精华内容
下载资源
问答
  • 2022-03-28 12:50:15

    说点什么

    大毛二毛的冲突挺让人深思滴。全球最大同性交友网站github的排行榜上,排列着许多对大毛的DDOS攻击框架。

    技术无国界吗?在代码的注释里,技术网站的排行榜里,夹杂几句对你意识形态和国家的攻击话语,潜移默化的,温水煮青蛙的,润物细无声的就让你那啥了,有点可怕呀。日常浏览网站,还是要多加小心滴。

    漏洞库平台

    漏洞库名称网址
    美国赛门铁克的漏洞库https://www.securityfocus.com/
    美国国家信息安全漏洞库https://nvd.nist.gov/
    美国著名安全公司Offensive Security的漏洞库https://www.exploit-db.com/
    美国国土安全资助的MITRE公司负责维护https://cve.mitre.org/
    美国国家工控系统行业漏洞库https://ics-cert.us-cert.gov/advisories
    美国国家应急响应中心https://www.us-cert.gov/
    美国开源漏洞库http://osvdb.org
    美国Packet Storm全球安全资源https://packetstormsecurity.com/
    靶场Vulhub_环境安装部署步骤,漏洞复现流程https://www.wangan.com/docs/vulhub
    中国国家工控系统行业漏洞http://ics.cnvd.org.cn/
    中国国家信息安全漏洞共享平台(CNCERT维护)http://www.cnvd.org.cn
    中国国家信息安全漏洞库http://www.cnnvd.org.cn/
    中国绿盟科技-安全漏洞http://www.nsfocus.net/index.php?act=sec_bug
    更多相关内容
  • 信息网络安全设备

    千次阅读 2020-06-21 13:05:53
    现代云服务实施以后,大部分用户转向谷歌、阿里、华为等云服务集成商,应用服务已经很少涉及基础硬件设备相关方面的内容,然而信息安全也因不断丰富的网络应用被提到了一个前所未有的高度,本文粗略回顾信息安全中的...

    目录

    一、防火墙

    二、IDS(入侵检测系统)

    三  IPS(入侵防御系统)

    四、漏洞扫描设备

    五、安全隔离网闸

    六、流量监控设备

    七、防病毒网关(防毒墙)

    八、WAF(Web应用防火墙)

    九、安全审计系统


    现代云服务实施以后,大部分用户转向谷歌、阿里、华为等云服务集成商,应用服务已经很少涉及基础硬件设备相关方面的内容,然而信息安全也因不断丰富的网络应用被提到了一个前所未有的高度,本文粗略回顾信息安全中的防火墙、入侵检测、入侵防御、扫描、流量监控、网页防篡改、安全审计等设备方面的知识,在一些自行建设的信息系统中,应该还有些用处。

    一、防火墙

    定义:防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。

    主要功能:过滤进、出网络的数据;防止不安全的协议和服务;管理进、出网络的访问行为;记录通过防火墙的信息内容;对网络攻击进行检测与警告;防止外部对内部网络信息的获取;提供与外部连接的集中管理。

    主要类型:

    1、网络层防火墙
    一般是基于源地址和目的地址、应用、协议以及每个IP 包的端口来作出通过与否的判断。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包,其次,通过定义基于TCP或 UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet 、FTP连接。

    2、应用层防火墙

    针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。

    主动被动 :

    传统防火墙是主动安全的概念;因为默认情况下是关闭所有的访问,然后再通过定制策略去开放允许开放的访问。

    下一代防火墙:

    下一代防火墙在一台设备里面集成了传统防火墙、IPS、应用识别、内容过滤等功能既降低了整体网络安全系统的采购投入,又减去了多台设备接入网络带来的部署成本,还通过应用识别和用户管理等技术降低了管理人员的维护和管理成本。

    使用方式

    防火墙部署于单位或企业内部网络的出口位置。

    局限性

    1、 不能防止源于内部的攻击,不提供对内部的保护
    2、 不能防病毒
    3、 不能根据网络被恶意使用和攻击的情况动态调整自己的策略
    4、 本身的防攻击能力不够,容易成为被攻击的首要目标

    /

    二、IDS(入侵检测系统)

    定义:入侵检测即通过从网络系统中的若干关键节点收集并分析信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为。入侵检测系统通常包含 3 个必要的功能组件:信息来源、分析引擎和响应组件。

    工作原理

    1、信息收集
    信息收集包括收集系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自:系统和网络日志文件、非正常的目录和文件改变、非正常的程序执行这三个方面。
    2、信号分析
    对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,是通过模式匹配、统计分析和完整性分析这三种手段进行分析的。前两种用于实时入侵检测,完整性分析用于事后分析。
    3、告警与响应
    根据入侵性质和类型,做出相应的告警与响应。

    主要功能

    它能够提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,在网络安全技术中起到了不可替代的作用。

    1、实时监测:实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文;
    2、安全审计:对系统记录的网络事件进行统计分析,发现异常现象,得出系统的安全状态,找出所需要的证据;

    3、主动响应:主动切断连接或与防火墙联动,调用其他程序处理。

    主要类型

    1、基于主机的入侵检测系统 (HIDS) :基于主机的入侵检测系统是早期的入侵检测系统结构,通常是软件型的,直接安装在需要保护的主机上。其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件。这种检测方式的优点主要有:信息更详细、误报率要低、部署灵活。这种方式的缺点主要有:会降低应用系统的性能;依赖于服务器原有的日志与监视能力;代价较大;不能对网络进行监测;需安装多个针对不同系统的检测系统。

    2、基于网络的入侵检测系统 (NIDS) :基于网络的入侵检测方式,是目前一种比较主流的监测方式,这类检测系统需要有一台专门的检测设备。检测设备放置在比较重要的网段内,不停地监视网段中的各种数据包,而不再是只监测单一主机。它对所监测的网络上每一个数据包或可疑的数据包进行特征分析,如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报,甚至直接切断网络连接。目前,大部分入侵检测产品是基于网络的。这种检测技术的优点主要有:能够检测那些来自网络的攻击和超过授权的非法访问;不需要改变服务器等主机的配置,也不会影响主机性能;风险低;配置简单。其缺点主要是:成本高、检测范围受局限;大量计算,影响系统性能;大量分析数据流,影响系统性能;对加密的会话过程处理较难;网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的封包;对于直接对主机的入侵无法检测出。

    主动被动

    入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。绝大多数
    系统都是被动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。

    使用方式

    作为防火墙后的第二道防线,适于以旁路接入方式部署在具有重要业务系统或内部网络安全性、保密性较高的网络出口处。

    局限性

    1、误报率高:主要表现为把良性流量误认为恶性流量进行误报。还有些 IDS 产品会对用户不关心事件的进行误报。
    2、产品适应能力差:传统的 IDS 产品在开发时没有考虑特定网络环境下的需求,适应能力差。入侵检测产品要能适应当前网络技术和设备的发展进行动态调整,以适应不同环境的需求。
    3、大型网络管理能力差:首先,要确保新的产品体系结构能够支持数以百计的 IDS 传感器;其次,要能够处理传感器产生的告警事件;最后还要解决攻击特征库的建立,配置以及更新问题。
    4、缺少防御功能:大多数 IDS 产品缺乏主动防御功能。
    5、处理性能差:目前的百兆、千兆 IDS 产品性能指标与实际要求还存在很大的差距。

    //

    三  IPS(入侵防御系统)

    定义:入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

    产生背景

    1、串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。
    2、旁路部署的 IDS 可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。
    3、IDS 和防火墙联动:通过 IDS 来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如 SQL注入、溢出攻击等),使得 IDS与防火墙联动在实际应用中的效果不显著。入侵检测系统( IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。入侵防御系统( IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。

    IDS 和 IPS 的关系,并非取代和互斥,而是相互协作:没有部署 IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过 IDS 的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品( IPS 等)。

    功能

    1、入侵防护:实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、 Dos等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。
    2、Web安全:基于互联网 Web站点的挂马检测结果,结合 URL信誉评价技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截 Web威胁。

    3、流量控制:阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业 IT 产出率和收益率。

    4、上网监管:全面监测和管理 IM 即时通讯、 P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。

    技术特征

    嵌入式运行:只有以嵌入模式运行的 IPS 设备才能够实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截。
    深入分析和控制: IPS 必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截。

    入侵特征库:高质量的入侵特征库是IPS 高效运行的必要条件,IPS 还应该定期升级入侵特征库,并快速应用到所有传感器。

    高效处理能力: IPS 必须具有高效处理数据包的能力,对整个网络性能的影响保持在最低水平。

    1、基于特征的 IPS
    这是许多 IPS 解决方案中最常用的方法。把特征添加到设备中,可识别当前最常见的攻击。也被称为模式匹配IPS。特征库可以添加、调整和更新,以应对新的攻击。

    2. 基于异常的 IPS

    也被称为基于行规的 IPS。基于异常的方法可以用统计异常检测和非统计异常检测。

    3、基于策略的 IPS

    它更关心的是是否执行组织的安保策略。如果检测的活动违反了组织的安保策略就触发报警。使用这种方法的IPS,要把安全策略写入设备之中。

    4. 基于协议分析的 IPS

    它与基于特征的方法类似。大多数情况检查常见的特征,但基于协议分析的方法可以做更深入的数据包检查,能更灵活地发现某些类型的攻击。

    主动被动

    IPS 倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。

    使用方式

    串联部署在具有重要业务系统或内部网络安全性、保密性较高的网络出口处。

    四、漏洞扫描设备

    定义:漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。

    主要功能

    可以对网站、系统、数据库、端口、应用软件等一些网络设备应用进行智能识别扫描检测,并对其检测出的漏洞进行报警提示管理人员进行修复。同时可以对漏洞修复情况进行监督并自动定时对漏洞进行审计提高漏洞修复效率。

    1、定期的网络安全自我检测、评估安全检测可帮助客户最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,有效的利用已有系统,提高网络的运行效率。

    2、安装新软件、启动新服务后的检查由于漏洞和安全隐患的形式多种多样,安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来,因此进行这些操作之后应该重新扫描系统,才能使安全得到保障。

     3 、网络承担重要任务前的安全性测

    4、网络安全事故后的分析调查

    网络安全事故后可以通过网络漏洞扫描网络评估系统分析确定网络被攻击的漏洞所在,帮助弥补漏洞,尽可能多得提供资料方便调查攻击的来源。

    5、重大网络安全事件前的准备

    重大网络安全事件前网络漏洞扫描 / 网络评估系统能够帮助用户及时的找出网络中存在的隐患和漏洞,帮助用户及时的弥补漏洞。

    主要技术

    1.    主机扫描:
    确定在目标网络上的主机是否在线。
    2.    端口扫描:
    发现远程主机开放的端口以及服务。
    3.    OS 识别技术 :
    根据信息和协议栈判别操作系统。
    4.    漏洞检测数据采集技术:
    按照网络、系统、数据库进行扫描。
    5.    智能端口识别、多重服务检测、安全优化扫描、系统渗透扫描
    6.    多种数据库自动化检查技术,数据库实例发现技术;

    主要类型

    1. 针对网络的扫描器:基于网络的扫描器就是通过网络来扫描远程计算机中的漏洞。价格相对来说比较便宜;在操作过程中,不需要涉及到目标系统的管理员,在检测过程中不需要在目标系统上安装任何东西;维护简便。

    2. 针对主机的扫描器:基于主机的扫描器则是在目标系统上安装了一个代理或者是服务,以便能够访问所有的文件与进程,这也使得基于主机的扫描器能够扫描到更多的漏洞。

    3. 针对数据库的扫描器:数据库漏扫可以检测出数据库的洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。

    使用方式

    1、独立式部署:
    在网络中只部署一台漏扫设备,接入网络并进行正确的配置即可正常使用,其工作范围通常包含用户企业的整个网络地址。用户可以从任意地址登录漏扫系统并下达扫描评估任务,检查任务的地址必须在产品和分配给此用户的授权范围内。
    2、多级式部署:
    对于一些大规模和分布式网络用户,建议使用分布式部署方式。在大型网络中采用多台漏扫系统共同工作,可对各系统间的数据共享并汇总,方便用户对分布式网络进行集中管理。

    优缺点

    1、 优点
    有利于及早发现问题,并从根本上解决安全隐患。
    2、 不足
    只能针对已知安全问题进行扫描;准确性和指导性有待改善。

    五、安全隔离网闸

    定义:安全隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立网络系统的信息安全设备。由于物理隔离网闸所连接的两个独立网络系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。

    功能模块

    安全隔离闸门的功能模块有:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。

    主要功能

    1、阻断网络的直接物理连接:物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接,而不能同时与两个网络连接;

    2、阻断网络的逻辑连接:物理隔离网闸不依赖操作系统、不支持 TCP/IP 协议。两个网络之间的信息交换必须将TCP/IP 协议剥离,将原始数据通过 P2P的非 TCP/IP 连接方式,通过存储介质的“写入”与“读出”完成数据转发;

    3、安全审查:物理隔离网闸具有安全审查功能,即网络在将原始数据“写入”物理隔离网闸前,根据需要对原始数据的安全性进行检查,把可能的病毒代码、恶意攻击代码消灭干净等;

    4、原始数据无危害性:物理隔离网闸转发的原始数据,不具有攻击或对网络安全有害的特性。就像txt 文本不会有病毒一样,也不会执行命令等。

    5、管理和控制功能:建立完善的日志系统。
    6、根据需要建立数据特征库:在应用初始化阶段,结合应用要求,提取应用数据的特征,形成用户特有的数据特征库,作为运行过程中数据校验的基础。当用户请求时,提取用户的应用数据,抽取数据特征和原始数据特征库比较,符合原始特征库的数据请求进入请求队列,不符合的返回用户,实现对数据的过滤。
    7、根据需要提供定制安全策略和传输策略的功能:用户可以自行设定数据的传输策略,如:传输单位(基于数据还是基于任务)、传输间隔、传输方向、传输时间、启动时间等。
    8、支持定时 / 实时文件交换;支持支持单向 / 双向文件交换;支持数字签名、内容过滤、病毒检查等功能。

    工作原理

    安全隔离网闸的组成:
    安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分:

    1、 内部网络处理单元:包括内部网络接口单元与内部网络数据缓冲区。接口部分负责与内部网络的连接,并终止内部网络用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内部网络对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。

    2、 外部网络处理单元:与内部网络处理单元功能相同,但处理的是外部网络连接。3、 隔离与交换控制单元(隔离硬件):是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与不同网络在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在不同网络之间改变通讯模式,中断了内外网络的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。其中,三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD 或Linux 的经安全精简版本,或者其他是嵌入式操作系统等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。
    如果针对网络七层协议,安全隔离网闸是在硬件链路层上断开。

    区别比较

    1、与物理隔离卡的区别

    安全隔离网闸与物理隔离卡最主要的区别是,安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换,而物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换硬盘。
    2、网络交换信息的区别
    安全隔离网闸在网络间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸直接处理网络间的应用层数据,利用存储转发的方法进行应用数据的交换,在交换的同时,对应用数据进行的各种安全检查。路由器、交换机则保持链路层畅通,在链路层之上进行 IP 包等网络层数据的直接转发,没有考虑网络安全和数据安全的问题。

    3、与防火墙的区别
    防火墙一般在进行 IP 包转发的同时,通过对 IP 包的处理,实现对 TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。

    使用方式

    1、 涉密网与非涉密网之间;
    2、 局域网与互联网之间;
    3、 办公网与业务网之间;
    4、 业务网与互联网之间。

    /

    六、流量监控设备

    定义:网络流量控制是一种利用软件或硬件方式来实现对电脑网络流量的控制。它的最主要方法,是引入 QoS的概念,从通过为不同类型的网络数据包标记,从而决定数据包通行的优先次序。

    技术类型

    流控技术分为两种:

    一种是传统的流控方式,通过路由器、交换机的 QoS模块实现基于源地址、目的地址、源端口、目的端口以及协议类型的流量控制,属于四层流控;路由交换设备可以通过修改路由转发表,实现一定程度的流量控制,但这种传统的 IP 包流量识别和 QoS控制技术,仅对 IP 包头中的“五元组”信息进行分析,来确定当前流量的基本信息。传统IP 路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障,但其仅仅分析 IP 包的四层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型。随着网上应用类型的不断丰富,仅通过第四层端口信息已经不能真正判断流量中的应用类型,更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。例如, P2P类应用会使用跳动端口技术及加密方式进行传输,基于交换路由设备进行流量控制的方法对此完全失效。

    另一种是智能流控方式,通过专业的流控设备实现基于应用层的流控,属于七层流控。

    主要功能

    1、全面透视网络流量,快速发现与定位网络故障;
    2、保障关键应用的稳定运行,确保重要业务顺畅地使用网络;
    3、限制与工作无关的流量,防止对带宽的滥用;
    4、管理员工上网行为,提高员工网上办公的效率;
    5、依照法规要求记录上网日志,避免违法行为;

    6、保障内部信息安全,减少泄密风险;
    7、保障服务器带宽,保护服务器安全;
    8、内置企业级路由器与防火墙,降低安全风险;
    9、专业负载均衡,提升多线路的使用价值;

    使用方式

    1、网关模式 : 置于出口网关,所有数据流直接经由设备端口通过;
    2、网桥模式:如同集线器的作用, 设备置于网关出口之后, 设置简单、 透明;
    3、旁路模式: 与交换机镜像端口相连, 通过对网络出口的交换机进行镜像映射, 设备获得链路中的数据 “拷贝”,主要用于监听、 审计局域网中的数据流及用户的网络行为。

    七、防病毒网关(防毒墙)

    定义:防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤、垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan )的功能。

    主要功能

    1、病毒杀除
    2、关键字过滤
    3、垃圾邮件阻止的功能
    4、部分设备也具有一定防火墙能够检测进出网络内部的数据,对http 、 ftp 、SMTP、IMAP和POP3五种协议的数据进行病毒扫描,一旦发现病毒就会采取相应的手段进行隔离或查杀,在防护病毒方面起到了非常大的作用。

    与防火墙的区别

    1、防病毒网关:专注病毒过滤,阻断病毒传输,工作协议层为ISO 2-7 层,分析数据包中的传输数据内容,运用病毒分析技术处理病毒体,具有防火墙访问控制功能模块
    2、防火墙:专注访问控制,控制非法授权访问,工作协议层为ISO 2-4 层,分析数据包中源 IP 目的 IP,对比规则控制访问方向,不具有病毒过滤功能

    与防病毒软件的区别

    1、防病毒网关:基于网络层过滤病毒;阻断病毒体网络传输;网关阻断病毒传输,主动防御病毒于网络之外;网关设备配置病毒过滤策略,方便、扼守咽喉;过滤出入网关的数据;与杀毒软件联动建立多层次反病毒体系。
    2、防病毒软件:基于操作系统病毒清除;清除进入操作系统病毒;病毒对系统核心技术滥用导致病毒清除困难,研究主动防御技
    术;主动防御技术专业性强,普及困难;管理安装杀毒软件终端;病毒发展互联网化需要网关级反病毒技术配合。

    查杀方式

    对进出防病毒网关数据监测:以特征码匹配技术为主;对监测出病毒数据进行查杀:采取将数据包还原成文件的方式进行病毒处理。

    1、基于代理服务器的方式
    2、基于防火墙协议还原的方式

    3、基于邮件服务器的方式

    使用方式

    1、透明模式:串联接入网络出口处,部署简单
    2、旁路代理模式:强制客户端的流量经过防病毒网关,防病毒网关仅仅需要处理要检测的相关协议,不需要处理其他协议的转发,可以较好的提高设备性能。
    3、旁路模式:与旁路代理模式部署的拓扑一样,不同的是,旁路模式只能起到检测作用,对于已检测到的病毒无法做到清除。

    ///

    八、WAF(Web应用防火墙)

    定义:Web应用防火墙是通过执行一系列针对 HTTP/HTTPS的安全策略来专门为 Web应用提供保护的一种设备。

    产生背景:

    当 WEB应用越来越为丰富的同时, WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。 SQL注入、网页篡改、网页挂马等安全事件,频繁发生。
    企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是,在现实中,他们存在这样那样的问题,由此产生了 WAF(Web应用防护系统)。 Web应用防护系统用以解决诸如防火墙一类传统设备束手无策的 Web应用安全问题。与传统防火墙不同, WAF工作在应用层,因此对 Web应用防护具有先天的技术优势。基于对 Web应用业务和逻辑的深刻理解, WAF对来自 Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。

    主要功能

    1、审计设备:用来截获所以 HTTP数据或者仅仅满足某些规则的会话;
    2、访问控制设备:用来控制对 Web应用的访问,既包括主动安全模式也包括被动安全模式。
    3、架构 / 网络设计工具:当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。
    4、WEB应用加固工具:这些功能增强被保护 Web应用的安全性,它不仅能够屏蔽 WEB应用固有弱点,而且能够保护 WEB应用编程错误导致的安全隐患。主要包括防攻击、防漏洞、防暗链、防爬虫、防挂马、抗 DDos等。

    使用方式

    与 IPS 设备部署方式类似,可以串联部署在 web服务器等关键设备的网络出口处。

    ///

    九、安全审计系统

    定义:网络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督,预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。

    主要类型

    根据被审计的对象(主机、设备、网络、数据库、业务、终端、用户)划分,安全审计可以分为:

    1.    主机审计:审计针对主机的各种操作和行为。
    2.    设备审计:对网络设备、安全设备等各种设备的操作和行为进行审计网络审计:对网络中各种访问、操作的审计,例如elnet 操作、 FTP操作,等等。

    3.    数据库审计:对数据库行为和操作、甚至操作的内容进行审计业务审计:对业务操作、行为、内容的审计。
    4.    终端审计:对终端设备( PC、打印机)等的操作和行为进行审计,包括预配置审计。
    5.    用户行为审计:对企业和组织的人进行审计,包括上网行为审计、运维操作审计有的审计产品针对上述一种对象进行审计,还有的产品综合上述多种审计对象。

    主要功能

    1、采集多种类型的日志数据

    能采集各种操作系统的日志,防火墙系统日志,入侵检测系统日志,网络交换及路由设备的日志,各种服务和应用系统日志。
    2、日志管理
    多种日志格式的统一管理。自动将其收集到的各种日志格式转换为统一的日志格式,便于对各种复杂日志信息的统一管理与处理。
    3、日志查询

    支持以多种方式查询网络中的日志记录信息,以报表的形式显示。

    4、入侵检测
    使用多种内置的相关性规则,对分布在网络中的设备产生的日志及报警信息进行相关性分析,从而检测出单个系统难以发现的安全事件。
    5、自动生成安全分析报告
    根据日志数据库记录的日志数据,分析网络或系统的安全性,并输出安全性分析报告。报告的输出可以根据预先定义的条件自动地产生、提交给管理员。
    6、网络状态实时监视
    可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。

    7、事件响应机制

    当审计系统检测到安全事件时候,可以采用相关的响应方式报警。

    8、集中管理
    审计系统通过提供一个统一的集中管理平台,实现对日志代理、安全审计中心、日志数据库的集中管理。

    使用方式

    安全审计产品在网络中的部署方式主要为旁路部署。

    展开全文
  • 网络安全资料

    2008-05-27 13:07:05
    最为全面的网络安全资料,主要包括如下:API与网络安全漏洞,基于网站web服务器网络安全的分析与设计,计算机网络安全漏洞及其防护策略,网络安全漏洞扫描器的设计与实现,信息网络安全-防火墙与加密技术等。
  • 网络安全应急响应-基础技能

    千次阅读 2022-03-28 11:17:26
    网络安全应急响应专题文章: 1. 网络安全应急响应-日志分析技术 2. 网络安全应急响应-流量分析技术 3. 网络安全应急响应-恶意代码分析技术 4. 网络安全应急响应-终端检测与响应技术 5. 网络安全应急响应-电子数据...

    网络安全应急响应专题文章:

    1. 网络安全应急响应-日志分析技术
    2. 网络安全应急响应-流量分析技术
    3. 网络安全应急响应-恶意代码分析技术
    4. 网络安全应急响应-终端检测与响应技术
    5. 网络安全应急响应-电子数据取证技术
    6. 网络安全应急响应-常用工具
    7. 网络安全应急响应-基础技能

    系统排查

    一 、系统基本信息

    1. Windows系统

    1. 系统信息工具

    使用命令“msinfo32”,打开系统信息窗口,可以查看本地计算机硬件资源、组件和软件环境,其中包含正在运行的任务、服务、系统驱动程序、加载的模块、启动程序等。
    在这里插入图片描述

    1. 正在运行任务

    在【信息系统】的【软件环境】中点击【正在运行任务】,可以查看到正在运行任务名称、路径、进程ID等。
    在这里插入图片描述

    1. 服务

    在【信息系统】的【软件环境】中点击【服务】,可以查看服务的名称、状态、路径等。
    在这里插入图片描述

    1. 系统驱动程序

    在【信息系统】的【软件环境】中点击【系统驱动程序】,可以查看系统驱动程序的名称、描述、文件等。
    在这里插入图片描述

    1. 加载的模块

    在【信息系统】的【软件环境】中点击【加载的模块】,可以查看加载模块的名称、路径等。
    在这里插入图片描述

    1. 启动程序

    在【信息系统】的【软件环境】中点击【启动程序】,可以查看驱动程序的命令、用户名、位置等。
    在这里插入图片描述

    2. Linux系统

    1. CPU信息

    使用命令“lscpu”可以查看CPU信息,包括型号、主频、内核等。
    在这里插入图片描述

    1. 操作系统信息

    使用命令“uname -a”可以查看当前操作系统版本信息。
    在这里插入图片描述

    1. 模块信息

    使用命令“lsmod”可以查看所有已载入系统的模块信息。
    在这里插入图片描述

    二. 、用户信息

    1. Windows系统

    1. 命令行方法

    使用命令“net user”,可以查看到用户账户信息(不会显示$结尾的隐藏账户),如果查看某个用户详细信息,可以使用命令“net user username”。
    在这里插入图片描述

    1. 图形界面方法

    在【计算机管理】-【本地用户和组】-【用户】中查看用户,也可以使用命令“lusrmgr”在这里可以查看到带$的隐藏账户。
    在这里插入图片描述

    1. 注册表方法

    在注册表计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中查看用户信息。
    在这里插入图片描述

    如果SAM下没有内容,需要先给SAM启用继承,步骤如下:

    • SAM右键,点击权限-高级-启用权限-应用,然后F5刷新注册表。
      在这里插入图片描述
      在这里插入图片描述
    1. wmic方法

    使用命令“wmic useraccount get name,SID”,可以查看系统中的用户信息。
    在这里插入图片描述

    2. Linux系统

    1. 查看系统所有用户信息

    使用命令“cat /etc/passwd”可以查看系统所有用户信息,显示 /bin/bash的表示可登录, /sbin/nologin表示不可登录。
    在这里插入图片描述

    1. 分析超级权限账户

    使用命令“awk -F : '{if($3==0)print $1}' /etc/passwd”可以查询UID为0的账户。
    在这里插入图片描述

    1. 查看可登录的账户

    使用命令“cat /etc/passwd | grep '/bin/bash'”可以查看可登录的账户。
    在这里插入图片描述

    1. 查看用户错误的登录信息

    使用命令“lastb”可以查看用户错误登录的登陆列表。
    在这里插入图片描述

    1. 查看所有用户最后的登录信息

    使用命令“lastlog”可以查看所有用户登录的最后信息。
    在这里插入图片描述

    1. 查看用户最近登录信息

    使用命令“last”可以查看用户最近登录信息。
    在这里插入图片描述

    1. 查看当前用户登录系统情况

    使用命令“who”可以查看当前用户登录系统情况。
    在这里插入图片描述

    1. 查看空口令账户

    使用命令“awk -F: 'length($2)==0 {print $1}' /etc/shadow”可以查看存在空口令的账户。

    三 、启动项

    1. Windows系统

    1. 通过系统配置对话框查看

    按住Ctrl+Shift+Esc打开任务管理器,点击启动,查看启动项的详细信息。
    在这里插入图片描述

    1. 通过注册表查看
    • HKEYCLASSESROOT:此处存储的信息可确保在Windows资源管理器中执行时打开正确的程序。它还包含有关拖放规则、快捷方法和用户界面信息的更多详细信息。
    • HKEYCURRENTUSER:包含当前登录系统的用户的配置信息,有用户的文件夹、屏幕颜色和控制面板设置。
    • HKEYLOCALMACHINE:包含运行操作系统的计算机硬件特定信息,有系统上安装的驱动器列表及已安装硬件和应用程序的通用配置。
    • HKEYUSERS:包含系统上所有用户配置文件的配置信息,有应用程序配置和可视设置。
    • HKEYCURRENTCONFIG:存储有关系统当前配置的信息。

    2. Linux系统

    可以使用三个命令:cat /etc/init.d/rc.localcat /etc/rc.localls -alt /etc/init.d
    在这里插入图片描述

    四 、计划任务

    1. Windows系统

    • 【计算机管理】-【系统工具】-【任务计划程序】-【任务计划程序库】中可以查看任务计划的名称、状态、触发器等信息。
      在这里插入图片描述

    • 在power shell下使用命令“Get-ScheduledTask”,可以查看系统中所有的任务计划,包括名称、路径、状态等。
      在这里插入图片描述

    • 使用命令“schtasks”,可以查看任务计划详细信息。
      在这里插入图片描述

    2. Linux系统

    • 使用命令“crontab -l”可以查看当前的任务计划。
      在这里插入图片描述

    • 查看任务计划文件
      Linux中,任务计划文件一般以cron开头,使用命令“ls /etc/cron*”查看etc目录下所有cron开头的文件。
      在这里插入图片描述

    五 、 其他

    1. Windows系统

    • 【高级安全 Windows Defender 防火墙】中可查看防火墙的入站规则和出站规则。
      在这里插入图片描述

    • 使用命令“netsh advfirewall firewall”可以显示当前防火墙的网络配置状态。
      在这里插入图片描述

    2. Linux系统

    使用命令“systemctl status firewalld”查看防火墙状态。
    在这里插入图片描述


    进程排查

    1. Windows系统

    • 按住Ctrl+Shift+Esc打开【任务管理器】查看进程。
      在这里插入图片描述

    • 使用命令“tasklist”查看所有进程。
      在这里插入图片描述

    • 使用命令“tasklist /svc”查看进程和服务的对应情况。
      在这里插入图片描述

    • 使用命令“tasklist /m”查看DLL进程。
      在这里插入图片描述

    • 使用命令“netstat -ano | findstr "ESTABLISHED"”查看当前的网络连接。
      在这里插入图片描述

    • power shell中使用命令“Get-WmiObject Win32_Process | select Name,ProcessId,ParentProcessId,Path”。
      在这里插入图片描述

    • 使用命令“wmic process get name,parentprocessid,processid /format:csv”以csv格式显示进程的名称、父进程ID、进程ID。
      在这里插入图片描述

    2. Linux系统

    • 使用命令“netstat -antlp”查看网络连接。
      在这里插入图片描述

    • 使用命令“ls -alt /proc/1562”可查看进程的可执行程序(1562为进程PID)。
      在这里插入图片描述

    • 使用命令“lsof -p 1562”可查看进程所打开的文件(1562为进程PID)。
      在这里插入图片描述

    • 依次使用命令“ps -ef | awk '{print}' | sort -n | uniq >1”、“ls /proc | sort -n | uniq >2”、“diff 1 2”可以查看隐藏进程。
      在这里插入图片描述

    服务排查

    1. window系统

    • 运行命令“services.msc”,可以打开服务窗口。
      在这里插入图片描述

    2. Linux系统

    • 使用命令“chkconfig --list”可以查看运行的服务。
      在这里插入图片描述

    • 使用命令“service --statuss-all”可以查看所有服务状态。
      在这里插入图片描述

    文件痕迹排查

    1. window系统

    • 查看“C:\Windows\Temp”临时文件夹。
      在这里插入图片描述

    • 查看浏览器历史记录和下载文件等。

    • 查看“C:\Windows\Prefetch”预读取文件夹。
      在这里插入图片描述

    2. Linux系统

    • 查看“/tmp/”、“/usr/bin/”和“/usr/sbin/”目录。
      在这里插入图片描述
      在这里插入图片描述
      在这里插入图片描述

    • 查看“~/.ssh”和“/etc/ssh”目录。

    • 使用命令“find /tmp/ -perm 777”查看/tmp目录下777权限文件。
      在这里插入图片描述

    • 使用命令“find / -type f -perm -04000 -ls -uid 0 2>/dev/null”查看SUID权限的程序。
      在这里插入图片描述

    展开全文
  • 要建立防御体系应从通信网络网络边界、局域网络内部、各种业务应用平台等各个层次落实各种安全措施,形成纵深防御体系。单靠一种或几种安全设备就想保护整个网络是不可能的事情。因此,为了满足不同防护需求的安全...

    随着网络技术发展,网络威胁无孔不入,网络攻击手段呈现复杂性及多变性的趋势。要建立防御体系应从通信网络、网络边界、局域网络内部、各种业务应用平台等各个层次落实各种安全措施,形成纵深防御体系。单靠一种或几种安全设备就想保护整个网络是不可能的事情。因此,为了满足不同防护需求的安全设备应运而生。有的设备是为了严防非授权访问。有的设备是为了实时检测,拦截攻击行为。有的设备是为了自查自审,发现自身存在的问题。每一种安全设备分工都不同,设备缺失肯定会使防御体系失效造成安全隐患。

    本文介绍常用的安全设备及其能力

    网络安全审计

    网络安全审计通过对网络数据的采集、分析、识别,实时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,实时报警响应,全面记录网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确定位,为整体网络安全策略的制定提供权威可靠的支持。

    • 内容审计
      可对网页内容、邮件、数据库操作、论坛、即时通讯等提供完整的文本、图片和音视频内容检测、信息还原功能;并可自定义关键字库,进行细粒度的审计追踪。
    • 行为审计
      根据设定的行为审计策略,对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、移动应用、在线视频、P2P 下载、网络游戏等网络应用行为进行监测,对符合行为策略的事件实时告警并记录。
    • 流量审计
      支持基于智能协议识别的流量分析功能;实时统计出当前网络中的各种协议流量,进行综合流量分析,提供详细的流量报表;可以统计指定协议流量的IP TOP N,为流量管理策略的制定提供可靠支持。

    漏洞扫描

    通过漏洞扫描全面发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告。

    • 全面系统脆弱性发现
      能够全方位检测系统存在的脆弱性,发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,帮助安全管理人员先于攻击者发现安全问题,及时进行修补。
    • 风险统一分析
      支持全方位的安全漏洞、安全配置、应用系统安全漏洞扫描,通过安全风险计算方法,对网络系统中多个方面的安全脆弱性统一进行分析和风险评估,给出总体安全状态评价,全面掌握信息系统安全风险。
    • 识别非标准端口
      应用先进的非标准端口识别技术、以及丰富的协议指纹库,能够快速准确的识别非标准端口上的应用服务类型,并进一步进行漏洞检测,避免扫描过程中的漏报和误报。
    • 漏洞、配置知识库
      依托安全知识库,涵盖所有主流基础系统、应用系统、网络设备等网元对象,提供系统
      的配置检查库,提供专业安全厂商的加固修补建议,以及多个行业的安全配置检查标准。

    Web漏洞扫描

    定位于Web 脆弱性评估,实现全面Web 应用安全检测。帮助用户全面发现Web 漏洞,准确掌控网站风险,深度跟踪漏洞态势,提升快速响应能力。

    • 漏洞扫描及验证
      支持系统漏洞扫描以及Web 漏洞扫描,支持Web 应用漏洞分类,全面覆盖OWASP TOP10 应用风险,高中危漏洞专家级验证。
    • 网站挂马及黑链检测
      依托沙箱检测技术,识别网站页面中的恶意代码,对潜藏在用户网页中的黄赌毒私服等广告黑链进行周期性检测,并将挂马及黑链情况及时邮件提醒。
    • 网站篡改检测
      依托相似度对比技术,识别网页变更状态,并通知用户。
    • 网页敏感内容检测
      依托于敏感内容词库,识别网页中的敏感内容,并邮件提醒。
    • 可用性检测及 DNS 解析检测
      依托多个检测节点,多条检测线路,识别网站运营是否稳定的问题,并邮件提醒。

    堡垒机

    针对云主机、云数据库、网络设备等的运维权限、运维行为进行管理和审计。主要解决云上IT运维过程中操作系统账号复用、数据泄露、运维权限混乱、运维过程不透明等难题。

    • 登录功能
      支持对X11、linux、unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改,简化密码管理,让使用者无需记忆众多系统密码,即可实现自动登录目标设备,便捷安全。
    • 账号管理
      支持统一账户管理策略,能够实现对所有服务器、网络设备、安全设备等账号进行集中管理,完成对账号整个生命周期的监控,并且可以对设备进行特殊角色设置如:审计巡检员、运维操作员、设备管理员等自定义设置,以满足审计需求。
    • 身份认证
      提供统一的认证接口,对用户进行认证,支持身份认证模式包括动态口令、静态密码、硬件key、生物特征等多种认证方式,设备具有灵活的定制接口,可以与其他第三方认证服务器之间结合;安全的认证模式,有效提高认证的安全性和可靠性。
    • 资源授权
      提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权,最大限度保护用户资源的安全。
    • 访问控制
      支持对不同用户进行不同策略的制定,细粒度的访问控制能够最大限度的保护用户资源的安全,严防非法、越权访问事件的发生。
    • 操作审计
      能够对字符串、图形、文件传输、数据库等全程操作行为审计;通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作,对违规行为进行事中控制。对终端指令信息能够进行精确搜索,进行录像精确定位。

    日志审计

    日志审计是针对大量分散设备的异构日志进行高效采集、统一管理、集中存储、统计分析,可协助企业满足等保合规要求、高效统一管理资产日志并为安全事件的事后取证据供依据。

    • 安全日志源管理
      按照需要接入的日志源数量进行服务,提供多种日志接入方式,支持主动、被动采集。
    • 日志采集
      提供全面的日志采集能力:支持第三方安全设备、网络设备、数据库、windows/linux主机日志、web 服务器日志、虚拟化平台日志以及自定义等日志;提供强大的数据源管理功能:支持数据源的信息展示与管理、采集器的信息展示与管理以及agent 的信息展示与管理;提供分布式外置采集器、Agent 等多种日志采集方式;支持IPv4、IPv6 日志采集、分析以及检索查询。
    • 日志存储
      提供原始日志、范式化日志的存储,可自定义存储周期。
    • 日志检索
      提供丰富灵活的日志查询方式,支持全文.key-value、多kv布尔组合、括弧、正则、模糊等检索;提供便捷的日志检索操作,支持保存检索、从已保存的检索导入见多条件等。
    • 报表管理
      支持丰富的内置报表以及灵活的自定义报表模式,支持编辑报表的目录接口、引用统计项、设置报表标题、展示页眉和页码、报表配置基本内容(名称、描述等);支持实时报表、定时报表、周期性任务报表等方式;支持html、pdf、word 格式的报表文件以及报表logo
      的灵活配置。
    • 日志分析
      支持对各类应用系统产生的各类日志的分析功能。

    数据库审计

    数据库审计能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外
    部数据库网络行为记录,提高数据资产安全。

    • 实时告警
      风险操作:支持通过操作类型、操作对象、风险等级等多种元素细粒度定义要求监控的风险操作行为。
      SQL 注入:数据库安全审计提供SQL 注入库,可以基于SQL 命令特征或风险等级,发现数据库异常行为立即告警。
      系统资源:当系统资源(CPU、内存和磁盘)占用率达到设置的告警阈值时立即告警。
    • 多维度线索分析
      行为线索:支持审计时长、语句总量、风险总量、风险分布、会话统计、SQL 分布等多维度的快速分析。
      会话线索:支持根据时间、数据库用户、客户端等多角度进行分析。
      语句线索:提供时间、风险等级、数据用户、客户端IP、数据库IP、操作类型、规则等多种语句搜索条件。
    • 用户行为发现审计
      关联应用层和数据库层的访问操作:提供内置或自定义隐私数据保护规则,防止审计日志中的隐私数据(例如,账号密码)在控制台上以明文显示。
    • 精细化报表
      会话行为:提供客户端和数据库用户会话分析报表。
      风险操作:提供风险分布情况分析报表。
      合规报表:提供满足数据安全标准(例如Sarbanes-Oxley)的合规报告。

    网页防篡改

    网页防篡改是针对网站篡改攻击的防护,通过文件底层驱动技术对Web站点目录提供全方位的保护,为防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏提供解决方案。

    • 篡改防护
      同时对多台网站服务器文件,对同一台服务器内的多个web server,对同一web server内的多个virtual host进行防篡改;异地(非网站目录)保留篡改后页面快照,支持网站篡改检测;保护防篡改内嵌模块和守护进程。
    • 防篡改分析
      支持页面文件/结构/元素的哈希(MD5)值篡改检测、图片相似性比较。
    • 攻击防护
      能够防止SQL 数据库注入式攻击;能够防止跨站脚本漏洞;能够防止网站盗链。
    • 发布备份
      支持内容发布;支持实时同步;支持手动同步;可按照条件(按时间戳前,后,区间;按子文件夹;按WEB 服务器);支持双机热备功能;实体间通信采用SSL 加密。
    • 日志告警
      保存系统日志;文件传输日志;支持篡改告警、SQL 注入告警、盗链告警,告警通知
      支持手机短信通知、邮件通知、管理界面警示框;可通过图形报表综合统计和分析。

    入侵检测系统

    入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全系统。根据预先设定的安全策略,它是一种积极主动的安全防护技术。

    • 敏感数据外发检测
      能够识别并检测特定格式文件的外发,同时能够检测出文件中包含的敏感数据,进行告
      警,保护企业敏感数据,防止敏感数据泄露造成的损失。
    • 客户端攻击检测
      增加针对主流客户端应用程序的攻击签名规则,如Word、Excel、PDF、Firefox 等,增强客户终端应用程序的安全检测能力。
    • 服务器非法外联检测
      通过服务器的自学习功能或手动设置服务器正常外联行为,建立合法连接,能够检测服务器异于该合法连接的非法外联行为,及时产生告警信息通知网络管理人员,从而检测是否存在跳转等攻击行为。
    • 僵尸网络检测
      基于实时的信誉机制,结合企业级和全球信誉库,可有效检测恶意URL、僵尸网络,保护用户在访问被植入木马等恶意代码的网站地址时不受侵害,有效检测Web 威胁,并能及时发现网络中可能出现的僵尸网络主机和C&C 连接。

    Web应用防火墙

    基于对Web 流量的解码和分析,可应对Web 应用中的各类攻击,如SQL 注入、XSS注入、跨站请求伪造攻击、Cookie 篡改以及应用层Web 攻击等,能有效解决网页挂马、敏感信息泄露等安全问题,充分保障Web应用安全。通过精细的配置将多种Web安全检测方法连结成一套完整的安全体系,能够在IPv4、IPv6 及二者混合环境中抵御OWASP Top 10等各类Web安全威胁,通过服务化方式快速交付,保卫Web 应用免遭当前和未来的安全威胁。

    • Web 应用攻击防护
      内置多种防护策略,可选择进行 SQL 注入、XSS 攻击、命令注入、非法HTTP 协议请求、常见Web 服务器漏洞攻击、扫描防护等。
    • Web 漏洞
      Web 服务器漏洞探测,Web 服务器漏洞扫描(模拟攻击,判断缺陷,自动配置对应规则),及时发现漏洞隐患。
    • 注入攻击防护
      SQL 注入防御、LDAP 注入防御、命令注入防护(OS 命令,webshell 等)、XPath 注入防御、Xml/Json 注入防御。
    • IP 访问控制
      支持对指定IP 的加白和恶意IP 的封禁。
    • URL 访问控制
      支持对URL 进行黑白名单控制。
    • 爬虫防护
      基于源IP 周期判断访问数,防护恶意访问。

    下一代防火墙

    下一代防火墙采用高度一体化的架构设计方案,将所有的安全特性纳入到一体化的安全引擎。将传统五元组访问控制与具有下一代防火墙特征能力有机地结合起来,提供一个全新的网络边界防护解决方案。

    • 应用、用户识别能力
      可识别大部分应用,并可辅助用户对这些应用进行高效管理和筛查,包括5 维度分类组织,基于特性查询应用、自定义特殊应用等。
    • 监控统计
      对设备数据进行统计,并以柱状图、折线图、表格、报表、日志等方式呈现出来,帮助用户通过统计数据掌握设备状况,排查问题。
    • 用户认证
      对用户进行识别,通过认证的用户可以访问对应的管理资源。
    • 访问控制
      划分安全区域和非安全区域,区域之间的访问基于安全策略进行控制。
    • 入侵防御
      实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作。
    • 病毒过滤
      探测各种病毒威胁,例如恶意软件、恶意网站等,并且根据配置对发现的病毒进行处理。
    • DNS 重定向
      支持对某一域名重定向到另一域名的功能。
    • 页面访问控制
      针对不同用户的权限对页面的访问进行区别。
    • 带宽管理
      能够管理和优化网络带宽,提高用户的网络体验和带宽资源利用率。
    • 云沙箱
      基于云端架构的恶意软件虚拟运行环境,发现未知威胁,多重静态检测引擎快速过滤正常文件及已知威胁,提升沙箱检测效率。
    • 僵尸网络 C&C 防护
      监控 C&C 连接发现内网肉鸡,阻断僵尸网络/勒索软件等高级威胁进一步破坏。
    • IP 信誉库
      识别过滤各种已知风险 IP,根据配置对风险IP 进行记录或阻断处理。
    • 封账号
      支持对网络账户封停的功能。
    • 包过滤
      支持对网络中的数据包的区分和限制功能。
    • 授权管理
      集中管理功能授权并可进行不同种类授权的统一下发。
    • 传统防火墙功能特性
      兼容传统防火墙功能特性,包括访问控制、日志报表、会话管理等。

    入侵防护系统

    入侵防护系统是一个监视网络或网络设备的网络资料传输行为的系统,能够深入网络数据内部,即时中断、调整或隔离一些有害数据流。入侵防护系统可主动拦截黑客攻击、据虫、网络病毒、后门木马、DoS 等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作
    系统和应用程序损坏或宕机。

    • 敏感数据保护
      提供敏感数据识别、数据安全审计、数据脱敏、智能异常检测等数据安全能力,形成一体化的数据安全解决方案。
    • 高级威胁防御
      高级威胁防御能够基于敏感数的外泄、文件识别、服务器非法外联等异常行为检测,实现内网的高级威胁防御功能。
    • 恶意文件防御
      网络中存在大量恶意文件,通过网站文件服务器、邮件服务器实现传播,对企业网络安全构成潜在威胁。对网络中传送的文件,进行快速检测,比对文件信誉,对发现恶意的文件进行告警和阻断。
    • 网址/网站检测分析
      支持对网站的URL 进行检测,并分析其是否是恶意网能力。

    防病毒

    防病毒可以对计算机病毒、木马和恶意软件等一切已知的对计算机有危害的程序代码进行清除,提供终端查杀病毒、软件管理、漏洞补丁、统一升级管理等功能。

    • 安全防御
      能够精准识别、分析及响应病毒传播、0day 攻击及APT 攻击等异常行为。

    • 主机防火墙
      支持对IP、端口协议及访问方向等维度过滤,能智能识别网络协议,同时可通过IP 黑
      白名单,控制终端只能访问指定目标地址,或指定来源IP 地址访问。

    • 漏洞加固
      实时扫描记录终端的操作系统及常用应用软件漏洞,掌握全网终端漏洞情况及补丁修复。

    • 勒索病毒防御
      基于HIPS 的勒索者主动防御机制,蠕虫病毒、勒索病毒、宏病毒等已知未知威胁防范无忧。

    • 安全审计
      对攻击、病毒及漏洞等终端运行信息,以及上网行为、U 盘使用及文件操作等终端行为信息进行统一收集。

    • 软件管理
      记录全网安装软件清单以及每种软件安装的终端明细,以及软件使用时长。

    • 流量管控
      对终端流量管理包括总流量、上行及下行等管理,同时支持升级下载及日志上传等细粒度的流量管理。

    终端检测与响应

    利用终端检测响应,对终端的运行状态进行检测和监控,对进程、文件和配置等进行分析,对异常行为进行处理,确保主机安全,从而实现东西向防护。

    • 病毒及恶意程序防护
      基于文件动作行为特征模型分析查杀,主动防御型查杀,文件黑白名单管理,文件多算法(MD5、SHA1、SHA256)校验。
    • 攻击与威胁防护
      检测模式,拦截模式,支持端口扫描、泛洪攻击、TCP 洪水攻击、漏洞攻击、注册表安全检测等。
    • 主机网络访问隔离
      基于主机维度,定义出入站网络访问,能自定义网络访问对象和端口对象,并记录违规访问日志,可追溯网络访问发起的进程及进程详细路径和进程文件安全性。
    • 终端环境强控
      通过设定终端运行的白环境,达到除白名单外的文件无法运行。
    • 安全基线检查
      同时含盖 Windows 和Linux 平台,支持帐号与口令检查、密码生存周期检查、远程登录检查、网络与服务检查、日志审计检查、防火墙检查、系统安全配置检查等内容,核查项完全满足工信部等单位要求。
    • 沙箱防护
      云端沙箱检查结果查询,用户本地上传文件至沙箱。

    作者博客:http://xiejava.ishareread.com/

    展开全文
  • 网络安全题库一

    千次阅读 2019-08-09 10:34:06
    安全的运行环境是软件安全的基础,操作系统安全配置是确保运行环境安全必不可少的工作,某管理员对即将上线的Windows操作系统进行了以下四项安全部署工作,其中哪项设置不利于提高运行环境安全?(5分) 操作系统安装...
  • 网络信息安全之零信任

    千次阅读 2022-04-21 11:35:21
    根据NIST《零信任架构标准》中的定义:零信任(Zero Trust,ZT)提供了一系列概念和思想,在假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。零信任架构...
  • 这里写自定义目录标题写在前面判断题正确单选题错误单选题...F 项目TD是项目网络安全管理的第一责任人,项目组在任命时要明确网络安全管理职责,负责网络安全管理措施在本项目组的执行,组织网络安全现场培训。 F 接
  • 网络信息安全的重要性

    万次阅读 2018-08-15 11:39:01
    一、信息安全技术概论 1.网络安全的重要作用 在互联网普及的初期,人们更关注单纯的连接性...网络出现前:主要面向数据的安全,对信息的机密性、完整性和可用性的保护,即CIA三元组;网络出现后,还涵盖了面向用...
  • 网络安全--安全攻防概述

    千次阅读 2021-08-18 18:27:21
    课程目标:这节课我们来介绍安全攻防以及信息安全的职业发展历程,去了解什么是安全攻防以及安全攻防的基本概念,攻击和防御的由来。 任务目标:通过对这节课的学习,能够对安全攻防有进一步的了解和认识,掌握安全...
  • 网络信息安全之APT攻击

    千次阅读 2022-04-02 15:13:47
    当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat高级持续性威胁)攻击。
  • 开发或收集的一些网络安全方面的脚本、小工具 这里是自己学习网络安全过程中开发或收藏的一些好用的脚本。鉴于有不少人fork这个小项目,笔者有花了一点时间重新整理了这个项目的分离,以及脚本的详细使用。 后期将...
  • 网络安全解决方案

    千次阅读 2022-01-19 14:28:50
    网络安全体系结构是对网络信息安全基本问题的应对措施的集合,通常由保护,检测,响应和恢复等手段构成。 1,网络信息安全的基本问题 研究信息安全的困难在于: 边界模糊 数据安全与平台安全相交叉;存储安全与...
  • 信息安全简答题

    万次阅读 2020-12-28 11:57:49
    一、区块链技术在网络信息安全领域的应用 1.1区块链概念 在2008年由署名为中本聪的作者在《比特币:一种点对点的电子现金系统》一文提出,指的是一种在对等网络环境下,通过透明和可信规则,构建防伪造、防篡改...
  • 网络安全专业名词解释

    千次阅读 2022-03-04 16:02:18
    Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是...
  • 网络安全检测技术

    千次阅读 2022-01-16 21:18:34
    安全威胁是指所有能够对计算机网络信息系统的网络服务和网络信息的机密性,可用性和完整性产生阻碍,破坏或中断的各种因素。安全威胁可分为人为安全威胁和非人为安全威胁两大类。 1,网络安全漏洞威胁 漏洞分析的...
  • 网络安全等保/安全合规总结

    千次阅读 2022-03-09 09:36:35
    文章目录1. 什么是合规?2. 什么是等保2.0?3. 做了等保有什么好处?...符合网络安全法律法规,在国内可以理解成符合等保2.0要求. 2. 什么是等保2.0? 全名是网络安全等级保护2.0,是一套标准. 监管机构会根据这套
  • 网络安全知识点(全)

    千次阅读 2022-04-18 10:41:18
    漏洞类型–分为操作系统漏洞、网络协议漏洞、数据库...网络安全机制–OSI网络安全体系 书本P9 八项 加密机制 数据加密是提供信息保密的主要方法,可以保护数据存储和传输的保密性 数字签名机制 数字签名可解决传统手
  • 网络安全面试必问

    千次阅读 2022-03-29 22:45:12
    项目经历 ... 大家底子应该都各不相同,在面试中可能会问到你们不懂的知识点,不要慌 可以迂回战术 ,大部分问题应该会围绕 应急 溯源 渗透(近一年比较火的漏洞)来问,也可能会问网络基础的一些东...
  • 网络安全概述

    千次阅读 2022-04-04 21:31:01
    一、电子邮件e-mail的安全 ISP:Internet Service Provider 互联网服务提供商 美国:AT&T、Verzion,等等 中国:电信,移动,联通,等等 ISP:向不通网络用户提供基本网络服务 企业,单位,区域性网络 无线...
  • 网络安全技术概论知识点

    千次阅读 2021-09-27 08:41:56
    本文为《网络安全技术及应用》中重点知识点的提炼,以便于记忆。
  • 工业控制网络安全

    千次阅读 2021-09-09 16:56:08
    1.1 工业控制系统与工业控制网络概述 工业控制系统(Industrial Control System, ICS)是指由计算机与工业过程控制部件组成的自动控制系统,它由控制器、传感器、传送器、执行器和输入/输出接口等部分组成。这些...
  • 【期末复习】网络空间安全导论

    千次阅读 2021-12-31 17:11:54
    网络空间安全体系结构: [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-2ZTYBA6d-1640941886524)(https://gitee.com/hot-dry-noodles/pic-go/raw/master/img/image-20211231123125850.png...
  • 2019中国信息安全自主可控行业政策盘点及网络安全行业分析一、盘点中国信息安全自主可控行业政策法规二、中国网络安全行业产品分类全景图**三、国产化信息技术网络安全自主可控行业现状深度剖析****1、信息战凸显...
  • 网络安全基础知识面试题库

    千次阅读 2021-03-04 09:50:04
    入侵者让数据包循着一个对方不可预料的路径到达目的地,以逃避安全系统的审核 丢弃所有包含源路由选项的数据包 源路由 是指在数据包中还要列出所要经过的路由。某些路由器对源路由包的反应是使用其指定的路由,并...
  • 网络安全期末总结

    千次阅读 2021-12-20 21:02:12
    文章根据老师所画重点总结,所选教材为网络安全技术及应用第三版,只针对本次考试,仅供参考。 题型 选择题:20*1 判断题:5*2 简答题:包括问答题和分析题 8*5 应用题:15*2 选择题 选择题不必每个都记忆特别...
  • 网络空间安全——总结

    千次阅读 2020-03-12 17:41:36
    1 绪论 课程目标: 系统而全面的了解网络空间安全方面的基础知识、认识安全隐患、掌握相应的防范方法、提高大家的安全意识。 课程重点: 勾勒网络空间安全的框架。...欧洲信息安全局:网络空间安全信息安全概...
  • 车联网网络安全技术研究

    千次阅读 2022-01-20 20:50:29
    文章从车端安全、通信安全、平台安全以及移动应用安全等角度,梳理了车联网安全的技术要求,并总结了当前汽车网络安全领域的最新研究成果,为今后的车联网安全研究提供基础。 前言 作为智能交通系统快速发展...
  • 网络安全术语

    千次阅读 2022-03-28 17:33:38
    数据外泄是指从应用程序或网络上非法传输或复制数据。这些数据可以是从支付信息到敏感知识产权的任何内容。 数据清理(Data Sanitation) 清理数据涉及去除任何特殊字符或保留字的数据,这些特殊字符或保留字可能...
  • 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全有以下几种特征: 1. 保密性:信息不泄露给非...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 357,519
精华内容 143,007
关键字:

安全网络信息库