精华内容
下载资源
问答
  • 网络安全自查表,包括安全设备、网络设备、主机、数据库等。每一类均有对应的检查项目,按照检查项目填写检查结果。
  • visio图标 PPT图标 cisco H3C Ruijie,无线,路由器,交换机,比较全的网络拓扑图标。
  • 还在为拿着安全设备一脸懵逼吗,史上最详细配置步骤和讲解文档来啦,防火墙及ac设备小型安全网络价格搭建
  • 为了保证单向网络安全设备内部的安全性和通信系统的安全性,分析了单向网络安全设备的安全需求,提出无干扰模型形式化建模,用数学归纳法证明单向网络安全设备安全需求与形式化策略规约的一致性;针对单向网络安全...
  • 常见网络安全设备

    千次阅读 2020-04-03 16:28:30
    Web应用防火墙(WAF) ...因此出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。 什么是WAF? WAF是一种基础的安全保护模块,通过特征提取和分块检索技术进行特征匹配,主要针对 HTTP访问的Web程序保护...

    Web应用防火墙(WAF)

    为什么需要WAF?

    WAF(web application firewall)的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗,并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。

    什么是WAF?

    WAF是一种基础的安全保护模块,通过特征提取和分块检索技术进行特征匹配,主要针对 HTTP访问的Web程序保护。
    WAF部署在Web应用程序前面,在用户请求到达 Web 服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。
    通过检查HTTP流量,可以防止源自Web应用程序的安全漏洞(如SQL注入,跨站脚本(XSS),文件包含和安全配置错误)的攻击。

    与传统防火墙的区别

    WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙则充当服务器之间的安全门。
    WAF不是全能的
    WAF不是一个最终的安全解决方案,而是它们要与其他网络周边安全解决方案(如网络防火墙和入侵防御系统)一起使用,以提供全面的防御策略。

    入侵检测系统(IDS)

    什么是IDS?

    IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。

    跟防火墙的比较

    假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
    不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。

    部署位置选择

    因此,对IDS的部署唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,”所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。
    因此,IDS在交换式网络中的位置一般选择在:
    尽可能靠近攻击源 ;
    这些位置通常是:
    服务器区域的交换机上 ;
    Internet接入路由器之后的第一台交换机上 ;
    重点保护网段的局域网交换机上
    防火墙和IDS可以分开操作,IDS是个临控系统,可以自行选择合适的,或是符合需求的,比如发现规则或监控不完善,可以更改设置及规则,或是重新设置!
    主要组成部分
    事件产生器,从计算环境中获得事件,并向系统的其他部分提供此事件;
    事件分析器,分析数据;
    响应单元,发出警报或采取主动反应措施;
    事件数据库,存放各种数据。

    主要任务

    主要任务包括:
    监视、分析用户及系统活动;
    审计系统构造和弱点;
    识别、反映已知进攻的活动模式,向相关人士报警;
    统计分析异常行为模式;
    评估重要系统和数据文件的完整性;
    审计、跟踪管理操作系统,识别用户违反安全策略的行为。

    工作流程

    (1)信息收集
    信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。
    (2)数据分析
    数据分析是入侵检测的核心。它首先构建分析器,把收集到的信息经过预处理,建立一个行为分析引擎或模型,然后向模型中植入时间数据,在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。前两种方法用于实时入侵检测,而完整性分析则用于事后分析。可用5种统计模型进行数据分析:操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计分析的最大优点是可以学习用户的使用习惯。
    (3)实时记录、报警或有限度反击
    入侵检测系统在发现入侵后会及时做出响应,包括切断网络连接、记录事件和报警等。响应一般分为主动响应(阻止攻击或影响进而改变攻击的进程)和被动响应(报告和记录所检测出的问题)两种类型。主动响应由用户驱动或系统本身自动执行,可对入侵者采取行动(如断开连接)、修正系统环境或收集有用信息;被动响应则包括告警和通知、简单网络管理协议(SNMP)陷阱和插件等。另外,还可以按策略配置响应,可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。

    缺点

    (1)误报、漏报率高
    (2)没有主动防御能力
    (3)不能解析加密数据流

    入侵预防系统(IPS)

    什么是入侵预防系统

    入侵预防系统(Intrusion Prevention System,IPS),又称为入侵侦测与预防系统(intrusion detection and prevention systems,IDPS),是计算机网络安全设施,是对防病毒软件(Antivirus Softwares)和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。

    为什么在存在传统防火墙和IDS时,还会出现IPS?

    虽然防火墙可以根据英特网地址(IP-Addresses)或服务端口(Ports)过滤数据包。但是,它对于利用合法网址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。
    在ISO/OSI网络层次模型(见OSI模型)中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵检测系统投入使用。入侵侦查系统在发现异常情况后及时向网络安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵反应系统(IRS: Intrusion Response Systems)作为对入侵侦查系统的补充能够在发现入侵时,迅速做出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。

    IPS如何工作

    入侵预防系统专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网络传输层的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、操作系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
    应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据(forensic)。

    入侵预防技术

    异常侦查。正如入侵侦查系统,入侵预防系统知道正常数据以及数据之间关系的通常的样子,可以对照识别异常。
    在遇到动态代码(ActiveX,JavaApplet,各种指令语言script languages等等)时,先把它们放在沙盘内,观察其行为动向,如果发现有可疑情况,则停止传输,禁止执行。
    有些入侵预防系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网络内部的有害代码实行有效阻止。
    内核基础上的防护机制。用户程序通过系统指令享用资源(如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。
    对Library、Registry、重要文件和重要的文件夹进行防守和保护。

    与IDS相比,IPS的优势

    同时具备检测和防御功能IPS 不仅能检测攻击还能阻止攻击, 做到检测和防御兼顾,而且是在入口处就开始检测, 而不是等到进入内部网络后再检测,这样,检测效率和内网的安全性都大大提高。
    可检测到IDS检测不到的攻击行为IPS是在应用层的内容检测基础上加上主动响应和过滤功能,弥补了传统的防火墙+IDS方案不能完成更多内容检查的不足,填补了网络安全产品基于内容的安全检查的空白
    IPS是一种失效既阻断机制当IPS被攻击失效后,它会阻断网络连接,就像防火墙一样,使被保护资源与外界隔断。

    安全运营中心(SOC)

    什么是安全运营中心?

    SOC,全称是Security Operations Center,是一个以IT资产为基础,以业务信息系统为核心,以客户体验为指引,从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台,使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化,最终实现业务信息系统的持续安全运营。
    本质上,SOC不是一款单纯的产品,而是一个复杂的系统,他既有产品,又有服务,还有运维(运营),SOC是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台,这是SOC产品的价值所在。

    为什么会出现SOC?

    过去我们都让安全专家来管理各种类型的防火墙、IDS和诸如此类的安全措施,这主要是因为安全问题一般都发生在网络中非常具体的某个地点。但是,现在的情况已经变化,安全问题已经不再像当年那么简单。安全是一个动态的过程,因为敌方攻击手段在变,攻击方法在变,漏洞不断出现;我方业务在变,软件在变,人员在变,妄图通过一个系统、一个方案解决所有的问题是不现实的,也是不可能的,安全需要不断地运营、持续地优化。安全措施应当被实施在应用层、网络层和存储层上。它已经成为您的端对端应用服务中的一部分,与网络性能的地位非常接近。
    安全管理平台在未来安全建设中的地位尤其重要,它能够站在管理者的角度去‘俯瞰’整个安全体系建设,对其中每一层产品都可以进行全面、集中、统一的监测、调度和指挥控制。可以说,未来的态势感知的根基就是安全管理平台。

    主要功能(以venustech公司的soc产品为例)

    面向业务的统一安全管理

    系统内置业务建模工具,用户可以构建业务拓扑,反映业务支撑系统的资产构成,并自动构建业务健康指标体系,从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度计算业务的健康度,协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。

    全面的日志采集

    可以通过多种方式来收集设备和业务系统的日志,例如Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、Web Service等等。

    智能化安全事件关联分析

    借助先进的智能事件关联分析引擎,系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统为安全分析师提供了三种事件关联分析技术,分别是:基于规则的关联分析、基于情境的关联分析和基于行为的关联分析,并提供了丰富的可视化安全事件分析视图,充分提升分析效率,结合威胁情报,更好的帮助安全分析师发现安全问题。

    全面的脆弱性管理

    系统实现与天镜漏扫、网御漏扫和绿盟漏扫系统的实时高效联动,内置安全配置核查功能,从技术和管理两个维度进行全面的资产和业务脆弱性管控。

    主动化的预警管理

    用户可以通过预警管理功能发布内部及外部的早期预警信息,并与网络中的IP资产进行关联,分析出可能受影响的资产,提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。系统支持内部预警和外部预警;预警类型包括安全通告、攻击预警、漏洞预警和病毒预警等;预警信息包括预备预警、正式预警和归档预警三个状态。

    主动化的网络威胁情报利用

    系统提供主动化的威胁情报采集,通过采集实时威胁情报,结合规则关联和观察列表等分析方式,使安全管理人员及时发现来自己发现的外部攻击源的威胁。

    基于风险矩阵的量化安全风险评估

    系统参照GB/T 20984-2007信息安全风险评估规范、ISO 27005:2008信息安全风险管理,以及OWASP威胁建模项目中风险计算模型的要求,设计了一套实用化的风险计算模型,实现了量化的安全风险估算和评估。

    指标化宏观态势感知

    针对系统收集到的海量安全事件,系统借助地址熵分析、热点分析、威胁态势分析、KPI分析等数据挖掘技术,帮助管理员从宏观层面把握整体安全态势,对重大威胁进行识别、定位、预测和跟踪。

    多样的安全响应管理

    系统具备完善的响应管理功能,能够根据用户设定的各种触发条件,通过多种方式(例如邮件、短信、声音、SNMP Trap、即时消息、工单等)通知用户,并触发响应处理流程,直至跟踪到问题处理完毕,从而实现安全事件的闭环管理。

    丰富灵活的报表报告

    出具报表报告是安全管理平台的重要用途,系统内置了丰富的报表模板,包括统计报表、明细报表、综合审计报告,审计人员可以根据需要生成不同的报表。系统内置报表生成调度器,可以定时自动生成日报、周报、月报、季报、年报,并支持以邮件等方式自动投递,支持以PDF、Excel、Word等格式导出,支持打印。
    系统还内置一套报表编辑器,用户可以自行设计报表,包括报表的页面版式、统计内容、显示风格等

    流安全分析

    除了采集各类安全事件,系统还能够采集形如NetFlow的流量数据并进行可视化展示。针对采集来的NetFlow流量数据的分析,系统能够建立网络流量模型,通过泰合特有的基于流量基线的分析算法,发现网络异常行为。

    知识管理

    系统具有国内完善的安全管理知识库系统,内容涵盖安全事件库、安全策略库、安全公告库、预警信息库、漏洞库、关联规则库、处理预案库、案例库、报表库等,并提供定期或者不定期的知识库升级服务。

    用户管理

    系统采用三权分立的管理体制,默认设置了用户管理员、系统管理员、审计管理员分别管理。系统用户管理采用基于角色的访问控制策略,即依据对系统中角色行为来限制对资源的访问。

    自身系统管理

    实现了系统自身安全及维护管理。主要包括组织管理、系统数据库及功能组件运行状态监控、日志维护及其他一些与系统本身相关的运行维护的管理和配置功能。

    一体化的安全管控界面

    系统提供了强大的一体化安全管控功能界面,为不同层级的用户提供了多视角、多层次的管理视图。

    信息安全和事件管理(SIEM)

    SIEM,信息安全和事件管理,全称是security information and event management,由SEM和SIM两部分构成。

    什么是SIEM?

    SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录。
    SIEM技术最早是从日志管理发展起来的。它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应,与安全信息管理(SIM)——收集、分析并报告日志数据,结合了起来。

    SIEM的运作机制是什么?

    SIEM软件收集并聚合公司所有技术基础设施所产生的日志数据,数据来源从主机系统及应用,到防火墙及杀软过滤器之类网络和安全设备都有。
    收集到数据后,SIEM软件就开始识别并分类事件,对事件进行分析。
    该软件的主要目标有两个:
    产出安全相关事件的报告,比如成功/失败的登录、恶意软件活动和其他可能的恶意活动。
    如果分析表明某活动违反了预定义的规则集,有潜在的安全问题,就发出警报。
    除了传统的日志数据,很多SIEM技术还引入了威胁情报馈送,更有多种SIEM产品具备安全分析能力,不仅监视网络行为,还监测用户行为,可针对某动作是否恶意活动给出更多情报。
    如今,大型企业通常都将SIEM视为支撑安全运营中心(SOC)的基础。

    如何最大化SIEM的价值?

    首先,SIEM技术是资源密集型工具,需要经验丰富的人员来实现、维护和调整——这种员工不是所有企业都能完全投入的。(团队)
    想要最大化SIEM软件产出,就需要拥有高品质的数据。数据源越大,该工具产出越好,越能识别出异常值。(数据)

    软件的局限

    在检测可接受活动和合法潜在威胁上,SIEM并非完全准确,正是这种差异,导致了很多SIEM部署中出现了大量误报。该情况需要企业内有强力监管和有效规程,避免安全团队被警报过载拖垮。

    漏洞扫描器(Vulnerability Scanner)

    漏洞扫描是检查计算机或网络上可能利用的漏洞点,以识别安全漏洞。

    什么是漏洞扫描器?

    漏洞扫描器是一类自动检测本地或远程主机安全弱点的程序,它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。

    漏洞扫描器的工作原理

    工作原理是扫描器向目标计算机发送数据包,然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。

    漏洞扫描器的作用

    通过扫描器,提前探知到系统的漏洞,预先修复。

    分类

    端口扫描器(Port scanner )
    例如Nmap
    网络漏洞扫描器(Network vulnerability scanner )
    例如Nessus, Qualys, SAINT, OpenVAS, INFRA Security Scanner, Nexpose
    Web应用安全扫描器(Web application security scanner)
    例如Nikto, Qualys, Sucuri, High-Tech Bridge, Burp Suite, OWASP ZAP, w3af。
    数据库安全扫描器(atabase security scanner)
    基于主机的漏洞扫描器(Host based vulnerability scanner )
    例如Lynis
    ERP安全扫描器(ERP security scanner)
    单一漏洞测试(Single vulnerability tests)

    统一威胁管理(UTM)

    什么是UTM?

    统一威胁管理(UTM,Unified Threat Management),顾名思义,就是在单个硬件或软件上,提供多种安全功能。这跟传统的安全设备不同,传统的安全设备一般只解决一种问题。

    包含的功能

    基础功能:

    网络防火墙(Network Firewall)
    入侵检测(Intrusion Detection)
    入侵预防(Intrusion Prevention)

    可能会有的功能:

    防病毒网关(Gateway Anti-Virus)
    应用层防火墙和控制器(Application Layer Firewall and control)
    深度包检测(Deep packet inspection)
    Web代理和内容过滤(Web Proxy & content filtering)
    数据丢失预防(DLP)
    安全信息和事件管理(SIEM)
    虚拟专用网络(VPN)
    网络沼泽(Network Tarpit)

    UTM的优势是什么?

    UTM通过为管理员提供统一管理的方式,使得安全系统的管理人员可以集中管理他们的安全防御,而不需要拥有多个单一功能的设备,每个设备都需要人去熟悉、关注和支持;
    一体化方法简化了安装、配置和维护;
    与多个安全系统相比,节省了时间、金钱和人员。

    UTM的缺点是什么?

    单点故障

    虽然UTM提供了一个单一设备管理的简便性,但这引入了单点故障,一旦UTM设备出问题,整个安全防御会失效。

    内部防御薄弱

    由于UTM的设计原则违背了深度防御原则,虽然UTM在防御外部威胁非常有效,但面对内部威胁就无法发挥作用了。

    抗DDOS产品

    抗DDOS产品的防御方式

    拒绝服务攻击的防御方式通常为入侵检测,流量过滤和多重验证,旨在堵塞网络带宽的流量将被过滤,而正常的流量可正常通过。
    扩大带宽
    流量清洗和封IP
    CDN

    防火墙(Firewall)

    什么是防火墙

    在计算机科学领域中,防火墙(英文:Firewall)是一个架设在互联网与企业内网之间的信息安全系统,根据企业预定的策略来监控往来的传输。防火墙可能是一台专属的网络设备或是运行于主机上来检查各个网络接口上的网络传输。它是目前最重要的一种网络防护设备,从专业角度来说,防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件。

    功能

    防火墙最基本的功能就是隔离网络,通过将网络划分成不同的区域(通常情况下称为ZONE),制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。

    类型

    网络层(数据包过滤型)防火墙

    运作于TCP/IP协议堆栈上。管理者会先根据企业/组织的策略预先设置好数据包通过的规则或采用内置规则,只允许匹配规则的数据包通过。

    应用层防火墙

    应用层防火墙是在TCP/IP堆栈的“应用层”上运作,使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有数据包,并且封锁其他的数据包(通常是直接将数据包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进受保护的机器里。

    代理服务

    代理(Proxy)服务器(可以是一台专属的网络设备,或是在一般电脑上的一套软件)采用应用程序的运作方式,回应其所收到的数据包(例:连接要求)来实现防火墙的功能,而封锁/抛弃其他数据包。

    缺点

    正常状况下,所有互联网的数据包软件都应经过防火墙的过滤,这将造成网络交通的瓶颈。例如在攻击性数据包出现时,攻击者会不时寄出数据包,让防火墙疲于过滤数据包,而使一些合法数据包软件亦无法正常进出防火墙。

    虚拟专用网(VPN)

    什么是VPN?

    虚拟私人网络(英语:Virtual Private Network,缩写为VPN)是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构(例如:互联网)来传送内部网的网络讯息。它利用已加密的通道协议(Tunneling Protocol)来达到保密、发送端认证、消息准确性等私人消息安全效果。这种技术可以用不安全的网络(例如:互联网)来发送可靠、安全的消息。需要注意的是,加密消息与否是可以控制的。没有加密的虚拟专用网消息依然有被窃取的危险。

    上网行为管理

    什么是上网行为管理?

    上网行为管理,就是通过软件或硬件,控制用户访问网络的权限。功能包括行为管理、应用控制、流量管控、信息管控、非法热点管控、行为分析、无线网络管理等。

    云主机安全

    云服务商在云主机中部署自己的agent程序,做监控、管理和安全监测。

    功能

    木马查杀

    对各类恶意文件进行检测,包括各类 WebShell 后门和二进制木马,对检测出来的恶意文件进行访问控制和隔离操作,防止恶意文件的再次利用。

    密码破解拦截

    对密码恶意破解类行为进行检测和拦截, 共享全网恶意 IP 库,自动化实施拦截策略。

    登录行为审计

    根据登录流水数据,识别常用的登录区域,对可疑的登录行为提供实时告警通知。

    漏洞管理

    对主机上存在的高危漏洞风险进行实时预警和提供修复方案,包括系统漏洞、web 类漏洞,帮助企业快速应对漏洞风险。

    资产管理

    支持对机器进行分组标签管理,基于组件识别技术,快速掌握服务器中软件、进程、端口的分布情况。

    数据库审计(DBAudit)

    数据库审计服务,是为了保证单位或者个人核心数据的安全,可针对数据库SQL注入、风险操作等数据库风险操作行为进行记录与告警。

    功能

    用户行为发现审计

    关联应用层和数据库层的访问操作
    可溯源到应用者的身份和行为

    多维度线索分析

    风险和危害线索:高中低的风险等级、SQL注入、黑名单语句、违反授权策略的SQL行为
    会话线索:根据时间、用户、IP、应用程序、和客户端多角度分析
    详细语句线索:提供用户、IP、客户端工具、访问时间、操作对象、SQL操作类型、成功与否、访问时长、影响行数等多种检索条件
    异常操作、SQL注入、黑白名单实时告警
    异常操作风险:通过IP、用户、数据库客户端工具、时间、敏感对象、返回行数、系统对象、高危操作等多种元素细粒度定义要求监控的风险访问行为
    SQL注入:系统提供了系统性的SQL注入库,以及基于正则表达式或语法抽象的SQL注入描述,发现异常立即告警
    黑白名单:提供准确而抽象的方式,对系统中的特定访问SQL语句进行描述,使这些SQL语句出现时能够迅速报警
    针对各种异常行为的精细化报表
    会话行为:登录失败报表、会话分析报表
    SQL行为:新型SQL报表、SQL语句执行历史报表、失败SQL报表
    风险行为:告警报表、通知报表、SQL注入报表、批量数据访问行为报表
    政策性报表: 塞班斯报表

    堡垒机(运维审计与管控系统)

    为什么需要堡垒机

    当今的时代是一个信息化社会,信息系统已成为各企事业单位业务运营的基础,由于信息系统运维人员掌握着信息系统的最高权限,一旦运维操作出现安全问题将会给企业或单位带来巨大的损失。因此,加强对运维人员操作行为的监管与审计是信息安全发展的必然趋势。在此背景之下,针对运维操作管理与审计的堡垒机应运而生。堡垒机提供了一套多维度的运维操作控管控与审计解决方案,使得管理人员可以全面对各种资源(如网络设备、服务器、安全设备和数据库等)进行集中账号管理、细粒度的权限管理和访问审计,帮助企业提升内部风险控制水平。

    分类

    网关型堡垒机

    网关型的堡垒机被部署在外部网络和内部网络之间,其本身不直接向外部提供服务而是作为进入内部网络的一个检查点,用于提供对内部网络特定资源的安全访问控制。这类堡垒机不提供路由功能,将内外网从网络层隔离开来,因此除非授权访问外还可以过滤掉一些针对内网的来自应用层以下的攻击,为内部网络资源提供了一道安全屏障。但由于此类堡垒机需要处理应用层的数据内容,性能消耗很大,所以随着网络进出口处流量越来越大,部署在网关位置的堡垒机逐渐成为了性能瓶颈,因此网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代。

    运维审计型堡垒机

    第二种类型的堡垒机是审计型堡垒机,有时也被称作“内控堡垒机”,这种类型的堡垒机也是当前应用最为普遍的一种。
    运维审计型堡垒机的原理与网关型堡垒机类似,但其部署位置与应用场景不同且更为复杂。运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前面,对运维人员的操作权限进行控制和操作行为审计;运维审计型堡垒机即解决了运维人员权限难以控制混乱局面,又可对违规操作行为进行控制和审计,而且由于运维操作本身不会产生大规模的流量,堡垒机不会成为性能的瓶颈,所以堡垒机作为运维操作审计的手段得到了快速发展。
    最早将堡垒机用于运维操作审计的是金融、运营商等高端行业的用户,由于这些用户的信息化水平相对较高发展也比较快,随着信息系统安全建设发展其对运维操作审计的需求表现也更为突出,而且这些用户更容易受到 “信息系统等级保护”、“萨班斯法案”等法规政策的约束,因此基于堡垒机作为运维操作审计手段的上述特点,这些高端行业用户率先将堡垒机应用于运维操作审计。

    堡垒机运维操作审计的工作原理

    作为运维操作审计手段的堡垒机的核心功能是用于实现对运维操作人员的权限控制与操作行为审计。

    主要技术思路

    如何实现对运维人员的权限控制与审计呢?堡垒机必须能够截获运维人员的操作,并能够分析出其操作的内容。堡垒机的部署方式,确保它能够截获运维人员的所有操作行为,分析出其中的操作内容以实现权限控制和行为审计的目的,同时堡垒机还采用了应用代理的技术。运维审计型堡垒机对于运维操作人员相当于一台代理服务器(Proxy Server)

    1. 运维人员在操作过程中首先连接到堡垒机,然后向堡垒机提交操作请求;
    2. 该请求通过堡垒机的权限检查后,堡垒机的应用代理模块将代替用户连接到目标设备完成该操作,之后目标设备将操作结果返回给堡垒机,最后堡垒机再将操作结果返回给运维操作人员。
      通过这种方式,堡垒机逻辑上将运维人员与目标设备隔离开来,建立了从“运维人员->堡垒机用户账号->授权->目标设备账号->目标设备”的管理模式,解决操作权限控制和行为审计问题的同时,也解决了加密协议和图形协议等无法通过协议还原进行审计的问题。

    工作原理简介

    在实际使用场景中堡垒机的使用人员通常可分为管理人员、运维操作人员、审计人员三类用户。
    管理员最重要的职责是根据相应的安全策略和运维人员应有的操作权限来配置堡垒机的安全策略。堡垒机管理员登录堡垒机后,在堡垒机内部,“策略管理”组件负责与管理员进行交互,并将管理员输入的安全策略存储到堡垒机内部的策略配置库中。
    “应用代理”组件是堡垒机的核心,负责中转运维操作用户的操作并与堡垒机内部其他组件进行交互。“应用代理”组件收到运维人员的操作请求后调用“策略管理”组件对该操作行为进行核查,核查依据便是管理员已经配置好的策略配置库,如此次操作不符合安全策略“应用代理”组件将拒绝该操作行为的执行。
    运维人员的操作行为通过“策略管理”组件的核查之后“应用代理”组件则代替运维人员连接目标设备完成相应操作,并将操作返回结果返回给对应的运维操作人员;同时此次操作过程被提交给堡垒机内部的“审计模块”,然后此次操作过程被记录到审计日志数据库中。
    最后当需要调查运维人员的历史操作记录时,由审计员登录堡垒机进行查询,然后“审计模块”从审计日志数据库中读取相应日志记录并展示在审计员交互界面上。

    如何选择一款好的堡垒机产品

    对于信息系统的管理者来说除了工作原理以外可能更关心如何选择一款好的运维审计堡垒机产品。一个好的运维审计堡垒机产品应实现对服务器、网络设备、安全设备等核心资产的运维管理账号的集中账号管理、集中认证和授权,通过单点登录,提供对操作行为的精细化管理和审计,达到运维管理简单、方便、可靠的目的。

    管理方便

    应提供一套简单直观的账号管理、授权管理策略,管理员可快速方便地查找某个用户,查询修改访问权限;同时用户能够方便的通过登录堡垒机对自己的基本信息进行管理,包括账号、口令等进行修改更新。

    可扩展性

    当进行新系统建设或扩容时,需要增加新的设备到堡垒机时,系统应能方便的增加设备数量和设备种类。

    精细审计

    针对传统网络安全审计产品无法对通过加密、图形运维操作协议进行为审计的缺陷,系统应能实现对RDP、VNC、X-Window、SSH、SFTP、HTTPS等协议进行集中审计,提供对各种操作的精细授权管理和实时监控审计。

    审计可查

    可实时监控和完整审计记录所有维护人员的操作行为;并能根据需求,方便快速的查找到用户的操作行为日志,以便追查取证。

    安全性

    堡垒机自身需具备较高的安全性,须有冗余、备份措施,如日志自动备份等。

    部署方便

    系统采用物理旁路,逻辑串联的模式,不需要改变网络拓扑结构,不需要在终端安装客户端软件,不改变管理员、运维人员的操作习惯,也不影响正常业务运行。

    展开全文
  • 网络安全设备概念的熟悉和学习

    万次阅读 多人点赞 2018-05-07 18:28:57
    什么是网络安全网络安全技术有哪些? Web应用防火墙(WAF) 为什么需要WAF? 什么是WAF? 与传统防火墙的区别 WAF不是全能的 入侵检测系统(IDS) 什么是IDS? 跟防火墙的比较 部署位置选择 主要组成部分 ...

    什么是网络安全?

    大多数情况下,当你结束一天的工作离开办公室时,你会打开警报系统并且锁好门以便保护办公室及设备。此外,你还可能拥有一个安全或带锁的文件柜并且用它来存放公司机密文件。
    同样,计算机网络也需要这样的保护。
    网络安全技术保护的的网络免受他人盗窃和滥用公司机密信息,同时阻止互联网病毒及蠕虫的恶意攻击。如果没有网络安全技术,公司将面临未经授权的入侵、网络停机、服务中断、违反法律法规甚至法律诉讼等风险。

    网络安全技术有哪些?

    网络安全并不依赖一种方法,而是通过整套设置以不同的方法来保护你的企业。即使一个解决方案失败了,还有其它方案支持,确保公司和数据不受多种网络攻击的威胁。
    下面涉及到的常见网络安全设备有WAF、IDS、IPS、SOC、SIEM、漏洞扫描器、统一威胁管理(UTM)、抗DDOS产品、虚拟专用网(VPN)、上网行为管理软件、主机安全、数据库审计等。


    Web应用防火墙(WAF)

    为什么需要WAF?

    WAF(web application firewall)的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗,并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。

    什么是WAF?

    WAF是一种基础的安全保护模块,通过特征提取和分块检索技术进行特征匹配,主要针对 HTTP访问的Web程序保护。
    WAF部署在Web应用程序前面,在用户请求到达 Web 服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。
    通过检查HTTP流量,可以防止源自Web应用程序的安全漏洞(如SQL注入,跨站脚本(XSS),文件包含和安全配置错误)的攻击。

    与传统防火墙的区别

    WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙则充当服务器之间的安全门。

    WAF不是全能的

    WAF不是一个最终的安全解决方案,而是它们要与其他网络周边安全解决方案(如网络防火墙和入侵防御系统)一起使用,以提供全面的防御策略。


    入侵检测系统(IDS)

    什么是IDS?

    IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性完整性可用性

    跟防火墙的比较

    假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
    不同于防火墙,IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。

    部署位置选择

    因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。在这里,”所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中,已经很难找到以前的HUB式的共享介质冲突域的网络,绝大部分的网络区域都已经全面升级到交换式的网络结构。因此,IDS在交换式网络中的位置一般选择在:

    • 尽可能靠近攻击源 ;
    • 尽可能靠近受保护资源 。

    这些位置通常是:

    • 服务器区域的交换机上 ;
    • Internet接入路由器之后的第一台交换机上 ;
    • 重点保护网段的局域网交换机上 。

    防火墙和IDS可以分开操作,IDS是个临控系统,可以自行选择合适的,或是符合需求的,比如发现规则或监控不完善,可以更改设置及规则,或是重新设置!

    主要组成部分

    • 事件产生器,从计算环境中获得事件,并向系统的其他部分提供此事件;
    • 事件分析器,分析数据;
    • 响应单元,发出警报或采取主动反应措施;
    • 事件数据库,存放各种数据。

    主要任务

    主要任务包括:

    • 监视、分析用户及系统活动;
    • 审计系统构造和弱点;
    • 识别、反映已知进攻的活动模式,向相关人士报警;
    • 统计分析异常行为模式;
    • 评估重要系统和数据文件的完整性;
    • 审计、跟踪管理操作系统,识别用户违反安全策略的行为。

    工作流程

    • (1)信息收集
      信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。
    • (2)数据分析
      数据分析是入侵检测的核心。它首先构建分析器,把收集到的信息经过预处理,建立一个行为分析引擎或模型,然后向模型中植入时间数据,在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。前两种方法用于实时入侵检测,而完整性分析则用于事后分析。可用5种统计模型进行数据分析:操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计分析的最大优点是可以学习用户的使用习惯。
    • (3)实时记录、报警或有限度反击
      入侵检测系统在发现入侵后会及时作出响应,包括切断网络连接、记录事件和报警等。响应一般分为主动响应(阻止攻击或影响进而改变攻击的进程)和被动响应(报告和记录所检测出的问题)两种类型。主动响应由用户驱动或系统本身自动执行,可对入侵者采取行动(如断开连接)、修正系统环境或收集有用信息;被动响应则包括告警和通知、简单网络管理协议(SNMP)陷阱和插件等。另外,还可以按策略配置响应,可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。

    缺点

    • (1)误报、漏报率高
    • (2)没有主动防御能力
    • (3)不能解析加密数据流

    入侵预防系统(IPS)

    什么是入侵预防系统

    入侵预防系统(英语:Intrusion Prevention System,缩写为IPS),又称为入侵侦测与预防系统(intrusion detection and prevention systems,缩写为IDPS),是计算机网络安全设施,是对防病毒软件(Antivirus Softwares)和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。

    为什么在存在传统防火墙和IDS时,还会出现IPS?

    虽然防火墙可以根据英特网地址(IP-Addresses)或服务端口(Ports)过滤数据包。但是,它对于利用合法网址和端口而从事的破坏活动则无能为力。因为,防火墙极少深入数据包检查内容。
    在ISO/OSI网络层次模型(见OSI模型)中,防火墙主要在第二到第四层起作用,它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档,几年前,工业界已经有入侵检测系统投入使用。入侵侦查系统在发现异常情况后及时向网络安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然,亡羊补牢,尤未为晚,但是,防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵反应系统(IRS: Intrusion Response Systems)作为对入侵侦查系统的补充能够在发现入侵时,迅速作出反应,并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展,汲取了二者的长处。

    IPS如何工作

    入侵预防系统专门深入网络数据内部,查找它所认识的攻击代码特征,过滤有害数据流,丢弃有害数据包,并进行记载,以便事后分析。除此之外,更重要的是,大多数入侵预防系统同时结合考虑应用程序或网络传输层的异常情况,来辅助识别入侵和攻击。比如,用户或用户程序违反安全条例、数据包在不应该出现的时段出现、操作系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征,但是它并不仅仅依赖于已知病毒特征。
    应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种,采取预防措施,先期阻止入侵,防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙 和防病毒软件的补充来投入使用。在必要时,它还可以为追究攻击者的刑事责任而提供法律上有效的证据(forensic)。

    入侵预防技术

    • 异常侦查。正如入侵侦查系统,入侵预防系统知道正常数据以及数据之间关系的通常的样子,可以对照识别异常。
    • 在遇到动态代码(ActiveX,JavaApplet,各种指令语言script languages等等)时,先把它们放在沙盘内,观察其行为动向,如果发现有可疑情况,则停止传输,禁止执行。
    • 有些入侵预防系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网络内部的有害代码实行有效阻止。
    • 内核基础上的防护机制。用户程序通过系统指令享用资源(如存储区、输入输出设备、中央处理器等)。入侵预防系统可以截获有害的系统请求。
    • 对Library、Registry、重要文件和重要的文件夹进行防守和保护。

    与IDS相比,IPS的优势

    • 同时具备检测和防御功能IPS 不仅能检测攻击还能阻止攻击, 做到检测和防御兼顾,而且是在入口处就开始检测, 而不是等到进入内部网络后再检测,这样,检测效率和内网的安全性都大大提高。
    • 可检测到IDS检测不到的攻击行为IPS是在应用层的内容检测基础上加上主动响应和过滤功能, 弥补了传统的防火墙+IDS 方案不能完成更多内容检查的不足, 填补了网络安全产品基于内容的安全检查的空白。
    • IPS是一种失效既阻断机制当IPS被攻击失效后, 它会阻断网络连接, 就像防火墙一样, 使被保护资源与外界隔断。

    安全运营中心(SOC)

    什么是安全运营中心?

    SOC,全称是Security Operations Center,是一个以IT资产为基础,以业务信息系统为核心,以客户体验为指引,从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台,使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化,最终实现业务信息系统的持续安全运营。
    本质上,SOC不是一款单纯的产品,而是一个复杂的系统,他既有产品,又有服务,还有运维(运营),SOC是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台,这是SOC产品的价值所在。

    为什么会出现SOC?

    过去我们都让安全专家来管理各种类型的防火墙、IDS和诸如此类的安全措施,这主要是因为安全问题一般都发生在网络中非常具体的某个地点。但是,现在的情况已经变化,安全问题已经不再像当年那么简单。安全是一个动态的过程,因为敌方攻击手段在变,攻击方法在变,漏洞不断出现;我方业务在变,软件在变,人员在变,妄图通过一个系统、一个方案解决所有的问题是不现实的,也是不可能的,安全需要不断地运营、持续地优化。安全措施应当被实施在应用层、网络层和存储层上。它已经成为您的端对端应用服务中的一部分,与网络性能的地位非常接近。
    安全管理平台在未来安全建设中的地位尤其重要,它能够站在管理者的角度去‘俯瞰’整个安全体系建设,对其中每一层产品都可以进行全面、集中、统一的监测、调度和指挥控制。可以说,未来的态势感知的根基就是安全管理平台。

    主要功能(以venustech公司的soc产品为例)

    • 面向业务的统一安全管理
      系统内置业务建模工具,用户可以构建业务拓扑,反映业务支撑系统的资产构成,并自动构建业务健康指标体系,从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度计算业务的健康度,协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。
    • 全面的日志采集
      可以通过多种方式来收集设备和业务系统的日志,例如Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、Web Service等等。
    • 智能化安全事件关联分析
      借助先进的智能事件关联分析引擎,系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。系统为安全分析师提供了三种事件关联分析技术,分别是:基于规则的关联分析、基于情境的关联分析和基于行为的关联分析,并提供了丰富的可视化安全事件分析视图,充分提升分析效率,结合威胁情报,更好的帮助安全分析师发现安全问题。
    • 全面的脆弱性管理
      系统实现与天镜漏扫、网御漏扫和绿盟漏扫系统的实时高效联动,内置安全配置核查功能,从技术和管理两个维度进行全面的资产和业务脆弱性管控。
    • 主动化的预警管理
      用户可以通过预警管理功能发布内部及外部的早期预警信息,并与网络中的IP资产进行关联,分析出可能受影响的资产,提前让用户了解业务系统可能遭受的攻击和潜在的安全隐患。系统支持内部预警和外部预警;预警类型包括安全通告、攻击预警、漏洞预警和病毒预警等;预警信息包括预备预警、正式预警和归档预警三个状态。
    • 主动化的网络威胁情报利用
      系统提供主动化的威胁情报采集,通过采集实时威胁情报,结合规则关联和观察列表等分析方式,使安全管理人员及时发现来自已发现的外部攻击源的威胁。
    • 基于风险矩阵的量化安全风险评估
      系统参照GB/T 20984-2007信息安全风险评估规范、ISO 27005:2008信息安全风险管理,以及OWASP威胁建模项目中风险计算模型的要求,设计了一套实用化的风险计算模型,实现了量化的安全风险估算和评估。
    • 指标化宏观态势感知
      针对系统收集到的海量安全事件,系统借助地址熵分析、热点分析、威胁态势分析、KPI分析等数据挖掘技术,帮助管理员从宏观层面把握整体安全态势,对重大威胁进行识别、定位、预测和跟踪。
    • 多样的安全响应管理
      系统具备完善的响应管理功能,能够根据用户设定的各种触发条件,通过多种方式(例如邮件、短信、声音、SNMP Trap、即时消息、工单等)通知用户,并触发响应处理流程,直至跟踪到问题处理完毕,从而实现安全事件的闭环管理。
    • 丰富灵活的报表报告
      出具报表报告是安全管理平台的重要用途,系统内置了丰富的报表模板,包括统计报表、明细报表、综合审计报告,审计人员可以根据需要生成不同的报表。系统内置报表生成调度器,可以定时自动生成日报、周报、月报、季报、年报,并支持以邮件等方式自动投递,支持以PDF、Excel、Word等格式导出,支持打印。
      系统还内置了一套报表编辑器,用户可以自行设计报表,包括报表的页面版式、统计内容、显示风格等。
    • 流安全分析
      除了采集各类安全事件,系统还能够采集形如NetFlow的流量数据并进行可视化展示。针对采集来的NetFlow流量数据的分析,系统能够建立网络流量模型,通过泰合特有的基于流量基线的分析算法,发现网络异常行为。
    • 知识管理
      系统具有国内完善的安全管理知识库系统,内容涵盖安全事件库、安全策略库、安全公告库、预警信息库、漏洞库、关联规则库、处理预案库、案例库、报表库等,并提供定期或者不定期的知识库升级服务。
    • 用户管理
      系统采用三权分立的管理体制,默认设置了用户管理员、系统管理员、审计管理员分别管理。系统用户管理采用基于角色的访问控制策略,即依据对系统中角色行为来限制对资源的访问。
    • 自身系统管理
      实现了系统自身安全及维护管理。主要包括组织管理、系统数据库及功能组件运行状态监控、日志维护及其他一些与系统本身相关的运行维护的管理和配置功能。
    • 一体化的安全管控界面
      系统提供了强大的一体化安全管控功能界面,为不同层级的用户提供了多视角、多层次的管理视图。

    信息安全和事件管理(SIEM)

    SIEM,信息安全和事件管理,全称是security information and event management,由SEM和SIM两部分构成。

    什么是SIEM?

    SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录。
    SIEM技术最早是从日志管理发展起来的。它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应,与安全信息管理(SIM)——收集、分析并报告日志数据,结合了起来。

    SIEM的运作机制是什么?

    SIEM软件收集并聚合公司所有技术基础设施所产生的日志数据,数据来源从主机系统及应用,到防火墙及杀软过滤器之类网络和安全设备都有。
    收集到数据后,SIEM软件就开始识别并分类事件,对事件进行分析。该软件的主要目标有两个:

    1. 产出安全相关事件的报告,比如成功/失败的登录、恶意软件活动和其他可能的恶意活动。
    2. 如果分析表明某活动违反了预定义的规则集,有潜在的安全问题,就发出警报。

    除了传统的日志数据,很多SIEM技术还引入了威胁情报馈送,更有多种SIEM产品具备安全分析能力,不仅监视网络行为,还监测用户行为,可针对某动作是否恶意活动给出更多情报。
    如今,大型企业通常都将SIEM视为支撑安全运营中心(SOC)的基础。

    如何最大化SIEM的价值?

    首先,SIEM技术是资源密集型工具,需要经验丰富的人员来实现、维护和调整——这种员工不是所有企业都能完全投入的。(团队)
    想要最大化SIEM软件产出,就需要拥有高品质的数据。数据源越大,该工具产出越好,越能识别出异常值。(数据)

    软件的局限

    在检测可接受活动和合法潜在威胁上,SIEM并非完全准确,正是这种差异,导致了很多SIEM部署中出现了大量误报。该情况需要企业内有强力监管和有效规程,避免安全团队被警报过载拖垮。


    漏洞扫描器(Vulnerability Scanner)

    漏洞扫描是检查计算机或网络上可能利用的漏洞点,以识别安全漏洞。

    什么是漏洞扫描器?

    漏洞扫描器是一类自动检测本地或远程主机安全弱点的程序,它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。

    漏洞扫描器的工作原理

    工作原理是扫描器向目标计算机发送数据包,然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。

    漏洞扫描器的作用

    通过扫描器,提前探知到系统的漏洞,预先修复。

    分类

    • 端口扫描器(Port scanner )
      例如Nmap
    • 网络漏洞扫描器(Network vulnerability scanner )
      例如Nessus, Qualys, SAINT, OpenVAS, INFRA Security Scanner, Nexpose
    • Web应用安全扫描器(Web application security scanner)
      例如Nikto, Qualys, Sucuri, High-Tech Bridge, Burp Suite, OWASP ZAP, w3af。
    • 数据库安全扫描器(atabase security scanner)
    • 基于主机的漏洞扫描器(Host based vulnerability scanner )
      例如Lynis
    • ERP安全扫描器(ERP security scanner)
    • 单一漏洞测试(Single vulnerability tests)

    统一威胁管理(UTM)

    什么是UTM?

    统一威胁管理(UTM,Unified Threat Management),顾名思义,就是在单个硬件或软件上,提供多种安全功能。这跟传统的安全设备不同,传统的安全设备一般只解决一种问题。

    包含的功能

    基础功能:

    • 网络防火墙(Network Firewall)
    • 入侵检测(Intrusion Detection)
    • 入侵预防(Intrusion Prevention)

    可能会有的功能:

    • 防病毒网关(Gateway Anti-Virus)
    • 应用层防火墙和控制器(Application Layer Firewall and control)
    • 深度包检测(Deep packet inspection)
    • Web代理和内容过滤(Web Proxy & content filtering)
    • 数据丢失预防(DLP)
    • 安全信息和事件管理(SIEM)
    • 虚拟专用网络(VPN)
    • 网络沼泽(Network Tarpit)

    UTM的优势是什么?

    • UTM通过为管理员提供统一管理的方式,使得安全系统的管理人员可以集中管理他们的安全防御,而不需要拥有多个单一功能的设备,每个设备都需要人去熟悉、关注和支持;
    • 一体化方法简化了安装、配置和维护;
    • 与多个安全系统相比,节省了时间、金钱和人员。

    UTM的缺点是什么?

    • 单点故障
      虽然UTM提供了一个单一设备管理的简便性,但这引入了单点故障,一旦UTM设备出问题,整个安全防御会失效。
    • 内部防御薄弱
      由于UTM的设计原则违背了深度防御原则,虽然UTM在防御外部威胁非常有效,但面对内部威胁就无法发挥作用了。

    抗DDOS产品

    什么是DOS?什么是DDOS?

    拒绝服务攻击(denial-of-service attack,简称DoS attack、DoS)亦称洪水攻击,是一种网络攻击手法,其目的在于使目标电脑的网络或系统资源耗尽,使服务暂时中断或停止,导致其正常用户无法访问。
    当黑客使用网络上两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击时,称为分布式拒绝服务攻击(distributed denial-of-service attack,简称DDoS attack、DDoS)。

    攻击方式

    DDoS攻击可以具体分成两种形式:带宽消耗型以及资源消耗型。它们都是透过大量合法或伪造的请求占用大量网络以及器材资源,以达到瘫痪网络以及系统的目的。

    • 带宽消耗型攻击
      DDoS带宽消耗攻击可以分为两个不同的层次;洪泛攻击或放大攻击。洪泛攻击的特点是利用僵尸程序发送大量流量至受损的受害者系统,目的在于堵塞其带宽。放大攻击与其类似,是通过恶意放大流量限制受害者系统的带宽;其特点是利用僵尸程序通过伪造的源IP(即攻击目标IP)向某些存在漏洞的服务器发送请求,服务器在处理请求后向伪造的源IP发送应答,由于这些服务的特殊性导致应答包比请求包更长,因此使用少量的带宽就能使服务器发送大量的应答到目标主机上。
      攻击方式有:UDP洪水攻击(User Datagram Protocol floods)、ICMP洪水攻击(ICMP floods)、死亡之Ping(ping of death)、泪滴攻击。
    • 资源消耗型攻击
      通过攻击,将被攻击机器的系统内存和处理器资源耗尽。
      攻击方式有:协议分析攻击(SYN flood,SYN洪水)、LAND攻击、CC攻击(Distributed HTTP flood,分布式HTTP洪水攻击)、僵尸网络攻击、应用程序级洪水攻击(Application level floods)。

    抗DDOS产品的防御方式

    拒绝服务攻击的防御方式通常为入侵检测,流量过滤和多重验证,旨在堵塞网络带宽的流量将被过滤,而正常的流量可正常通过。

    • 扩大带宽
    • 流量清洗和封IP
    • CDN

    防火墙(Firewall)

    什么是防火墙

    在计算机科学领域中,防火墙(英文:Firewall)是一个架设在互联网与企业内网之间的信息安全系统,根据企业预定的策略来监控往来的传输。防火墙可能是一台专属的网络设备或是运行于主机上来检查各个网络接口上的网络传输。它是目前最重要的一种网络防护设备,从专业角度来说,防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件。

    功能

    防火墙最基本的功能就是隔离网络,通过将网络划分成不同的区域(通常情况下称为ZONE),制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。

    类型

    • 网络层(数据包过滤型)防火墙
      运作于TCP/IP协议堆栈上。管理者会先根据企业/组织的策略预先设置好数据包通过的规则或采用内置规则,只允许匹配规则的数据包通过。
    • 应用层防火墙
      应用层防火墙是在TCP/IP堆栈的“应用层”上运作,使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有数据包,并且封锁其他的数据包(通常是直接将数据包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进受保护的机器里。
    • 代理服务
      代理(Proxy)服务器(可以是一台专属的网络设备,或是在一般电脑上的一套软件)采用应用程序的运作方式,回应其所收到的数据包(例:连接要求)来实现防火墙的功能,而封锁/抛弃其他数据包。

    缺点

    正常状况下,所有互联网的数据包软件都应经过防火墙的过滤,这将造成网络交通的瓶颈。例如在攻击性数据包出现时,攻击者会不时寄出数据包,让防火墙疲于过滤数据包,而使一些合法数据包软件亦无法正常进出防火墙。


    虚拟专用网(VPN)

    什么是VPN?

    虚拟私人网络(英语:Virtual Private Network,缩写为VPN)是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络架构(例如:互联网)来传送内部网的网络讯息。它利用已加密的通道协议(Tunneling Protocol)来达到保密、发送端认证、消息准确性等私人消息安全效果。这种技术可以用不安全的网络(例如:互联网)来发送可靠、安全的消息。需要注意的是,加密消息与否是可以控制的。没有加密的虚拟专用网消息依然有被窃取的危险。


    上网行为管理

    什么是上网行为管理?

    上网行为管理,就是通过软件或硬件,控制用户访问网络的权限。功能包括行为管理、应用控制、流量管控、信息管控、非法热点管控、行为分析、无线网络管理等。


    云主机安全

    云服务商在云主机中部署自己的agent程序,做监控、管理和安全监测。

    功能

    • 木马查杀
      对各类恶意文件进行检测,包括各类 WebShell 后门和二进制木马,对检测出来的恶意文件进行访问控制和隔离操作,防止恶意文件的再次利用。
    • 密码破解拦截
      对密码恶意破解类行为进行检测和拦截, 共享全网恶意 IP 库,自动化实施拦截策略。
    • 登录行为审计
      根据登录流水数据,识别常用的登录区域,对可疑的登录行为提供实时告警通知。
    • 漏洞管理
      对主机上存在的高危漏洞风险进行实时预警和提供修复方案,包括系统漏洞、web 类漏洞,帮助企业快速应对漏洞风险。
    • 资产管理
      支持对机器进行分组标签管理,基于组件识别技术,快速掌握服务器中软件、进程、端口的分布情况。

    数据库审计(DBAudit)

    数据库审计服务,是为了保证单位或者个人核心数据的安全,可针对数据库SQL注入、风险操作等数据库风险操作行为进行记录与告警。

    功能

    • 用户行为发现审计
      关联应用层和数据库层的访问操作
      可溯源到应用者的身份和行为
    • 多维度线索分析
      风险和危害线索:高中低的风险等级、SQL注入、黑名单语句、违反授权策略的SQL行为
      会话线索:根据时间、用户、IP、应用程序、和客户端多角度分析
      详细语句线索:提供用户、IP、客户端工具、访问时间、操作对象、SQL操作类型、成功与否、访问时长、影响行数等多种检索条件
    • 异常操作、SQL注入、黑白名单实时告警
      异常操作风险:通过IP、用户、数据库客户端工具、时间、敏感对象、返回行数、系统对象、高危操作等多种元素细粒度定义要求监控的风险访问行为
      SQL注入:系统提供了系统性的SQL注入库,以及基于正则表达式或语法抽象的SQL注入描述,发现异常立即告警
      黑白名单:提供准确而抽象的方式,对系统中的特定访问SQL语句进行描述,使这些SQL语句出现时能够迅速报警
    • 针对各种异常行为的精细化报表
      会话行为:登录失败报表、会话分析报表
      SQL行为:新型SQL报表、SQL语句执行历史报表、失败SQL报表
      风险行为:告警报表、通知报表、SQL注入报表、批量数据访问行为报表
      政策性报表: 塞班斯报表

    参考

    1.Web application firewall
    2.各大网络安全厂商(天融信、启明、绿盟、网域、深信服等)的硬件设备优劣之处是?
    3.什么是网络安全?
    4.常见网络安全设备
    5.IDS
    6.什么是IDS?
    7.什么是IDS入侵检测,入侵检测的概念
    8.IPS
    9.IPS
    10.IDS与IPS功能分析
    11.安全运营(SOC)概述
    12.十年沉静发力 启明星辰SOC平台入围Gartner SIEM魔力象限
    13.安全管理平台(SOC)
    14.SIEM是什么?它是怎么运作的?又该如何选择正确的工具?
    15.Vulnerability scanner
    16.http://netsecurity.51cto.com/art/200710/59018_all.htm
    17.Unified Threat Management
    18.拒绝服务攻击
    19防火墙
    20.VPN
    21.主机安全(云镜)
    22.数据库审计

    展开全文
  • 信息网络安全设备

    千次阅读 2020-06-21 13:05:53
    它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络安全保护。 主要功能:过滤进、出网络的数据;防止不安全的协议和服务;管理进、出网络的访问...

    现代云服务实施以后,大部分用户转向谷歌、阿里、华为等云服务集成商,应用服务已经很少涉及基础硬件设备相关方面的内容,然而信息安全也因不断丰富的网络应用被提到了一个前所未有的高度,本文粗略回顾信息安全中的防火墙、入侵检测、入侵防御、扫描、流量监控、网页防篡改、安全审计等设备方面的知识,在一些自行建设的信息系统中,应该还有些用处。

    一、防火墙

    定义:防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。

    主要功能:过滤进、出网络的数据;防止不安全的协议和服务;管理进、出网络的访问行为;记录通过防火墙的信息内容;对网络攻击进行检测与警告;防止外部对内部网络信息的获取;提供与外部连接的集中管理。

    主要类型:

    1、网络层防火墙
    一般是基于源地址和目的地址、应用、协议以及每个IP 包的端口来作出通过与否的判断。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包,其次,通过定义基于TCP或 UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet 、FTP连接。

    2、应用层防火墙

    针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。

    主动被动 :

    传统防火墙是主动安全的概念;因为默认情况下是关闭所有的访问,然后再通过定制策略去开放允许开放的访问。

    下一代防火墙:

    下一代防火墙在一台设备里面集成了传统防火墙、IPS、应用识别、内容过滤等功能既降低了整体网络安全系统的采购投入,又减去了多台设备接入网络带来的部署成本,还通过应用识别和用户管理等技术降低了管理人员的维护和管理成本。

    使用方式

    防火墙部署于单位或企业内部网络的出口位置。

    局限性

    1、 不能防止源于内部的攻击,不提供对内部的保护
    2、 不能防病毒
    3、 不能根据网络被恶意使用和攻击的情况动态调整自己的策略
    4、 本身的防攻击能力不够,容易成为被攻击的首要目标

    /

    二、IDS(入侵检测系统)

    定义:入侵检测即通过从网络系统中的若干关键节点收集并分析信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为。入侵检测系统通常包含 3 个必要的功能组件:信息来源、分析引擎和响应组件。

    工作原理

    1、信息收集
    信息收集包括收集系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自:系统和网络日志文件、非正常的目录和文件改变、非正常的程序执行这三个方面。
    2、信号分析
    对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,是通过模式匹配、统计分析和完整性分析这三种手段进行分析的。前两种用于实时入侵检测,完整性分析用于事后分析。
    3、告警与响应
    根据入侵性质和类型,做出相应的告警与响应。

    主要功能

    它能够提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,在网络安全技术中起到了不可替代的作用。

    1、实时监测:实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文;
    2、安全审计:对系统记录的网络事件进行统计分析,发现异常现象,得出系统的安全状态,找出所需要的证据;

    3、主动响应:主动切断连接或与防火墙联动,调用其他程序处理。

    主要类型

    1、基于主机的入侵检测系统 (HIDS) :基于主机的入侵检测系统是早期的入侵检测系统结构,通常是软件型的,直接安装在需要保护的主机上。其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件。这种检测方式的优点主要有:信息更详细、误报率要低、部署灵活。这种方式的缺点主要有:会降低应用系统的性能;依赖于服务器原有的日志与监视能力;代价较大;不能对网络进行监测;需安装多个针对不同系统的检测系统。

    2、基于网络的入侵检测系统 (NIDS) :基于网络的入侵检测方式,是目前一种比较主流的监测方式,这类检测系统需要有一台专门的检测设备。检测设备放置在比较重要的网段内,不停地监视网段中的各种数据包,而不再是只监测单一主机。它对所监测的网络上每一个数据包或可疑的数据包进行特征分析,如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报,甚至直接切断网络连接。目前,大部分入侵检测产品是基于网络的。这种检测技术的优点主要有:能够检测那些来自网络的攻击和超过授权的非法访问;不需要改变服务器等主机的配置,也不会影响主机性能;风险低;配置简单。其缺点主要是:成本高、检测范围受局限;大量计算,影响系统性能;大量分析数据流,影响系统性能;对加密的会话过程处理较难;网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的封包;对于直接对主机的入侵无法检测出。

    主动被动

    入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。绝大多数
    系统都是被动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。

    使用方式

    作为防火墙后的第二道防线,适于以旁路接入方式部署在具有重要业务系统或内部网络安全性、保密性较高的网络出口处。

    局限性

    1、误报率高:主要表现为把良性流量误认为恶性流量进行误报。还有些 IDS 产品会对用户不关心事件的进行误报。
    2、产品适应能力差:传统的 IDS 产品在开发时没有考虑特定网络环境下的需求,适应能力差。入侵检测产品要能适应当前网络技术和设备的发展进行动态调整,以适应不同环境的需求。
    3、大型网络管理能力差:首先,要确保新的产品体系结构能够支持数以百计的 IDS 传感器;其次,要能够处理传感器产生的告警事件;最后还要解决攻击特征库的建立,配置以及更新问题。
    4、缺少防御功能:大多数 IDS 产品缺乏主动防御功能。
    5、处理性能差:目前的百兆、千兆 IDS 产品性能指标与实际要求还存在很大的差距。

    //

    三  IPS(入侵防御系统)

    定义:入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

    产生背景

    1、串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。
    2、旁路部署的 IDS 可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。
    3、IDS 和防火墙联动:通过 IDS 来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如 SQL注入、溢出攻击等),使得 IDS与防火墙联动在实际应用中的效果不显著。入侵检测系统( IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。入侵防御系统( IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。

    IDS 和 IPS 的关系,并非取代和互斥,而是相互协作:没有部署 IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过 IDS 的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品( IPS 等)。

    功能

    1、入侵防护:实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、 Dos等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。
    2、Web安全:基于互联网 Web站点的挂马检测结果,结合 URL信誉评价技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截 Web威胁。

    3、流量控制:阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业 IT 产出率和收益率。

    4、上网监管:全面监测和管理 IM 即时通讯、 P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。

    技术特征

    嵌入式运行:只有以嵌入模式运行的 IPS 设备才能够实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截。
    深入分析和控制: IPS 必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截。

    入侵特征库:高质量的入侵特征库是IPS 高效运行的必要条件,IPS 还应该定期升级入侵特征库,并快速应用到所有传感器。

    高效处理能力: IPS 必须具有高效处理数据包的能力,对整个网络性能的影响保持在最低水平。

    1、基于特征的 IPS
    这是许多 IPS 解决方案中最常用的方法。把特征添加到设备中,可识别当前最常见的攻击。也被称为模式匹配IPS。特征库可以添加、调整和更新,以应对新的攻击。

    2. 基于异常的 IPS

    也被称为基于行规的 IPS。基于异常的方法可以用统计异常检测和非统计异常检测。

    3、基于策略的 IPS

    它更关心的是是否执行组织的安保策略。如果检测的活动违反了组织的安保策略就触发报警。使用这种方法的IPS,要把安全策略写入设备之中。

    4. 基于协议分析的 IPS

    它与基于特征的方法类似。大多数情况检查常见的特征,但基于协议分析的方法可以做更深入的数据包检查,能更灵活地发现某些类型的攻击。

    主动被动

    IPS 倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。

    使用方式

    串联部署在具有重要业务系统或内部网络安全性、保密性较高的网络出口处。

    四、漏洞扫描设备

    定义:漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。

    主要功能

    可以对网站、系统、数据库、端口、应用软件等一些网络设备应用进行智能识别扫描检测,并对其检测出的漏洞进行报警提示管理人员进行修复。同时可以对漏洞修复情况进行监督并自动定时对漏洞进行审计提高漏洞修复效率。

    1、定期的网络安全自我检测、评估安全检测可帮助客户最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,有效的利用已有系统,提高网络的运行效率。

    2、安装新软件、启动新服务后的检查由于漏洞和安全隐患的形式多种多样,安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来,因此进行这些操作之后应该重新扫描系统,才能使安全得到保障。

     3 、网络承担重要任务前的安全性测

    4、网络安全事故后的分析调查

    网络安全事故后可以通过网络漏洞扫描网络评估系统分析确定网络被攻击的漏洞所在,帮助弥补漏洞,尽可能多得提供资料方便调查攻击的来源。

    5、重大网络安全事件前的准备

    重大网络安全事件前网络漏洞扫描 / 网络评估系统能够帮助用户及时的找出网络中存在的隐患和漏洞,帮助用户及时的弥补漏洞。

    主要技术

    1.    主机扫描:
    确定在目标网络上的主机是否在线。
    2.    端口扫描:
    发现远程主机开放的端口以及服务。
    3.    OS 识别技术 :
    根据信息和协议栈判别操作系统。
    4.    漏洞检测数据采集技术:
    按照网络、系统、数据库进行扫描。
    5.    智能端口识别、多重服务检测、安全优化扫描、系统渗透扫描
    6.    多种数据库自动化检查技术,数据库实例发现技术;

    主要类型

    1. 针对网络的扫描器:基于网络的扫描器就是通过网络来扫描远程计算机中的漏洞。价格相对来说比较便宜;在操作过程中,不需要涉及到目标系统的管理员,在检测过程中不需要在目标系统上安装任何东西;维护简便。

    2. 针对主机的扫描器:基于主机的扫描器则是在目标系统上安装了一个代理或者是服务,以便能够访问所有的文件与进程,这也使得基于主机的扫描器能够扫描到更多的漏洞。

    3. 针对数据库的扫描器:数据库漏扫可以检测出数据库的洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。

    使用方式

    1、独立式部署:
    在网络中只部署一台漏扫设备,接入网络并进行正确的配置即可正常使用,其工作范围通常包含用户企业的整个网络地址。用户可以从任意地址登录漏扫系统并下达扫描评估任务,检查任务的地址必须在产品和分配给此用户的授权范围内。
    2、多级式部署:
    对于一些大规模和分布式网络用户,建议使用分布式部署方式。在大型网络中采用多台漏扫系统共同工作,可对各系统间的数据共享并汇总,方便用户对分布式网络进行集中管理。

    优缺点

    1、 优点
    有利于及早发现问题,并从根本上解决安全隐患。
    2、 不足
    只能针对已知安全问题进行扫描;准确性和指导性有待改善。

    五、安全隔离网闸

    定义:安全隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立网络系统的信息安全设备。由于物理隔离网闸所连接的两个独立网络系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。

    功能模块

    安全隔离闸门的功能模块有:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。

    主要功能

    1、阻断网络的直接物理连接:物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接,而不能同时与两个网络连接;

    2、阻断网络的逻辑连接:物理隔离网闸不依赖操作系统、不支持 TCP/IP 协议。两个网络之间的信息交换必须将TCP/IP 协议剥离,将原始数据通过 P2P的非 TCP/IP 连接方式,通过存储介质的“写入”与“读出”完成数据转发;

    3、安全审查:物理隔离网闸具有安全审查功能,即网络在将原始数据“写入”物理隔离网闸前,根据需要对原始数据的安全性进行检查,把可能的病毒代码、恶意攻击代码消灭干净等;

    4、原始数据无危害性:物理隔离网闸转发的原始数据,不具有攻击或对网络安全有害的特性。就像txt 文本不会有病毒一样,也不会执行命令等。

    5、管理和控制功能:建立完善的日志系统。
    6、根据需要建立数据特征库:在应用初始化阶段,结合应用要求,提取应用数据的特征,形成用户特有的数据特征库,作为运行过程中数据校验的基础。当用户请求时,提取用户的应用数据,抽取数据特征和原始数据特征库比较,符合原始特征库的数据请求进入请求队列,不符合的返回用户,实现对数据的过滤。
    7、根据需要提供定制安全策略和传输策略的功能:用户可以自行设定数据的传输策略,如:传输单位(基于数据还是基于任务)、传输间隔、传输方向、传输时间、启动时间等。
    8、支持定时 / 实时文件交换;支持支持单向 / 双向文件交换;支持数字签名、内容过滤、病毒检查等功能。

    工作原理

    安全隔离网闸的组成:
    安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分:

    1、 内部网络处理单元:包括内部网络接口单元与内部网络数据缓冲区。接口部分负责与内部网络的连接,并终止内部网络用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内部网络对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。

    2、 外部网络处理单元:与内部网络处理单元功能相同,但处理的是外部网络连接。3、 隔离与交换控制单元(隔离硬件):是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与不同网络在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在不同网络之间改变通讯模式,中断了内外网络的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。其中,三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD 或Linux 的经安全精简版本,或者其他是嵌入式操作系统等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。
    如果针对网络七层协议,安全隔离网闸是在硬件链路层上断开。

    区别比较

    1、与物理隔离卡的区别

    安全隔离网闸与物理隔离卡最主要的区别是,安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换,而物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换硬盘。
    2、网络交换信息的区别
    安全隔离网闸在网络间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸直接处理网络间的应用层数据,利用存储转发的方法进行应用数据的交换,在交换的同时,对应用数据进行的各种安全检查。路由器、交换机则保持链路层畅通,在链路层之上进行 IP 包等网络层数据的直接转发,没有考虑网络安全和数据安全的问题。

    3、与防火墙的区别
    防火墙一般在进行 IP 包转发的同时,通过对 IP 包的处理,实现对 TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。

    使用方式

    1、 涉密网与非涉密网之间;
    2、 局域网与互联网之间;
    3、 办公网与业务网之间;
    4、 业务网与互联网之间。

    /

    六、流量监控设备

    定义:网络流量控制是一种利用软件或硬件方式来实现对电脑网络流量的控制。它的最主要方法,是引入 QoS的概念,从通过为不同类型的网络数据包标记,从而决定数据包通行的优先次序。

    技术类型

    流控技术分为两种:

    一种是传统的流控方式,通过路由器、交换机的 QoS模块实现基于源地址、目的地址、源端口、目的端口以及协议类型的流量控制,属于四层流控;路由交换设备可以通过修改路由转发表,实现一定程度的流量控制,但这种传统的 IP 包流量识别和 QoS控制技术,仅对 IP 包头中的“五元组”信息进行分析,来确定当前流量的基本信息。传统IP 路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障,但其仅仅分析 IP 包的四层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型。随着网上应用类型的不断丰富,仅通过第四层端口信息已经不能真正判断流量中的应用类型,更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。例如, P2P类应用会使用跳动端口技术及加密方式进行传输,基于交换路由设备进行流量控制的方法对此完全失效。

    另一种是智能流控方式,通过专业的流控设备实现基于应用层的流控,属于七层流控。

    主要功能

    1、全面透视网络流量,快速发现与定位网络故障;
    2、保障关键应用的稳定运行,确保重要业务顺畅地使用网络;
    3、限制与工作无关的流量,防止对带宽的滥用;
    4、管理员工上网行为,提高员工网上办公的效率;
    5、依照法规要求记录上网日志,避免违法行为;

    6、保障内部信息安全,减少泄密风险;
    7、保障服务器带宽,保护服务器安全;
    8、内置企业级路由器与防火墙,降低安全风险;
    9、专业负载均衡,提升多线路的使用价值;

    使用方式

    1、网关模式 : 置于出口网关,所有数据流直接经由设备端口通过;
    2、网桥模式:如同集线器的作用, 设备置于网关出口之后, 设置简单、 透明;
    3、旁路模式: 与交换机镜像端口相连, 通过对网络出口的交换机进行镜像映射, 设备获得链路中的数据 “拷贝”,主要用于监听、 审计局域网中的数据流及用户的网络行为。

    七、防病毒网关(防毒墙)

    定义:防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤、垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan )的功能。

    主要功能

    1、病毒杀除
    2、关键字过滤
    3、垃圾邮件阻止的功能
    4、部分设备也具有一定防火墙能够检测进出网络内部的数据,对http 、 ftp 、SMTP、IMAP和POP3五种协议的数据进行病毒扫描,一旦发现病毒就会采取相应的手段进行隔离或查杀,在防护病毒方面起到了非常大的作用。

    与防火墙的区别

    1、防病毒网关:专注病毒过滤,阻断病毒传输,工作协议层为ISO 2-7 层,分析数据包中的传输数据内容,运用病毒分析技术处理病毒体,具有防火墙访问控制功能模块
    2、防火墙:专注访问控制,控制非法授权访问,工作协议层为ISO 2-4 层,分析数据包中源 IP 目的 IP,对比规则控制访问方向,不具有病毒过滤功能

    与防病毒软件的区别

    1、防病毒网关:基于网络层过滤病毒;阻断病毒体网络传输;网关阻断病毒传输,主动防御病毒于网络之外;网关设备配置病毒过滤策略,方便、扼守咽喉;过滤出入网关的数据;与杀毒软件联动建立多层次反病毒体系。
    2、防病毒软件:基于操作系统病毒清除;清除进入操作系统病毒;病毒对系统核心技术滥用导致病毒清除困难,研究主动防御技
    术;主动防御技术专业性强,普及困难;管理安装杀毒软件终端;病毒发展互联网化需要网关级反病毒技术配合。

    查杀方式

    对进出防病毒网关数据监测:以特征码匹配技术为主;对监测出病毒数据进行查杀:采取将数据包还原成文件的方式进行病毒处理。

    1、基于代理服务器的方式
    2、基于防火墙协议还原的方式

    3、基于邮件服务器的方式

    使用方式

    1、透明模式:串联接入网络出口处,部署简单
    2、旁路代理模式:强制客户端的流量经过防病毒网关,防病毒网关仅仅需要处理要检测的相关协议,不需要处理其他协议的转发,可以较好的提高设备性能。
    3、旁路模式:与旁路代理模式部署的拓扑一样,不同的是,旁路模式只能起到检测作用,对于已检测到的病毒无法做到清除。

    ///

    八、WAF(Web应用防火墙)

    定义:Web应用防火墙是通过执行一系列针对 HTTP/HTTPS的安全策略来专门为 Web应用提供保护的一种设备。

    产生背景:

    当 WEB应用越来越为丰富的同时, WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。 SQL注入、网页篡改、网页挂马等安全事件,频繁发生。
    企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是,在现实中,他们存在这样那样的问题,由此产生了 WAF(Web应用防护系统)。 Web应用防护系统用以解决诸如防火墙一类传统设备束手无策的 Web应用安全问题。与传统防火墙不同, WAF工作在应用层,因此对 Web应用防护具有先天的技术优势。基于对 Web应用业务和逻辑的深刻理解, WAF对来自 Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。

    主要功能

    1、审计设备:用来截获所以 HTTP数据或者仅仅满足某些规则的会话;
    2、访问控制设备:用来控制对 Web应用的访问,既包括主动安全模式也包括被动安全模式。
    3、架构 / 网络设计工具:当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。
    4、WEB应用加固工具:这些功能增强被保护 Web应用的安全性,它不仅能够屏蔽 WEB应用固有弱点,而且能够保护 WEB应用编程错误导致的安全隐患。主要包括防攻击、防漏洞、防暗链、防爬虫、防挂马、抗 DDos等。

    使用方式

    与 IPS 设备部署方式类似,可以串联部署在 web服务器等关键设备的网络出口处。

    ///

    九、安全审计系统

    定义:网络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督,预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。

    主要类型

    根据被审计的对象(主机、设备、网络、数据库、业务、终端、用户)划分,安全审计可以分为:

    1.    主机审计:审计针对主机的各种操作和行为。
    2.    设备审计:对网络设备、安全设备等各种设备的操作和行为进行审计网络审计:对网络中各种访问、操作的审计,例如elnet 操作、 FTP操作,等等。

    3.    数据库审计:对数据库行为和操作、甚至操作的内容进行审计业务审计:对业务操作、行为、内容的审计。
    4.    终端审计:对终端设备( PC、打印机)等的操作和行为进行审计,包括预配置审计。
    5.    用户行为审计:对企业和组织的人进行审计,包括上网行为审计、运维操作审计有的审计产品针对上述一种对象进行审计,还有的产品综合上述多种审计对象。

    主要功能

    1、采集多种类型的日志数据

    能采集各种操作系统的日志,防火墙系统日志,入侵检测系统日志,网络交换及路由设备的日志,各种服务和应用系统日志。
    2、日志管理
    多种日志格式的统一管理。自动将其收集到的各种日志格式转换为统一的日志格式,便于对各种复杂日志信息的统一管理与处理。
    3、日志查询

    支持以多种方式查询网络中的日志记录信息,以报表的形式显示。

    4、入侵检测
    使用多种内置的相关性规则,对分布在网络中的设备产生的日志及报警信息进行相关性分析,从而检测出单个系统难以发现的安全事件。
    5、自动生成安全分析报告
    根据日志数据库记录的日志数据,分析网络或系统的安全性,并输出安全性分析报告。报告的输出可以根据预先定义的条件自动地产生、提交给管理员。
    6、网络状态实时监视
    可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。

    7、事件响应机制

    当审计系统检测到安全事件时候,可以采用相关的响应方式报警。

    8、集中管理
    审计系统通过提供一个统一的集中管理平台,实现对日志代理、安全审计中心、日志数据库的集中管理。

    使用方式

    安全审计产品在网络中的部署方式主要为旁路部署。

     

     

     

    展开全文
  • 网络——网络安全设备部署

    千次阅读 2019-08-30 16:49:34
    网络安全设计通常包含下列因素: 1.设备安全特性,如管理员密码和不同网络组建中的SSH 2.防火墙 3.远程访问VPN服务器 4.入侵检测 5.安全AAA服务器和网络上相关的AAA服务 6.不同网络设备上的访问控制和访问控制...

    网络安全设计通常包含下列因素:

    1.设备安全特性,如管理员密码和不同网络组建中的SSH

    2.防火墙

    3.远程访问VPN服务器

    4.入侵检测

    5.安全AAA服务器和网络上相关的AAA服务

    6.不同网络设备上的访问控制和访问控制机制,比如ACL和CAR

     

    什么是CAR:

    Committed Access Rate 承诺访问速率

    主要有两个作用

    1.对一个端口或者子端口的进出流量速率安某个标准上限进行限制;

    2.对流量进行分类,划分出不同的Qos优先级;

     

    CAR只能对IP包起作用,对非IP流量不能进行限制。另外CAR只能支持CEF(Cisco Express Forward)交换的路由器或者交换机上使用。

    不能在这些接口上使用CAR

    Fast EtherChannel interface

    Tunnel Interface

    PRI interface

     

    CAR工作原理数据包分类识别和流量控制的结合;

    流程如下:

    1.先从数据流中识别出希望进行流量控制的流量类型,

    可以通过以下方式进行识别:

    全部IP流量

    基于IP前缀,通过rate-limit access list 来定义

    Qos分组

    MAC地址 通过rate-limit access list 来定义

    IP access list 访问控制列表

     

    2.识别出流量以后,进行流量均衡,(traffic measurement) 采用一种名为token bucket的机制

    token即识别到的感兴趣流量,这种流量数据进入一个bucket(桶)中,该bucket深度有用户定义,进入bucket以后,以用户希望控制的速率离开该bucket,执行下一步操作(conform actin);

     

    3.可能会发生两种情况:

    实际流量小于或等于用户希望速率,bucket可看作是空的

    实际流量大于用户希望速率,这样token进入bucket的速率比离开bucket的速率快,过了一段时间后,tken将填满bucket,继续到来的tken将溢出bucket,则CAR采取相应动作(一般是丢弃或将IP前缀改变以改变该token的优先级)

     

     

    展开全文
  • 网络安全建设方案.doc

    2020-05-15 20:36:37
    三级甲等医院等保三级解决方案,详细描述了方案的建设依据,建设目标,区域规划以及各个区域的安全措施以及详细的网络拓扑图规划
  • 一级现在基本没人会去提及,所以我这里主要说下等级保护二级和三级的详细要求及差异分析,总共分为五大项:物理安全,网络安全,主机安全,应用安全,数据安全;管理制度这里没有说明,如有需要可以继续做相关提问;...
  • 网络安全】常见的网路安全设备及功能作用总结

    千次阅读 多人点赞 2020-10-20 01:50:39
    常见的网路安全设备及功能作用总结一、 WAF 应用防火墙二、IDS 入侵检测系统:三、IPS 入侵防御系统(入侵检测+入侵防御)四、SOC 安全运营中心五、SIEM 信息安全和事件管理六、Vulnerability Scanner漏洞扫描器七、...
  • 安全配置基线;网络设备安全检查加固文档
  • 网络安全加固

    2018-05-06 01:59:39
    内容包括对现网网络的安全加固,基于网络设备侧做出的安全加固,这是某电力公司内使用的网络安全加固项,可用于其他网络中,加强网络侧安全级别。
  • 网络关键设备网络安全专用产品安全认证简述.pdf
  • 常见网络安全设备默认口令

    千次阅读 2020-03-14 18:10:10
    [转]安全设备常见网络安全设备默认口令 设备 默认账号 默认密码 深信服产品 sangfor sangfor sangfor sangfor@2018 sangfor sangfor@2019 深信服科技AD dlanrecover 深信服负载均衡 AD 3.6 admin...
  • 本书从网络攻防、协议与安全解决方案的角度阐述网络安全,把网络看成安全与不安全的源头。全书共分为四部分,第一部分讨论网络概念与威胁的入门知识,分别介绍了...第四部分基于网络防范,介绍了常用的网络安全设备
  • 主要介绍h3C网络设备包含交换机、路由器、WLAN、防火墙V7设备安全加固的判断依据、检查方法、加固指南。
  • 网络安全等级保护网络设备、安全设备知识点汇总 本文主要内容: 防火墙、防毒墙、入侵防御、统一安全威胁网关UTM IPSEC VPN、网闸、SSL VPN、WAF 网络安全审计、数据库安全审计、日志审计、运维安全...
  • 各种常见的网络安全设备的图标,可用于PPT Visio以及其他绘图工具使用,有需要的朋友可自行下载哦
  • 网络安全是一项复杂而艰巨的工作,涉及的内容很多,其中一项就是关于网络设备的安全,网络设备的安全问题不解决好,就不能实现网络的安全性。而通常意义上的网络设备指的是路由器、交换机、防火墙等,网络设备主要作用是...
  • 大型装备制造企业网络安全管理体系构建探究.pdf
  • 各大网络安全厂商及安全产品

    千次阅读 2021-01-11 11:42:55
    问题太大了,做企业版安全产品的N多,有硬件设备、有软件、也有做SAAS在线服务的。 国外的一些安全软件是否在中国只做代理销售,基本不会在国内开发? 国外的安全软件除非个别的,基本在国内都有代理销售。 有没有...
  • 网络安全策略和网络安全机制

    万次阅读 2019-01-05 18:03:28
    网络安全策略 安全策略是指在一个特定的环境里,为保证提供一定安全级别的安全保护所必须遵守的规则。 主要包括以下内容: 先进的网络安全技术是网络安全的根本保证 严格的安全管理是确保安全策略落实的基础 严格的...
  • 安全设备图标

    2014-08-24 08:47:23
    关于网络安全设备的图标,其中有20个精选的。颜色为蓝色。
  • ISG-3000网络安全监测装置用以采集变电站站控层和发电厂涉网区域的服务器、工作站、网络设备和安全防护设备的安全,转发至调度端网络安全管理平台的数据网关机,并提供来自网络安全管理平台相关服务调用
  • 目前Ⅱ型网络安全监测装置可以实现对变电站及电厂涉网部分主机设备、网络设备、通用及专用安防设备的监视与告警,能够实时掌握变电站及电厂内部涉网主机的外设接入、网络设备接入、人员登录等安全事件。经过长期测试...
  • 信息系统安全5个层面的安全要求:物理、网络、主机、应用、数据及备份恢复

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 466,389
精华内容 186,555
关键字:

网络安全设备