安全设备/系统
关于网络安全设备总结
这里只是介绍一下这些网络安全设备的定义,功能,以及它提供了哪些安全性功能,理论偏多。
路由器
路由器其实就是连接多个使用相同协议网络的设备,它的作用主要在网络层(OSI七层模型、TCP/IP四层模型)。
它可以确定网络流量可以采取的最高有效路径。用现实生活来比喻就是我们从家里到学校中选择最快的那条路到达学校。
大部分的路由器不会转发广播流量,如果不懂网络的话可以看看网络的一些知识点。
安全相关:路由器中有个访问控制列表,就是阻止或允许流量的规则列表。路由器可以通过访问控制列表来过滤网络流量并阻止不想要的流量。
交换机
交换机是一种具有多个网络端口并将多个物理设备网段组合为一个逻辑网络的设备。它的作用主要是在数据链路层。当然也有一些交换机能在网络层工作,如三层交换机,它能执行路由的功能。
它的工作原理主要还是通过物理地址(MAC地址),向特定位置上的主机发送单独的数据包。
安全相关:可以根据MAC地址限制对特定端口的访问,可以实现防洪功能,保护不受DoS攻击,可以实现环路预防(STP),关闭网络环路。
代理
与连接的一端进行通讯时,充当网络连接另一端的设备。就相当于中间人,如果传输过来的流量有异常,可以在中间人这个地方拦截掉,相当于替身防护。
安全相关:
可以用来过滤内容,防止有恶意代码在本机上执行;
转发代理可以在客户端的流量离开内部网络之前对其进行拦截;
代理可以修改流量或只是转发流量;
反向代理可以拦截来自外部网络的流量,专门用于保护目标服务器不被破坏。
防火墙
防火墙通过阻止不必要的网络流量来保护系统或网络的设备。它的作用是确定需要阻止哪些流量的预定义规则集。防火墙可以分为软件防火墙、硬件防火墙。硬件常见的厂商有华为、深信服、思科等;软件最常见的就是windows的ISA。
安全相关:
防火墙的策略规则中,除非有明确的允许,否则所有流量都会被阻止,这叫做隐式拒绝。隐式拒绝在所有策略规则中是最后一条规则。
负载均衡器
是一种将工作负荷分配到网络中多个设备之间的设备。有两种方式分配方式,一种是轮询调度:负载均衡器将流量依次转发到列表上的每个服务器中,举个例子:假如有A,B,C三台服务器,当流量A,B,C,D,E,F经过负载均衡器时,负载均衡器将流量A,D发往A服务器,B,E流量发往B服务器,C,F流量发往C服务器中;另一种则是关联:负载均衡器将流量转发到已经和客户端建立连接的服务器,比如说A客户端已经和B服务器建立连接,当A客户端的流量经过负载均衡器时,负载均衡器将流量转发到B服务器中。
安全相关:
负载均衡器能在一定程度上免受DDoS的威胁。
IDS
IDS(入侵检测系统),是一种可以扫描,评估和监控计算机基础设施,查找其中正在进行的攻击迹象的系统,IDS能分析数据并向安全管理员发送有关问题的警报。IDS的组成部分包括:硬件传感器,入侵检测软件以及管理软件。IDS也分为主机IDS和网络IDS。
网络IDS主要是使用被动的硬件传感器监控网段中流量的一种IDS。通过嗅探流量并发送警报。可以用来检测流氓系统,侦查行为,攻击模式等。
IPS
IPS(入侵防御系统),它也可以执行IDS的功能,但也能采取措施阻止威胁的一种系统。IDS的功能IPS都有。对于IPS的使用,最主要的还是要符合业务的需求,如果将规则设置太严,可能会使合法的行为被阻止;规则设置太宽,则可能会产生漏报的情况。所以管理良好且精心调整的IPS是可以成为防御入侵的有力工具。
IPS也分为主机IPS和网络IPS,网络IPS也叫做NIPS,可以监控网络上的可疑流量并作出反应对其加以阻止。阻止的内容包括丢弃不想要的数据包或重置连接。NIPS可以根据特定内容规范流量。
网络监控系统的类型
IDS和IPS主要依靠以下几种方法来甄别该流量是否是告警流量:
基于签名:主要是针对已知病毒,通过已知特征来辨别是否为告警流量。
基于异常:是通过异常行为来判断是否为告警流量,如本不该执行远程连接的计算机却执行此操作,则视为异常行为;但此监控系统需要预先配置可接受的事件的基线,如果没有设置不能执行远程,那么当计算机执行远程也不会产生告警信息。
基于行为:确定实体的表现方式,并将未来的行为方式与此进行比较,检测未来的行为方式是否偏离了常态,记录了对被监控实体做出应对的预期模式。
启发式(人工智能):确定实体在特定环境中的行为方式,可能会推断出实体是否会对环境构成威胁。
SIEM
SIEM(安全信息和事件管理),是一种安全解决方案,对网络硬件和应用程序生成的安全警报提供实时或接近实时的分析。帮助管理员及时发现潜在的攻击。
主要功能:
它可以为IDS/IPS提供更深入的了解,减少误报,漏报等情况;
它通常会从所有类型的联网系统日志中提取安全数据,用来汇总确保了所有相关日志都会被包含在内以便提供一种整体视角。同时关联确保了相关事件被放在合适的环境中。
其他功能:
自动警报;
时间同步,所有类型的联网服务器与SIEM时间同步;
删除重复事件,减少安全员处理数据的困难度;
一次写入多次读取,保护SIEM的日志安全,防止黑客删除。
DLP
DLP(数据丢失/泄露防御),一种软件解决方案,可以检测(尤其是由内往外的检测)和防止敏感信息被盗或以其他方式落入不法之徒手中。它主要通过监控数据,阻止未授权的破坏,移动或复制。
例如:
网络层面:检测通过电子邮件发送的机密文件并阻止传输;
主机层面:可以完全阻止USB端口或阻止特定文件被写入USB驱动中,防止用户将敏感数据复制到USB驱动中并离开场地。
安全网关
安全网关是用来控制流量,确保入站和出站的网络流量应用控制措施。
邮件网关也是安全网关的一种,它内置垃圾邮件过滤器,拒绝携带已知垃圾邮件内容的入站电子邮件消息;可以结合DLP方案阻止数据泄露到网络外部。当数据离开网络时,通过加密手段确保数据的机密性和完整性。
统一威胁管理
统一威胁管理(UTM),将各种安全技术集中到一台设施中的系统。通常包括一个单独的控制台,从中可以进行防御管理。主要是解决离散系统的成本和复杂性问题而创建的,在一定程度上简化安全流程并使得对防御的管理变得简便。
当然也有缺点:容易形成单点故障;而且每增加一个功能模块会增加负载。
审核编辑:黄飞
全部0条评论
快来发表一下你的评论吧 !