一.防火墙
防火墙一般位于多个不同的网络之间,对其之间的通信进行控制,来防止网络威胁,防火墙的基本功能是包过滤,能对进出防火墙的数据包包头(包括源地址、目的地址和协议)进行分析处理,但对于数据包的有效载荷一般无法分析处理。
注:防火墙是一种放置在网络边界上,用于保护内部网络安全的网络设备。它通过对流 经的数据流进行分析和检查,可实现对数据包的过滤、保存用户访问网络的记录和服务器代理功能。防火墙不具备检查病毒的功能。
防火墙一般部署在企业网的出口,起到了安全隔离内部网与外部网的作用,当两条ISP链路接入防火墙时,可以起到提高总带宽、链路冗余和负载均衡的作用。一般而言,增加出口链路数量必然会增加企业网的出口总带宽,降低网络拥塞,避免网络瓶颈的出现。两条链路也口以起到链路冗余的作用,当一条链路不可用或者异常中断时,故障链路上的数据可以自动的切换到正常链路之上,可以避免业务的中断。通过策略路由对网络请求进行重定向和内容管理,实现数据在两条链路上的负载均衡。
①内部接口( Inbound)连接内网和内网服务器。
②外部接口(Outbound) 连接外部公共网络。
③中间接口(DMZ) 连接对外开放服务器。
1、Inbound可 以访问任何Outbound和dmz区域
2、dmz可以访问Outbound区域
3、Outbound访问dmz需配合static(静态地址转换)
4、Inbound访 问dmz需要配合ac(访问控制列表)
防火墙有三种模式选择:路由模式、透明模式、混合模式
路由模式:如果防火墙接口配置有IP地址并通过第三层对外连接,则认为防火墙工作在路由模式下
透明模式:若防火墙接口未配置IP地址并通过第二层对外连接,则防火墙工作在透明模式下
混合模式:若防火墙同时具有工作在路由模式(某些接口具有IP地址)和透明模式的接口(某些接口无IP地址),则防火墙工作在混合模式下
防火墙位于内、外网之间时,防火墙分为三个区域,外部网络、内部网络以及DMZ区域。
在该模式下,ERP服务器部暑在防火墙的内部区域,用于内部用户访问,该服务器对外不提供访问服务,确保了内部数据的安全性。
Web网站对外部用户和内部用户同时提供服务,应该部署在防火墙的DMZ区域。
防火墙的性能及特点主要由以下两方面所决定。
①工作层次。这是决定防火墙效率及安全的主要因素。一般来说,工作层次越低,则工作效率越高,但安全性就低了;反之,工作层次越高,工作效率越低,则安全性越高。
②防火墙采用的机制。如果采用代理机制,则防火墙具有内部信息隐藏的特点,相对而言,安全性高,效率低;如果采用过滤机制,则效率高,安全性却降低了
按照访问控制方式分为
包过滤防火墙:在网络层对每个数据包进行匹配(无法关联数据包之间的关系、无法适应多通道协议、通常不检测应用层数据)
工作在OSI参考模型的网络层,它根据数据包头源地址、目的地址、端口号和协议类型等标志确定是否允许数据包通过。
代理防火墙:
主要工作在OSI的应用层,代理服务在确认客户端连接请求有效后接管连接,代为向服务器发出连接请求;
代理型防火 墙可以允许或拒绝特定的应用程序或服务,还可以实施数据流监控、过滤、记录和报告功能;
代理服务器通常具有高速缓存功能;
代理型防火墙的最大缺点是速度较慢;
状态检测防火墙:包过滤技术的扩展,考虑数据包之间的关联性,可以检查应用层数据(处理后续包的速度快,安全性高)
可以动态地根据实际应用需求,自动生成或删除包过滤规则:
这种防火墙不但能根据数据包的源地址、目标地址、协议类型、源端口、目标端口等对数包进行控制,而且能记录通过防火墙的连接状态,直接对包里的数据进行处理;
防火墙接口工作模式
路由模式(类似于路由器):每个接口都可以配置IP地址—支持更多的安全特性,对网络拓扑有影响
透明模式(类似于二层交换机):每个接口都不可以配置IP地址—对网络拓扑没有影响
混合模式(类似于三层交换机):部分接口可以配置IP地址
二.网闸
网闸,又称安全隔离与信息交换系统(GAP) ,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。
三.IDS(入侵检测系统)
入侵检测系纯IDS,位于防火墙之后的第二道安全屏障,是防火墙的的有力补充。通过对网络关键点收集信息并对其分析,检测到违反安全策略的行为和入侵的迹象,依照一定的安全策略,对网络、系统的运行状况进行监视,做出自动反应,在系统损坏或数据丢失之前阻止入侵者的进一步行动,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。与防火墙不同的是,IDS入侵检测系统是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署的唯一要求就是:IDS应当挂接在所有所关注流量都必须流经的链路上。(该图下方有介绍)
IDS的接入方式:并行接入(并联),不断网
IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源,尽可能靠近受保护资源
安装部署位置通常是:
1.服务器区域的交换机上
2.接入路由器之后的第一台交换机上。
3.其他重点保护网段的交换机上。
入侵检测技术:
误用检测技术
建立入侵行为模型(攻击特征)
假设可以识别和表示所有可能的特征
基于系统和基于用户的误用
异常检测技术
设定“正常”的行为模式
假设所有的入侵行为是异常的
基于系统和基于用户的异常
误用检测
优点
准确率高
算法简单
关键问题
要识别所有的攻击特征,就要建立完备的特征库
特征库要不断更新
无法检测新的入侵
异常检测
优点
可检测未知攻击
自适应、自学习能力
关键问题
“正常”行为特征的选择
统计算法、统计点的选择
入侵检测系统的种类
1.基于主机(AIDS)
2.基于网络(NIDS)
3.分布式的入侵检测系统(DIDS)
入侵检测系统的架构
①事件产生器(Event generators, E-boxes)。负责数据的采集,并将收集到的原始数据转换为事件,向系统的其他模块提供与事件有关的信息。
②事件分析器(EventAnalyzers, A-boxes)。接收事件信息并对其进行分析,判断是否为入侵行为或异常现象。
③事件数据库(EventDataBases,D-boxes)。存放有关事件的各种中间结果和最终数据的地方,可以是面向对象的数据库,也可以是一个文本文件。
④响应单元(Response units, R-boxes)。根据报警信息做出各种反应,强烈的反应就是断开连接、改变文件属性等,简单的反应就是发出系统提示,引起操作人员注意。
例题1:
在入侵检测系统中,事件分析器接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其常用的三种分析方法中不包括(45)。
(45)A.匹配模式 B.密文分析 C.数据完整性分析 D.统计分析
【答案】B
解析
入侵检测系统由4个模块组成:事件产生器、事件分析器、事件数据库和响应单元。其中,事件分析器负责接收事件信息并对其进行分析,判断是否为入侵行为或异常现象,其分析方法有三种:
①模式匹配:将收集到的信息与已知的网络入侵数据库进行比较,从而发现违背安全策略的行为。
②统计分析:首先给系统对象(例如用户、文件、目录和设备等)建立正常使用时的特征文件(Profile),这些特征值将被用来与网络中发生的行为进行比较。当观察值超出正常值范围时,就认为有可能发生入侵行为。
③数据完整性分析:主要关注文件或系统对象的属性是否被修改,这种方法往往用于亊后的审计分析。
例题2:
以下关于入侵检测系统的描述中,正确的是(45)。
(45)A.实现内外网隔离与访问控制
B.对进出网络的信息进行实时的监测与比对,及时发现攻击行为
C.隐藏内部网络拓扑
D.预防、检测和消除网络病毒
【答案】B
【解析】
入侵检测是对已经产生的入侵行为进行分析和检测的功能,及时发现并处理,从而减少入侵带来的危害。
例题3:
(65)不属于入侵检测技术。
(65)A.专家系统 B.模型检测 C.简单匹配 D.漏洞扫描
【答案】D
【解析】
漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测。
推荐阅读:
例题:
该企业计划在①、②或③的位置部署基于网络的入侵检测系统(NIDS),将NIDS部署在①的优势是(1);将NIDS部署在②的优势是(2) 、(3);将NIDS部署在③的优势是(4)。
(1)~(4)备选答案:
A.检测外部网络攻击的数量和类型
B.监视针对DMZ中系统的攻击
C.监视针对关键系统、服务和资源的攻击
D. 能减轻拒绝服务攻击的影响
(1)C
(2)A
(3)D
(4)B
入侵检测系统(IDS)可以基于主机部署也可以基于网络进行部署,将IDS部署在网络中不同的位置区域可以达到对网络中异常行为和攻击的识别,对特定网络区域的资源进行保护。
例如,将IDS部署在网络出口常用于监测外部网络攻击的数量和类型。
四.IPS(入侵防御技术)
位于防火墙之后的第二道安全屏障,是防火墙的的有力补充。通过对网络关键点收集信息并对其分析,检测到攻击企图,就会自动将攻击包丢掉或采取措施阻挡攻击源,切断网络。入侵防御是种既能发现又能阻止入侵行为的新安全防御技术。通过检测发现网络入侵后,能自动丢弃入侵报文或者阻断攻击源,从而从根本上避免攻击行为。
IPS的接入方式:串行接入,会断网
推荐阅读
五.IPS和IDS的区别
1.IPS是串行接入,IDS是并行接入(旁支)
2.IPS如果检测到攻击,会在这种攻击扩展到网络其他地方之前阻止这种恶意的通信
而IDS只是起到警报作用
注:IDS/IPS:连接在需要把交换机端口配置成镜像端口上,可以检测到全网流量。
补充:
IPS/IDS和防火墙区别:
防火墙一般只检测网络层和传输层的数据包,不能检测应用层的内容。
IPS/IDS可以检测字节内容。
六.上网行为管理
上网行为管理是指帮助互联网用户控制和管理对互联网的使用,包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计和用户行为分析。
上网行为管理设备是对用户使用互联网进行管理和控制的设备,该设备可以实现对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析等功能。此类设备乘网络的部署通常都提供串接和旁路方式,都可以实现对上网行为的管控。
所以如图上网行为管理设备的连接方式是合适的,串接和旁路等方式都可实现上网行为管控
网卡具有如下的四种工作模式:
(1) 广播模式(Broad Cast Model):物理地址(MAC)是OXffifflf的帧为广播帧,工作在广播模式的网卡接收广播帧。
(2) 多播传送(MulticastModel):多播传送地址作为目的物理地址的帧可以被组内的其他主机同时接收,而组外主机却接收不到。但是,如果将网片设置为多播传送模式;' 它可以接收所有的多播传送帧,而不论它是不是组内成员。
(3) 直接模式(Direct Model):工作在直接模式下的网卡只接收目的地址是自己Mac 地址的帧。
(4) 混杂模式(Promiscuous Model):工作在混杂模式下的网卡接收所有的流过网卡的帧,信包捕获程序就是在这种模式下运行的。
网卡的缺省工作模式包含广播模式和直接模式,即它只接收广播帧和发给自己的帧。如果采用混杂模式,一个站点的网卡将接收同一网络内所有站点所发送的数据包,这样就可以达到对网络信息监视捕获的目的。
例题1:
嗅探器改变了网络接口的工作模式,使得网络接口(49)。
(49)A.只能够响应发送给本地的分组 B.只能够响应本网段的广播分组
C.能够响应流经网络接口的所有分组 D.能够响应所有组播信息
【答案】C
【解析】
由于以太网采用广播通信方式,因此在网络中传送的分组可以出现在同一冲突域中的所有端口上。在常规状态下,网卡控制程序只接收发送给自己的数据包和广播包,对目标地址不是自己的数据包则丢弃之。如果把网卡配置成混杂模式(Promiscuous Mode), 它就能接收所有分组,无论是否是发送给自己的。
混杂模式通信被广泛地使用在恶意软件中,最初是为了获取根用户权限(Root Compromise),继而进行ARP欺骗(ARP Spoofing)。凡是进行ARP欺骗的计算机必定 把网卡设置成了混杂模式,所以检测那些滥用混杂模式的计算机是很重要的。
嗔探器(Sniffer)就是采用混杂模式工作的协议分析器,可以用纯软件实现,运行在普通的计算机上,也可以做成硬件,用独立设备实现髙效率的网络监控。“Sniffer Network Analyzer” 是美国网络联盟公司(Network Associates INC,NAI)的注册商标,然而许多采用类似技术的网络协议分析产品也可以叫做嗅探器。NAI是电子商务和网络安全解决方案的主要供应商,它的产品除了Sniffer Pro之外,还有著名的防毒软件McAfee。
例题2:
由于内网P2P、视频/流媒体、网络游戏等流量占用过大,影响网络性能,可以采用(50) 来保障正常的Web及邮件流量需求。
(50)A.使用网闸 B.升级核心交换机
C.部署流量控制设备 D.部署网络安全审计设备
【答案】C
【解析】
由于内网P2P、视频/流媒体、网络游戏等流量占用过大,影响网络性能,可以采用部署流量控制设备来保障正常的Web及邮件流量需求。
七.WAF(WEB应用防火墙)
Web应用程序防火墙过滤,监视和阻止与Web应用程序之间的HTTP流量。
WAF与常规防火墙的区别在于,WAF能够过滤特定Web应用程序的内容,而常规防火墙则充当服务器之间的安全门。通过检查HTTP流量,它可以防止源自Web应用程序安全漏洞的攻击,例如SQL注入、跨站点脚本,文件包含和安全性错误配置。
WAF具备以下特点:
全面检测WEB代码
深入检测HTTP/HTTPS\n强大的特征库
网络层的防篡改机制
八:日志审计
日志审计就是通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理之后,以统一格式的日志形式及进行集中的存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。
详细可参考:http://t.csdn.cn/px9Mo
九.漏洞扫描
漏洞存在于网络系统的各个角落,交换机路由器、服务器、PC机、应用系统等都可能存在漏洞,极易遭受攻击入侵。而一般漏洞是很难去发现和印证的。
漏洞扫描系统就是发现漏洞和协助我们去修补漏洞的一种产品。
十.堡垒机
在信息系统的运维操作过程中,经常会出现多名维护人员共用设备(系统)帐号进行远程访问的情况,从而导致出现安全事件无法清晰地定位责任人。系统为每一个运维人员创建唯一的运维帐号(主帐号)
运维帐号是获取目标设备访问权利的唯一帐号,进行运维操作时,从而准确定位事故责任人,弥补传统网络安全审计产品无法准确定位用户身份的缺陷,有效解决帐号共用问题。
十一.VPN
VPN产品是以隧道技术,密码技术,访问控制技术作为三大核心技术,以代理技术,访问控制技术作为两大支撑技术的网络安全产品。
它的目的很简单,就是确保只有被允许的主体在受控制的链路上,访问被允许的客体;也就是接入,传输,应用三环节均受控,任何主体,客体,第三方都难以越界,难以破坏。
补充:堡垒机和VPN相似,针对的用户和目的不同。VPN是为了远程访问内部资源,用户多为单位工作人员;堡垒机实质为了控制运维人员权限,记录运维人员操作
