NothingBlog

常见安全设备

2022-10-30 boring

  1. 数据库审计系统

    工作原理

    数据库安全审计系统主要通过旁路监控并记录对数据库服务器的各类操作行为,通过镜像流量对网络数据进行分析,实时地、智能地解析对数据库服务器的各种操作、恶意攻击事件信息记入审计数据库中以便日后进行查询、分析,细线对目标数据库系统操作的监控和审计。

    其工作在网络层,利用业务协议分析检测技术,能够识别各类数据库的访问协议,FTP协议、TELNET协议、VNC协议、文件共享协议及其他几十种应用层协议。可以兼容市面上大多的数据库类型,如:SQL Server、Oracle、MySQL等。审计行为可包括DDL、DML、DCL等,审计内容可以细化到库、表、记录、用户、存储过程、函数、调用参数等。

  2. VPN

    工作原理

    VPN(Virtual Private Network) 又称为虚拟专网服务,它是利用公共网络资源为客户构成专用网的一种业务。

    通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入Internet。

    网络一(假定为公网internet)的终端A访问网络二(假定为公司内网)的终端B,其发出的访问数据包的目标地址为终端B的内部IP地址。

    网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查,如果目标地址属于网络二的地址,则将该数据包进行封装,封装的方式根据所采用的VPN技术不同而不同,同时VPN网关会构造一个新VPN数据包,并将封装后的原数据包作为VPN数据包的负载,VPN数据包的目标地址为网络二的VPN网关的外部地址。

    网络一的VPN网关将VPN数据包发送到Internet,由于VPN数据包的目标地址是网络二的VPN网关的外部地址,所以该数据包将被Internet中的路由正确地发送到网络二的VPN网关。

    网络二的VPN网关对接收到的数据包进行检查,如果发现该数据包是从网络一的VPN网关发出的,即可判定该数据包为VPN数据包,并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离,再将数据包反向处理还原成原始的数据包。

    网络二的VPN网关将还原后的原始数据包发送至目标终端B,由于原始数据包的目标地址是终端B的IP,所以该数据包能够被正确地发送到终端B。在终端B看来,它收到的数据包就和从终端A直接发过来的一样。

    从终端B返回终端A的数据包处理过程和上述过程一样,这样两个网络内的终端就可以相互通讯了。

    常见类型

    SSL VPN是以HTTPS(Secure HTTP,安全的HTTP,即支持SSL的HTTP协议)为基础的VPN技术,工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入,为用户远程访问公司内部网络提供了安全保证。

    IPSec VPN是基于IPSec协议的VPN技术,由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。

  3. web应用防护(WAF)

    工作原理

    WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,为Web应用提供防护,也称作应用防火墙,是网络安全纵深防御体系里重要的一环。

    其利用服务器API接口去获取应用层数据,然后匹配自己的规则库,利用正则表达式来分析判断数据的合法性,生成白名单,黑名单,最后,进行访问控制。对请求的内容进行规则匹配、行为分析等识别出恶意行为,并执行相关动作,这些动作包括阻断、记录、告警等。

    WAF是通过检测应用层的数据来进行访问控制或者对应用进行控制。而传统防火墙对三、四层数据进行过滤,从而进行访问控制,不对应用层数据进行分析。

  4. 入侵检测系统(IDS)

  5. 入侵防御系统(IPS)

    工作原理

    IPS提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。

    IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用L2(数据链路层)至L7(应用层)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对L3(网络层)或L4(传输层)进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。

    针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。

  6. 安全审计系统(堡垒机 )

    工作原理

    主要为旁路接入模式,其功能的实现基于和防火墙进行联动。即通过防火墙的访问控制功能,先创建一条信任堡垒机允许访问运维端口(3389、22等)的策略,再在其下方创建一条拒绝所有访问运维端口的策略。如此一来则实现了物理上旁路、逻辑上串行,用户想要运维时,必须通过堡垒机进行跳转登录。

    同时,其具有很强的日志审计功能。由于所有的运维皆是通过其进行操作,故而可以记录所有的运维操作记录,用于溯源。一般包括:录播(完整操作录像,占用较多内存)、标题、字符、命令行等。

    目前型号较早的设备是基于IE内核浏览器的ActiveX插件进行运维操作的,但随着技术的更新已经支持非IE内核的浏览器运维,如goole、Firefox等。

  7. 上网行为管理

    工作原理

    是指帮助互联网用户控制和管理对互联网的使用。其包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。

    在串联模式下可支持对所有端口的控制,直接对不合规连接进行阻断。而旁路模式下,只支持对TCP端口的控制,通过发送rst包拦截,干扰正常的TCP连接实现控制。

    主要功能

    上网身份管理:利用IP/MAC识别方式、用户名/密码认证方式、与已有认证系统的联合单点登录方式准确识别确保上网人员合法性。

    上网终端管理:检查主机的注册表/进程/硬盘文件的合法性,确保接入企业网的终端PC的合法性和安全性。

    移动终端管理:检查移动终端识别码,识别智能移动终端类型/型号,确保接入企业网的移动终端的合法性。

    上网地点管理:检查上网终端的物理接入点,识别上网地点,确保上网地点的合法性。

    搜索引擎管理:利用搜索框关键字的识别、记录、阻断技术,确保上网搜索内容的合法性,避免不当关键词的搜索带来的负面影响。

    网址URL管理 :利用网页分类库技术,对海量网址进行提前分类识别、记录、阻断确保上网访问的网址的合法性。

    网页正文管理:利用正文关键字识别、记录、阻断技术,确保浏览正文的合法性。

    文件下载管理:利用文件名称/大小/类型/下载频率的识别、记录、阻断技术确保网页下载文件的合法性。

    普通邮件管理:利用对SMTP收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性。

    WEB邮件管理 :利用对WEB方式的网页邮箱的收发人/标题/正文/附件/附件内容的深度识别、记录、阻断确保外发邮件的合法性。

    网页发帖管理:利用对BBS等网站的发帖内容的标题、正文关键字进行识别、记录、阻断确保外发言论的合法性。

    即时通讯管理:利用对MSN、飞信、QQ、skype、雅虎通等主流IM软件的外发内容关键字识别、记录、阻断确保外发言论的合法性。

    其他外发管理:针对FTP、TELNET等传统协议的外发信息进行内容关键字识别、记录、阻断确保外发信息的合法性。

    上网应用阻断:利用不依赖端口的应用协议库进行应用的识别和阻断。

    上网应用累计时长限额:针对每个或多个应用分配累计时长、一天内累计使用时间达到限额将自动终止访问。

    上网应用累计流量限额:针对每个或多个应用分配累计流量、一天内累计使用流量达到限额将自动终止访问。

    上网带宽控制:为每个或多个应用设置虚拟通道上限值,对于超过虚拟通道上限的流量进行丢弃。

    上网带宽保障:为每个或多个应用设置虚拟通道下限值,确保为关键应用保留必要的网络带宽。

    上网带宽借用:当有多个虚拟通道时,允许满负荷虚拟通道借用其他空闲虚拟通道的带宽。

    上网带宽平均:每个用户平均分配物理带宽、避免单个用户的流量过大抢占其他用户带宽。

    上网行为实时监控:对网络当前速率、带宽分配、应用分布、人员带宽、人员应用等进行统一展现。

    上网行为日志查询:对网络中的上网人员/终端/地点、上网浏览、上网外发、上网应用、上网流量等行为日志进行精准查询,精确定位问题。

    上网行为统计分析:对上网日志进行归纳汇总,统计分析出流量趋势、风险趋势、泄密趋势、效率趋势等直观的报表,便于管理者全局发现潜在问题。

  8. 安全隔离系统(网闸)

    工作原理

    当外网需要有数据到达内网的时候,外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给应用系统。在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网的直接连接。反之同理。

    物理隔离的一个特征,就是内网与外网永不连接,内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。而使用非TCP/IP协议的原因在于,TCP/IP协议没有内在的控制机制,来支持源地址的鉴别,来证实IP从哪儿来。黑客就可以利用这个漏洞,通过侦听的方式截取数据,进行篡改。而利用非TCP/IP协议就会使得经过网闸的数据,源地址会变成网闸的接口地址,使得另一端无法探测网闸这一端的网络环境。

  9. 防火墙

    工作原理

    防火墙的原理是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口,通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,有选择地接受外部访问。通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。

    主要功能

    访问控制
    地址转换
    流量控制
    抗DDOS功能
    入侵防御(下一代)
    病毒防御(下一代)

    主要部署模式

    桥模式

    桥模式也可叫作透明模式。最简单的网络由客户端和服务器组成,客户端和服务器处于同一网段。为了安全方面的考虑,在客户端和服务器之间增加了防火墙设备,对经过的流量进行安全控制。正常的客户端请求通过防火墙送达服务器,服务器将响应返回给客户端,用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有IP地址,当对网络进行扩容时无需对网络地址进行重新规划,但牺牲了路由、VPN等功能。

    网关模式

    网关模式适用于内外网不在同一网段的情况,防火墙设置网关地址实现路由器的功能,为不同网段进行路由转发。网关模式相比桥模式具备更高的安全性,在进行访问控制的同时实现了安全隔离,具备了一定的私密性。

    NAT模式

    NAT(Network Address Translation)地址翻译技术由防火墙对内部网络的IP地址进行地址翻译,使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址。NAT模式能够实现外部网络不能直接看到内部网络的IP地址,进一步增强了对内部网络的安全防护。同时,在NAT模式的网络中,内部网络可以使用私网地址,可以解决IP地址数量受限的问题。

    如果在NAT模式的基础上需要实现外部网络访问内部网络服务的需求时,还可以使用地址/端口映射(MAP)技术,在防火墙上进行地址/端口映射配置,当外部网络用户需要访问内部服务时,防火墙将请求映射到内部服务器上;当内部服务器返回相应数据时,防火墙再将数据转发给外部网络。使用地址/端口映射技术实现了外部用户能够访问内部服务,但是外部用户无法看到内部服务器的真实地址,只能看到防火墙的地址,增强了内部服务器的安全性。

  10. asdf

支付宝扫码打赏 微信打赏

下载地址:XXX*