認識常見網絡安全設備
1、防火墻
定義 防火墻指的是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它可通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。
主要功能
1、過濾進、出網絡的數據
2、防止不安全的協議和服務
3、管理進、出網絡的訪問行為
4、記錄通過防火墻的信息內容
5、對網絡攻擊進行檢測與警告
6、防止外部對內部網絡信息的獲取
7、提供與外部連接的集中管理
主要類型 1、網絡層防火墻
一般是基于源地址和目的地址、應用、協議以及每個IP包的端口來作出通過與否的判斷。防火墻檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火墻就會使用默認規則,一般情況下,默認規則就是要求防火墻丟棄該包,其次,通過定義基于TCP或UDP數據包的端口號,防火墻能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
2、應用層防火墻
針對特別的網絡應用服務協議即數據過濾協議,并且能夠對數據包分析并形成相關的報告。
主動被動 傳統防火墻是主動安全的概念;
因為默認情況下是關閉所有的訪問,然后再通過定制策略去開放允許開放的訪問。
下一代防火墻
(NGFW) 主要是一款全面應對應用層威脅的高性能防火墻。可以做到智能化主動防御、應用層數據防泄漏、應用層洞察與控制、威脅防護等特性。
下一代防火墻在一臺設備里面集成了傳統防火墻、IPS、應用識別、內容過濾等功能既降低了整體網絡安全系統的采購投入,又減去了多臺設備接入網絡帶來的部署成本,還通過應用識別和用戶管理等技術降低了管理人員的維護和管理成本。
使用方式
防火墻部署于單位或企業內部網絡的出口位置。
局限性
1、不能防止源于內部的攻擊,不提供對內部的保護
2、不能防病毒
3、不能根據網絡被惡意使用和攻擊的情況動態調整自己的策略
本身的防攻擊能力不夠,容易成為被攻擊的首要目標
2、IDS(入侵檢測系統)
定義 入侵檢測即通過從網絡系統中的若干關鍵節點收集并分析信息,監控網絡中是否有違反安全策略的行為或者是否存在入侵行為。入侵檢測系統通常包含3個必要的功能組件:信息來源、分析引擎和響應組件。
工作原理1、信息收集
信息收集包括收集系統、網絡、數據及用戶活動的狀態和行為。入侵檢測利用的信息一般來自:系統和網絡日志文件、非正常的目錄和文件改變、非正常的程序執行這三個方面。
2、信號分析
對收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息,是通過模式匹配、統計分析和完整性分析這三種手段進行分析的。前兩種用于實時入侵檢測,完整性分析用于事后分析。
3、告警與響應
根據入侵性質和類型,做出相應的告警與響應。
主要功能
它能夠提供安全審計、監視、攻擊識別和反攻擊等多項功能,對內部攻擊、外部攻擊和誤操作進行實時監控,在網絡安全技術中起到了不可替代的作用。
1、實時監測:實時地監視、分析網絡中所有的數據報文,發現并實時處理所捕獲的數據報文;
2、安全審計:對系統記錄的網絡事件進行統計分析,發現異常現象,得出系統的安全狀態,找出所需要的證據
3、主動響應:主動切斷連接或與防火墻聯動,調用其他程序處理。
主要類型
1、基于主機的入侵檢測系統(HIDS):基于主機的入侵檢測系統是早期的入侵檢測系統結構,通常是軟件型的,直接安裝在需要保護的主機上。其檢測的目標主要是主機系統和系統本地用戶,檢測原理是根據主機的審計數據和系統日志發現可疑事件。
這種檢測方式的優點主要有:信息更詳細、誤報率要低、部署靈活。這種方式的缺點主要有:會降低應用系統的性能;依賴于服務器原有的日志與監視能力;代價較大;不能對網絡進行監測;需安裝多個針對不同系統的檢測系統。
2、基于網絡的入侵檢測系統(NIDS):基于網絡的入侵檢測方式是目前一種比較主流的監測方式,這類檢測系統需要有一臺專門的檢測設備。檢測設備放置在比較重要的網段內,不停地監視網段中的各種數據包,而不再是只監測單一主機。它對所監測的網絡上每一個數據包或可疑的數據包進行特征分析,如果數據包與產品內置的某些規則吻合,入侵檢測系統就會發出警報,甚至直接切斷網絡連接。目前,大部分入侵檢測產品是基于網絡的。
這種檢測技術的優點主要有:能夠檢測那些來自網絡的攻擊和超過授權的非法訪問;不需要改變服務器等主機的配置,也不會影響主機性能;風險低;配置簡單。其缺點主要是:成本高、檢測范圍受局限;大量計算,影響系統性能;大量分析數據流,影響系統性能;對加密的會話過程處理較難;網絡流速高時可能會丟失許多封包,容易讓入侵者有機可乘;無法檢測加密的封包;對于直接對主機的入侵無法檢測出。
主動被動
入侵檢測系統是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。絕大多數 IDS 系統都是被動的。也就是說,在攻擊實際發生之前,它們往往無法預先發出警報。
使用方式 作為防火墻后的第二道防線,適于以旁路接入方式部署在具有重要業務系統或內部網絡安全性、保密性較高的網絡出口處。局限性 1、誤報率高:主要表現為把良性流量誤認為惡性流量進行誤報。還有些IDS產品會對用戶不關心事件的進行誤報。
2、產品適應能力差:傳統的IDS產品在開發時沒有考慮特定網絡環境下的需求,適應能力差。入侵檢測產品要能適應當前網絡技術和設備的發展進行動態調整,以適應不同環境的需求。
3、大型網絡管理能力差:首先,要確保新的產品體系結構能夠支持數以百計的IDS傳感器;其次,要能夠處理傳感器產生的告警事件;最后還要解決攻擊特征庫的建立,配置以及更新問題。
4、缺少防御功能:大多數IDS產品缺乏主動防御功能。
5、處理性能差:目前的百兆、千兆IDS產品性能指標與實際要求還存在很大的差距。
3、IPS(入侵防御系統)
定義 入侵防御系統是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。
產生背景 1、串行部署的防火墻可以攔截低層攻擊行為,但對應用層的深層攻擊行為無能為力。
2、旁路部署的IDS可以及時發現那些穿透防火墻的深層攻擊行為,作為防火墻的有益補充,但很可惜的是無法實時的阻斷。
3、IDS和防火墻聯動:通過IDS來發現,通過防火墻來阻斷。但由于迄今為止沒有統一的接口規范,加上越來越頻發的“瞬間攻擊”(一個會話就可以達成攻擊效果,如SQL注入、溢出攻擊等),使得IDS與防火墻聯動在實際應用中的效果不顯著。
入侵檢測系統(IDS)對那些異常的、可能是入侵行為的數據進行檢測和報警,告知使用者網絡中的實時狀況,并提供相應的解決、處理方法,是一種側重于風險管理的安全產品。
入侵防御系統(IPS)對那些被明確判斷為攻擊行為,會對網絡、數據造成危害的惡意行為進行檢測和防御,降低或是減免使用者對異常狀況的處理資源開銷,是一種側重于風險控制的安全產品。
IDS和IPS的關系,并非取代和互斥,而是相互協作:沒有部署IDS的時候,只能是憑感覺判斷,應該在什么地方部署什么樣的安全產品,通過IDS的廣泛部署,了解了網絡的當前實時狀況,據此狀況可進一步判斷應該在何處部署何類安全產品(IPS等)。
功能
1、入侵防護:實時、主動攔截黑客攻擊、蠕蟲、網絡病毒、后門木馬、Dos等惡意流量,保護企業信息系統和網絡架構免受侵害,防止操作系統和應用程序損壞或宕機。
2、Web安全:基于互聯網Web站點的掛馬檢測結果,結合URL信譽評價技術,保護用戶在訪問被植入木馬等惡意代碼的網站時不受侵害,及時、有效地第一時間攔截Web威脅。
3、流量控制:阻斷一切非授權用戶流量,管理合法網絡資源的利用,有效保證關鍵應用全天候暢通無阻,通過保護關鍵應用帶寬來不斷提升企業IT產出率和收益率。
4、上網監管:全面監測和管理IM即時通訊、P2P下載、網絡游戲、在線視頻,以及在線炒股等網絡行為,協助企業辨識和限制非授權網絡流量,更好地執行企業的安全策略。
技術特征 嵌入式運行:只有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護,實時阻攔所有可疑的數據包,并對該數據流的剩余部分進行攔截。
深入分析和控制:IPS必須具有深入分析能力,以確定哪些惡意流量已經被攔截,根據攻擊類型、策略等來確定哪些流量應該被攔截。
入侵特征庫:高質量的入侵特征庫是IPS高效運行的必要條件,IPS還應該定期升級入侵特征庫,并快速應用到所有傳感器。
高效處理能力:IPS必須具有高效處理數據包的能力,對整個網絡性能的影響保持在最低水平。主要類型1.基于特征的IPS
這是許多IPS解決方案中最常用的方法。把特征添加到設備中,可識別當前最常見的攻擊。也被稱為模式匹配IPS。特征庫可以添加、調整和更新,以應對新的攻擊。
2. 基于異常的IPS
也被稱為基于行規的IPS。基于異常的方法可以用統計異常檢測和非統計異常檢測。
3、基于策略的IPS:
它更關心的是是否執行組織的安保策略。如果檢測的活動違反了組織的安保策略就觸發報警。使用這種方法的IPS,要把安全策略寫入設備之中。
4.基于協議分析的IPS
它與基于特征的方法類似。大多數情況檢查常見的特征,但基于協議分析的方法可以做更深入的數據包檢查,能更靈活地發現某些類型的攻擊。
主動被動 IPS傾向于提供主動防護,其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送后才發出警報。使用方式 串聯部署在具有重要業務系統或內部網絡安全性、保密性較高的網絡出口處。
4、漏洞掃描設備
定義
漏洞掃描是指基于漏洞數據庫,通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,發現可利用的漏洞的一種安全檢測(滲透攻擊)行為。
主要功能 可以對網站、系統、數據庫、端口、應用軟件等一些網絡設備應用進行智能識別掃描檢測,并對其檢測出的漏洞進行報警提示管理人員進行修復。同時可以對漏洞修復情況進行監督并自動定時對漏洞進行審計提高漏洞修復效率。
1、定期的網絡安全自我檢測、評估
安全檢測可幫助客戶最大可能的消除安全隱患,盡可能早地發現安全漏洞并進行修補,有效的利用已有系統,提高網絡的運行效率。
2、安裝新軟件、啟動新服務后的檢查
由于漏洞和安全隱患的形式多種多樣,安裝新軟件和啟動新服務都有可能使原來隱藏的漏洞暴露出來,因此進行這些操作之后應該重新掃描系統,才能使安全得到保障。
3、網絡承擔重要任務前的安全性測試
4、網絡安全事故后的分析調查
網絡安全事故后可以通過網絡漏洞掃描/網絡評估系統分析確定網絡被攻擊的漏洞所在,幫助彌補漏洞,盡可能多得提供資料方便調查攻擊的來源。
5、重大網絡安全事件前的準備
重大網絡安全事件前網絡漏洞掃描/網絡評估系統能夠幫助用戶及時的找出網絡中存在的隱患和漏洞,幫助用戶及時的彌補漏洞。主要技術1. 主機掃描:
確定在目標網絡上的主機是否在線。
2. 端口掃描:
發現遠程主機開放的端口以及服務。
3. OS識別技術:
根據信息和協議棧判別操作系統。
4. 漏洞檢測數據采集技術:
按照網絡、系統、數據庫進行掃描。
5.智能端口識別、多重服務檢測、安全優化掃描、系統滲透掃描
6.多種數據庫自動化檢查技術,數據庫實例發現技術;主要類型
1.針對網絡的掃描器:基于網絡的掃描器就是通過網絡來掃描遠程計算機中的漏洞。價格相對來說比較便宜;在操作過程中,不需要涉及到目標系統的管理員,在檢測過程中不需要在目標系統上安裝任何東西;維護簡便。
2.針對主機的掃描器:基于主機的掃描器則是在目標系統上安裝了一個代理或者是服務,以便能夠訪問所有的文件與進程,這也使得基于主機的掃描器能夠掃描到更多的漏洞。
3.針對數據庫的掃描器:數據庫漏掃可以檢測出數據庫的DBMS漏洞、缺省配置、權限提升漏洞、緩沖區溢出、補丁未升級等自身漏洞。
使用方式1、獨立式部署:
在網絡中只部署一臺漏掃設備,接入網絡并進行正確的配置即可正常使用,其工作范圍通常包含用戶企業的整個網絡地址。用戶可以從任意地址登錄漏掃系統并下達掃描評估任務,檢查任務的地址必須在產品和分配給此用戶的授權范圍內。
2、多級式部署:
對于一些大規模和分布式網絡用戶,建議使用分布式部署方式。在大型網絡中采用多臺漏掃系統共同工作,可對各系統間的數據共享并匯總,方便用戶對分布式網絡進行集中管理。優缺點1、優點
有利于及早發現問題,并從根本上解決安全隱患。
2、不足
只能針對已知安全問題進行掃描;準確性和指導性有待改善。
5、安全隔離網閘
定義 安全隔離網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立網絡系統的信息安全設備。由于物理隔離網閘所連接的兩個獨立網絡系統之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議,不存在依據協議的信息包轉發,只有數據文件的無協議“擺渡”,且對固態存儲介質只有“讀”和“寫”兩個命令。所以,物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實現了真正的安全。功能模塊安全隔離閘門的功能模塊有:
安全隔離、內核防護、協議轉換、病毒查殺、訪問控制、安全審計、身份認證主要功能 1、阻斷網絡的直接物理連接:物理隔離網閘在任何時刻都只能與非可信網絡和可信網絡上之一相連接,而不能同時與兩個網絡連接;
2、阻斷網絡的邏輯連接:物理隔離網閘不依賴操作系統、不支持TCP/IP協議。兩個網絡之間的信息交換必須將TCP/IP協議剝離,將原始數據通過P2P的非TCP/IP連接方式,通過存儲介質的“寫入”與“讀出”完成數據轉發;
3、安全審查:物理隔離網閘具有安全審查功能,即網絡在將原始數據“寫入”物理隔離網閘前,根據需要對原始數據的安全性進行檢查,把可能的病毒代碼、惡意攻擊代碼消滅干凈等;
4、原始數據無危害性:物理隔離網閘轉發的原始數據,不具有攻擊或對網絡安全有害的特性。就像txt文本不會有病毒一樣,也不會執行命令等。
5、管理和控制功能:建立完善的日志系統。
6、根據需要建立數據特征庫:在應用初始化階段,結合應用要求,提取應用數據的特征,形成用戶特有的數據特征庫,作為運行過程中數據校驗的基礎。當用戶請求時,提取用戶的應用數據,抽取數據特征和原始數據特征庫比較,符合原始特征庫的數據請求進入請求隊列,不符合的返回用戶,實現對數據的過濾。
7、根據需要提供定制安全策略和傳輸策略的功能:用戶可以自行設定數據的傳輸策略,如:傳輸單位(基于數據還是基于任務)、傳輸間隔、傳輸方向、傳輸時間、啟動時間等。
8、支持定時/實時文件交換;支持支持單向/雙向文件交換;支持數字簽名、內容過濾、病毒檢查等功能。
工作原理
安全隔離網閘的組成:
安全隔離網閘是實現兩個相互業務隔離的網絡之間的數據交換,通用的網閘模型設計一般分三個基本部分:
1、 內網處理單元:包括內網接口單元與內網數據緩沖區。接口部分負責與內網的連接,并終止內網用戶的網絡連接,對數據進行病毒檢測、防火墻、入侵防護等安全檢測后剝離出“純數據”,作好交換的準備,也完成來自內網對用戶身份的確認,確保數據的安全通道;數據緩沖區是存放并調度剝離后的數據,負責與隔離交換單元的數據交換。
2、 外網處理單元:與內網處理單元功能相同,但處理的是外網連接。
3、 隔離與交換控制單元(隔離硬件):是網閘隔離控制的擺渡控制,控制交換通道的開啟與關閉。控制單元中包含一個數據交換區,就是數據交換中的擺渡船。對交換通道的控制的方式目前有兩種技術,擺渡開關與通道控制。擺渡開關是電子倒換開關,讓數據交換區與內外網在任意時刻的不同時連接,形成空間間隔GAP,實現物理隔離。通道方式是在內外網之間改變通訊模式,中斷了內外網的直接連接,采用私密的通訊手段形成內外網的物理隔離。該單元中有一個數據交換區,作為交換數據的中轉。
其中,三個單元都要求其軟件的操作系統是安全的,也就是采用非通用的操作系統,或改造后的專用操作系統。一般為Unix BSD或Linux的經安全精簡版本,或者其他是嵌入式操作系統等,但都要對底層不需要的協議、服務刪除,使用的協議優化改造,增加安全特性,同時提高效率。
如果針對網絡七層協議,安全隔離網閘是在硬件鏈路層上斷開。
區別比較1、與物理隔離卡的區別
安全隔離網閘與物理隔離卡最主要的區別是,安全隔離網閘能夠實現兩個網絡間的自動的安全適度的信息交換,而物理隔離卡只能提供一臺計算機在兩個網之間切換,并且需要手動操作,大部分的隔離卡還要求系統重新啟動以便切換硬盤。
2、網絡交換信息的區別
安全隔離網閘在網絡間進行的安全適度的信息交換是在網絡之間不存在鏈路層連接的情況下進行的。安全隔離網閘直接處理網絡間的應用層數據,利用存儲轉發的方法進行應用數據的交換,在交換的同時,對應用數據進行的各種安全檢查。路由器、交換機則保持鏈路層暢通,在鏈路層之上進行IP包等網絡層數據的直接轉發,沒有考慮網絡安全和數據安全的問題。
3、與防火墻的區別
防火墻一般在進行IP包轉發的同時,通過對IP包的處理,實現對TCP會話的控制,但是對應用數據的內容不進行檢查。這種工作方式無法防止泄密,也無法防止病毒和黑客程序的攻擊。使用方式
1、涉密網與非涉密網之間
2、局域網與互聯網之間(內網與外網之間)
3、辦公網與業務網之間
4、業務網與互聯網之間
