及时向网络安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然，亡羊

9、补牢，尤未为晚，但是，防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵反应系统（IRS: Intrusion Response Systems）作为对入侵侦查系统的补充能够在发现入侵时，迅速做出反应，并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展，汲取了二者的长处。IPS如何工作入侵预防系统专门深入网络数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。除此之外，更重要的是，大多数入侵预防系统同时结合考虑应用程序或网络传输层的异常情况，来辅助识别入侵和攻击。比如，用户或用户程序违反安全条例、数据包在不应该出现的时段出现、操作系

10、统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于已知病毒特征。应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时，它还可以为追究攻击者的刑事责任而提供法律上有效的证据（forensic）。入侵预防技术异常侦查。正如入侵侦查系统，入侵预防系统知道正常数据以及数据之间关系的通常的样子，可以对照识别异常。在遇到动态代码（ActiveX，JavaApplet，各种指令语言script languages

11、等等）时，先把它们放在沙盘内，观察其行为动向，如果发现有可疑情况，则停止传输，禁止执行。有些入侵预防系统结合协议异常、传输异常和特征侦查，对通过网关或防火墙进入网络内部的有害代码实行有效阻止。内核基础上的防护机制。用户程序通过系统指令享用资源（如存储区、输入输出设备、中央处理器等）。入侵预防系统可以截获有害的系统请求。对Library、Registry、重要文件和重要的文件夹进行防守和保护。与IDS相比，IPS的优势同时具备检测和防御功能IPS 不仅能检测攻击还能阻止攻击， 做到检测和防御兼顾，而且是在入口处就开始检测， 而不是等到进入内部网络后再检测，这样，检测效率和内网的安全性都大大提高。

12、可检测到IDS检测不到的攻击行为IPS是在应用层的内容检测基础上加上主动响应和过滤功能，弥补了传统的防火墙+IDS方案不能完成更多内容检查的不足，填补了网络安全产品基于内容的安全检查的空白IPS是一种失效既阻断机制当IPS被攻击失效后，它会阻断网络连接，就像防火墙一样，使被保护资源与外界隔断。安全运营中心（SOC）什么是安全运营中心？SOC，全称是Security Operations Center，是一个以IT资产为基础，以业务信息系统为核心，以客户体验为指引，从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台，使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与

13、事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化，最终实现业务信息系统的持续安全运营。本质上，SOC不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还有运维(运营)，SOC是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台，这是SOC产品的价值所在。为什么会出现SOC？过去我们都让安全专家来管理各种类型的防火墙、IDS和诸如此类的安全措施，这主要是因为安全问题一般都发生在网络中非常具体的某个地点。但是，现在的情况已经变化，安全问题已经不再像当年那么简单。安全是一个动态的过程，因为敌方攻击手段在变，攻击方法在变，漏洞不断出现；我方业务在

14、变，软件在变，人员在变，妄图通过一个系统、一个方案解决所有的问题是不现实的，也是不可能的，安全需要不断地运营、持续地优化。安全措施应当被实施在应用层、网络层和存储层上。它已经成为您的端对端应用服务中的一部分，与网络性能的地位非常接近。安全管理平台在未来安全建设中的地位尤其重要，它能够站在管理者的角度去俯瞰整个安全体系建设，对其中每一层产品都可以进行全面、集中、统一的监测、调度和指挥控制。可以说，未来的态势感知的根基就是安全管理平台。主要功能（以venustech公司的soc产品为例）面向业务的统一安全管理系统内置业务建模工具，用户可以构建业务拓扑，反映业务支撑系统的资产构成，并自动构建业务健康

15、指标体系，从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度计算业务的健康度，协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。全面的日志采集可以通过多种方式来收集设备和业务系统的日志，例如Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、Web Service等等。智能化安全事件关联分析借助先进的智能事件关联分析引擎，系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统为安全分析师提供了三种事件关联分析技术，分别是：基于规则的关联分析、基于情境的关联分析和基于行为的关联分析，并提供了丰富的可视化安全

16、事件分析视图，充分提升分析效率，结合威胁情报，更好的帮助安全分析师发现安全问题。全面的脆弱性管理系统实现与天镜漏扫、网御漏扫和绿盟漏扫系统的实时高效联动，内置安全配置核查功能，从技术和管理两个维度进行全面的资产和业务脆弱性管控。主动化的预警管理用户可以通过预警管理功能发布内部及外部的早期预警信息，并与网络中的IP资产进行关联，分析出可能受影响的资产，提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。系统支持内部预警和外部预警；预警类型包括安全通告、攻击预警、漏洞预警和病毒预警等；预警信息包括预备预警、正式预警和归档预警三个状态。主动化的网络威胁情报利用系统提供主动化的威胁情报采集，通过采集

17、实时威胁情报，结合规则关联和观察列表等分析方式，使安全管理人员及时发现来自己发现的外部攻击源的威胁。基于风险矩阵的量化安全风险评估系统参照GB/T 20984-2007信息安全风险评估规范、ISO 27005:2008信息安全风险管理，以及OWASP威胁建模项目中风险计算模型的要求，设计了一套实用化的风险计算模型，实现了量化的安全风险估算和评估。指标化宏观态势感知针对系统收集到的海量安全事件，系统借助地址熵分析、热点分析、威胁态势分析、KPI分析等数据挖掘技术，帮助管理员从宏观层面把握整体安全态势，对重大威胁进行识别、定位、预测和跟踪。多样的安全响应管理系统具备完善的响应管理功能，能够根据用户

18、设定的各种触发条件，通过多种方式（例如邮件、短信、声音、SNMP Trap、即时消息、工单等）通知用户，并触发响应处理流程，直至跟踪到问题处理完毕，从而实现安全事件的闭环管理。丰富灵活的报表报告出具报表报告是安全管理平台的重要用途，系统内置了丰富的报表模板，包括统计报表、明细报表、综合审计报告，审计人员可以根据需要生成不同的报表。系统内置报表生成调度器，可以定时自动生成日报、周报、月报、季报、年报，并支持以邮件等方式自动投递，支持以PDF、Excel、Word等格式导出，支持打印。系统还内置一套报表编辑器，用户可以自行设计报表，包括报表的页面版式、统计内容、显示风格等流安全分析除了采集各类安全

19、事件，系统还能够采集形如NetFlow的流量数据并进行可视化展示。针对采集来的NetFlow流量数据的分析，系统能够建立网络流量模型，通过泰合特有的基于流量基线的分析算法，发现网络异常行为。知识管理系统具有国内完善的安全管理知识库系统，内容涵盖安全事件库、安全策略库、安全公告库、预警信息库、漏洞库、关联规则库、处理预案库、案例库、报表库等，并提供定期或者不定期的知识库升级服务。用户管理系统采用三权分立的管理体制，默认设置了用户管理员、系统管理员、审计管理员分别管理。系统用户管理采用基于角色的访问控制策略，即依据对系统中角色行为来限制对资源的访问。自身系统管理实现了系统自身安全及维护管理。主要包

20、括组织管理、系统数据库及功能组件运行状态监控、日志维护及其他一些与系统本身相关的运行维护的管理和配置功能。一体化的安全管控界面系统提供了强大的一体化安全管控功能界面，为不同层级的用户提供了多视角、多层次的管理视图。信息安全和事件管理（SIEM）SIEM，信息安全和事件管理，全称是security information and event management，由SEM和SIM两部分构成。什么是SIEM？SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录。SIEM技术最早是从日志管理发展起来的。它将安全事件管理(SEM)实时分析日志和事件数据以提供威胁监视、事件关联和事件响

21、应，与安全信息管理(SIM)收集、分析并报告日志数据，结合了起来。SIEM的运作机制是什么？SIEM软件收集并聚合公司所有技术基础设施所产生的日志数据，数据来源从主机系统及应用，到防火墙及杀软过滤器之类网络和安全设备都有。收集到数据后，SIEM软件就开始识别并分类事件，对事件进行分析。该软件的主要目标有两个：产出安全相关事件的报告，比如成功/失败的登录、恶意软件活动和其他可能的恶意活动。如果分析表明某活动违反了预定义的规则集，有潜在的安全问题，就发出警报。除了传统的日志数据，很多SIEM技术还引入了威胁情报馈送，更有多种SIEM产品具备安全分析能力，不仅监视网络行为，还监测用户行为，可针对某动

22、作是否恶意活动给出更多情报。如今，大型企业通常都将SIEM视为支撑安全运营中心(SOC)的基础。如何最大化SIEM的价值？首先，SIEM技术是资源密集型工具，需要经验丰富的人员来实现、维护和调整这种员工不是所有企业都能完全投入的。（团队）想要最大化SIEM软件产出，就需要拥有高品质的数据。数据源越大，该工具产出越好，越能识别出异常值。（数据）软件的局限在检测可接受活动和合法潜在威胁上，SIEM并非完全准确，正是这种差异，导致了很多SIEM部署中出现了大量误报。该情况需要企业内有强力监管和有效规程，避免安全团队被警报过载拖垮。漏洞扫描器（Vulnerability Scanner）漏洞扫描是检查

23、计算机或网络上可能利用的漏洞点，以识别安全漏洞。什么是漏洞扫描器？漏洞扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。漏洞扫描器的工作原理工作原理是扫描器向目标计算机发送数据包，然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。漏洞扫描器的作用通过扫描器，提前探知到系统的漏洞，预先修复。分类端口扫描器（Port scanner ）例如Nmap网络漏洞扫描器(Network vulnerability scanner )例如Nessus, Qualys, SAINT, OpenVAS, INFRA S

24、ecurity Scanner, NexposeWeb应用安全扫描器（Web application security scanner）例如Nikto, Qualys, Sucuri, High-Tech Bridge, Burp Suite, OWASP ZAP, w3af。数据库安全扫描器（atabase security scanner）基于主机的漏洞扫描器（Host based vulnerability scanner ）例如LynisERP安全扫描器（ERP security scanner）单一漏洞测试（Single vulnerability tests）统一威胁管理（UTM）

25、什么是UTM？统一威胁管理（UTM，Unified Threat Management），顾名思义，就是在单个硬件或软件上，提供多种安全功能。这跟传统的安全设备不同，传统的安全设备一般只解决一种问题。包含的功能基础功能：网络防火墙（Network Firewall）入侵检测（Intrusion Detection）入侵预防（Intrusion Prevention）可能会有的功能：防病毒网关（Gateway Anti-Virus）应用层防火墙和控制器（Application Layer Firewall and control）深度包检测（Deep packet inspection）Web代

26、理和内容过滤（Web Proxy & content filtering）数据丢失预防（DLP)安全信息和事件管理（SIEM）虚拟专用网络（VPN）网络沼泽（Network Tarpit）UTM的优势是什么？UTM通过为管理员提供统一管理的方式，使得安全系统的管理人员可以集中管理他们的安全防御，而不需要拥有多个单一功能的设备，每个设备都需要人去熟悉、关注和支持；一体化方法简化了安装、配置和维护；与多个安全系统相比，节省了时间、金钱和人员。UTM的缺点是什么？单点故障虽然UTM提供了一个单一设备管理的简便性，但这引入了单点故障，一旦UTM设备出问题，整个安全防御会失效。内部防御薄弱由于UTM的设

27、计原则违背了深度防御原则，虽然UTM在防御外部威胁非常有效，但面对内部威胁就无法发挥作用了。抗DDOS产品抗DDOS产品的防御方式拒绝服务攻击的防御方式通常为入侵检测，流量过滤和多重验证，旨在堵塞网络带宽的流量将被过滤，而正常的流量可正常通过。扩大带宽流量清洗和封IPCDN防火墙（Firewall）什么是防火墙在计算机科学领域中，防火墙（英文：Firewall）是一个架设在互联网与企业内网之间的信息安全系统，根据企业预定的策略来监控往来的传输。防火墙可能是一台专属的网络设备或是运行于主机上来检查各个网络接口上的网络传输。它是目前最重要的一种网络防护设备，从专业角度来说，防火墙是位于两个(或多个

28、)网络间，实行网络间访问或控制的一组组件集合之硬件或软件。功能防火墙最基本的功能就是隔离网络，通过将网络划分成不同的区域（通常情况下称为ZONE），制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。类型网络层(数据包过滤型)防火墙运作于TCP/IP协议堆栈上。管理者会先根据企业/组织的策略预先设置好数据包通过的规则或采用内置规则，只允许匹配规则的数据包通过。应用层防火墙应用层防火墙是在TCP/IP堆栈的“应用层”上运作，使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有数据包，并且封锁其他的数据包(通常是直接将数据

29、包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进受保护的机器里。代理服务代理（Proxy）服务器（可以是一台专属的网络设备，或是在一般电脑上的一套软件）采用应用程序的运作方式，回应其所收到的数据包（例：连接要求）来实现防火墙的功能，而封锁/抛弃其他数据包。缺点正常状况下，所有互联网的数据包软件都应经过防火墙的过滤，这将造成网络交通的瓶颈。例如在攻击性数据包出现时，攻击者会不时寄出数据包，让防火墙疲于过滤数据包，而使一些合法数据包软件亦无法正常进出防火墙。虚拟专用网（VPN）什么是VPN？虚拟私人网络（英语：Virtual Private Network，缩写为VPN）是一种常用于连接

30、中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构（例如：互联网）来传送内部网的网络讯息。它利用已加密的通道协议（Tunneling Protocol）来达到保密、发送端认证、消息准确性等私人消息安全效果。这种技术可以用不安全的网络（例如：互联网）来发送可靠、安全的消息。需要注意的是，加密消息与否是可以控制的。没有加密的虚拟专用网消息依然有被窃取的危险。上网行为管理什么是上网行为管理？上网行为管理，就是通过软件或硬件，控制用户访问网络的权限。功能包括行为管理、应用控制、流量管控、信息管控、非法热点管控、行为分析、无线网络管理等。云主机安全云服务商在云主机中部署

31、自己的agent程序，做监控、管理和安全监测。功能木马查杀对各类恶意文件进行检测，包括各类 WebShell 后门和二进制木马，对检测出来的恶意文件进行访问控制和隔离操作，防止恶意文件的再次利用。密码破解拦截对密码恶意破解类行为进行检测和拦截， 共享全网恶意 IP 库，自动化实施拦截策略。登录行为审计根据登录流水数据，识别常用的登录区域，对可疑的登录行为提供实时告警通知。漏洞管理对主机上存在的高危漏洞风险进行实时预警和提供修复方案，包括系统漏洞、web 类漏洞，帮助企业快速应对漏洞风险。资产管理支持对机器进行分组标签管理，基于组件识别技术，快速掌握服务器中软件、进程、端口的分布情况。数据库审计（DBAudit）数据库审计服务，是为了保证单位或者个人核心数据的安全，可针对数据库SQL注入、风险操作等数据库风险操作行为进行记录与告警。功能用户行为发现审计关联应用层和数据库层的访问操作可溯源到应用者的身份和行为多维度线索分析风险和危害线索：高中低的风险等级、SQL注入、黑名单语句、违反授权策略的SQL行为会话线索：根据时间、用户、IP、应用程序、和客户端多角度分析详细语句线索：提供用户、IP、客户端工具、访问时间、操作对象、SQL操作类型、成功与否、访问时长、影响行数等多种检索条件异常