1、防火牆
| 定義 | 防火牆指的(de)是一(yī)個有軟件和(hé)硬件設備組合而成、在內(nèi)部網和(hé)外部網之間、專用網與公共網之間的(de)界面上構造的(de)保護屏障。它可(kě)通過監測、限制、更改跨越防火牆的(de)數據流,盡可(kě)能地(dì)對外部屏蔽網絡內(nèi)部的(de)信息、結構和(hé)運行狀況,以此來實現網絡的(de)安全保護。 |
| 主要功能 | 1、過濾進、出網絡的(de)數據 2、防止不安全的(de)協議和(hé)服務 3、管理(lǐ)進、出網絡的(de)訪問行為(wèi) 4、記錄通過防火牆的(de)信息內(nèi)容 5、對網絡攻擊進行檢測與警告 6、防止外部對內(nèi)部網絡信息的(de)獲取 7、提供與外部連接的(de)集中管理(lǐ) |
| 主要類型 | 1、網絡層防火牆 一(yī)般是基于源地(dì)址和(hé)目的(de)地(dì)址、應用、協議以及每個IP包的(de)端口來作出通過與否的(de)判斷。防火牆檢查每一(yī)條規則直至發現包中的(de)信息與某規則相符。如(rú)果沒有一(yī)條規則能符合,防火牆就會使用默認規則,一(yī)般情況下,默認規則就是要求防火牆丢棄該包,其次,通過定義基于TCP或UDP數據包的(de)端口号,防火牆能夠判斷是否允許建立特定的(de)連接,如(rú)Telnet、FTP連接。 2、應用層防火牆 針對特别的(de)網絡應用服務協議即數據過濾協議,并且能夠對數據包分析并形成相關的(de)報告。 |
| 主動被動 | 傳統防火牆是主動安全的(de)概念; 因為(wèi)默認情況下是關閉所有的(de)訪問,然後再通過定制策略去(qù)開放允許開放的(de)訪問。 |
下一(yī)代防火牆 (NGFW) | 主要是一(yī)款全面應對應用層威脅的(de)高(gāo)性能防火牆。可(kě)以做(zuò)到智能化主動防禦、應用層數據防洩漏、應用層洞察與控制、威脅防護等特性。 下一(yī)代防火牆在一(yī)台設備裏面集成了傳統防火牆、IPS、應用識别、內(nèi)容過濾等功能既降低(dī)了整體網絡安全系統的(de)采購投入,又減去(qù)了多台設備接入網絡帶來的(de)部署成本,還通過應用識别和(hé)用戶管理(lǐ)等技術降低(dī)了管理(lǐ)人員的(de)維護和(hé)管理(lǐ)成本。 |
| 使用方式 | 防火牆部署于單位或企業內(nèi)部網絡的(de)出口位置。 |
| 局限性 | 1、不能防止源于內(nèi)部的(de)攻擊,不提供對內(nèi)部的(de)保護 2、不能防病毒 3、不能根據網絡被惡意使用和(hé)攻擊的(de)情況動态調整自(zì)己的(de)策略 本身的(de)防攻擊能力不夠,容易成為(wèi)被攻擊的(de)首要目标 |
| 定義 | 入侵檢測即通過從網絡系統中的(de)若幹關鍵節點收集并分析信息,監控網絡中是否有違反安全策略的(de)行為(wèi)或者是否存在入侵行為(wèi)。入侵檢測系統通常包含3個必要的(de)功能組件:信息來源、分析引擎和(hé)響應組件。 |
| 工作原理(lǐ) | 1、信息收集 3、告警與響應 根據入侵性質和(hé)類型,做(zuò)出相應的(de)告警與響應。 |
| 主要功能 | 它能夠提供安全審計、監視(shì)、攻擊識别和(hé)反攻擊等多項功能,對內(nèi)部攻擊、外部攻擊和(hé)誤操作進行實時監控,在網絡安全技術中起到了不可(kě)替代的(de)作用。 1、實時監測:實時地(dì)監視(shì)、分析網絡中所有的(de)數據報文,發現并實時處理(lǐ)所捕獲的(de)數據報文; 2、安全審計:對系統記錄的(de)網絡事件進行統計分析,發現異常現象,得出系統的(de)安全狀态,找出所需要的(de)證據 3、主動響應:主動切斷連接或與防火牆聯動,調用其他程序處理(lǐ)。 |
| 主要類型 | 1、基于主機的(de)入侵檢測系統(HIDS):基于主機的(de)入侵檢測系統是早期的(de)入侵檢測系統結構,通常是軟件型的(de),直接安裝在需要保護的(de)主機上。其檢測的(de)目标主要是主機系統和(hé)系統本地(dì)用戶,檢測原理(lǐ)是根據主機的(de)審計數據和(hé)系統日志發現可(kě)疑事件。 這種檢測技術的(de)優點主要有:能夠檢測那些來自(zì)網絡的(de)攻擊和(hé)超過授權的(de)非法訪問;不需要改變服務器等主機的(de)配置,也不會影響主機性能;風險低(dī);配置簡單。其缺點主要是:成本高(gāo)、檢測範圍受局限;大量計算,影響系統性能;大量分析數據流,影響系統性能;對加密的(de)會話過程處理(lǐ)較難;網絡流速高(gāo)時可(kě)能會丢失許多封包,容易讓入侵者有機可(kě)乘;無法檢測加密的(de)封包;對于直接對主機的(de)入侵無法檢測出。 |
| 主動被動 | 入侵檢測系統是一(yī)種對網絡傳輸進行即時監視(shì),在發現可(kě)疑傳輸時發出警報或者采取主動反應措施的(de)網絡安全設備。絕大多數 IDS 系統都是被動的(de)。也就是說,在攻擊實際發生之前,它們往往無法預先發出警報。 |
| 使用方式 | 作為(wèi)防火牆後的(de)第二道(dào)防線,适于以旁路接入方式部署在具有重要業務系統或內(nèi)部網絡安全性、保密性較高(gāo)的(de)網絡出口處。 |
| 局限性 | 1、誤報率高(gāo):主要表現為(wèi)把良性流量誤認為(wèi)惡性流量進行誤報。還有些IDS産品會對用戶不關心事件的(de)進行誤報。 2、産品适應能力差:傳統的(de)IDS産品在開發時沒有考慮特定網絡環境下的(de)需求,适應能力差。入侵檢測産品要能适應當前網絡技術和(hé)設備的(de)發展進行動态調整,以适應不同環境的(de)需求。 3、大型網絡管理(lǐ)能力差:首先,要确保新的(de)産品體系結構能夠支持數以百計的(de)IDS傳感器;其次,要能夠處理(lǐ)傳感器産生的(de)告警事件;最後還要解決攻擊特征庫的(de)建立,配置以及更新問題。 4、缺少防禦功能:大多數IDS産品缺乏主動防禦功能。 5、處理(lǐ)性能差:目前的(de)百兆、千兆IDS産品性能指标與實際要求還存在很大的(de)差距。 |
| 定義 | 入侵防禦系統是一(yī)部能夠監視(shì)網絡或網絡設備的(de)網絡資料傳輸行為(wèi)的(de)計算機網絡安全設備,能夠即時的(de)中斷、調整或隔離(lí)一(yī)些不正常或是具有傷害性的(de)網絡資料傳輸行為(wèi)。 |
| 産生背景 | 1、串行部署的(de)防火牆可(kě)以攔截低(dī)層攻擊行為(wèi),但對應用層的(de)深層攻擊行為(wèi)無能為(wèi)力。 2、旁路部署的(de)IDS可(kě)以及時發現那些穿透防火牆的(de)深層攻擊行為(wèi),作為(wèi)防火牆的(de)有益補充,但很可(kě)惜的(de)是無法實時的(de)阻斷。 3、IDS和(hé)防火牆聯動:通過IDS來發現,通過防火牆來阻斷。但由于迄今為(wèi)止沒有統一(yī)的(de)接口規範,加上越來越頻發的(de)“瞬間攻擊”(一(yī)個會話就可(kě)以達成攻擊效果,如(rú)SQL注入、溢出攻擊等),使得IDS與防火牆聯動在實際應用中的(de)效果不顯著。 入侵檢測系統(IDS)對那些異常的(de)、可(kě)能是入侵行為(wèi)的(de)數據進行檢測和(hé)報警,告知使用者網絡中的(de)實時狀況,并提供相應的(de)解決、處理(lǐ)方法,是一(yī)種側重于風險管理(lǐ)的(de)安全産品。 入侵防禦系統(IPS)對那些被明确判斷為(wèi)攻擊行為(wèi),會對網絡、數據造成危害的(de)惡意行為(wèi)進行檢測和(hé)防禦,降低(dī)或是減免使用者對異常狀況的(de)處理(lǐ)資源開銷,是一(yī)種側重于風險控制的(de)安全産品。 IDS和(hé)IPS的(de)關系,并非取代和(hé)互斥,而是相互協作:沒有部署IDS的(de)時候,隻能是憑感覺判斷,應該在什麽地(dì)方部署什麽樣的(de)安全産品,通過IDS的(de)廣泛部署,了解了網絡的(de)當前實時狀況,據此狀況可(kě)進一(yī)步判斷應該在何處部署何類安全産品(IPS等)。 |
| 功能 | 1、入侵防護:實時、主動攔截黑客攻擊、蠕蟲、網絡病毒、後門木馬、Dos等惡意流量,保護企業信息系統和(hé)網絡架構免受侵害,防止操作系統和(hé)應用程序損壞或宕機。 2、Web安全:基于互聯網Web站點的(de)挂馬檢測結果,結合URL信譽評價技術,保護用戶在訪問被植入木馬等惡意代碼的(de)網站時不受侵害,及時、有效地(dì)第一(yī)時間攔截Web威脅。 3、流量控制:阻斷一(yī)切非授權用戶流量,管理(lǐ)合法網絡資源的(de)利用,有效保證關鍵應用全天候暢通無阻,通過保護關鍵應用帶寬來不斷提升企業IT産出率和(hé)收益率。 4、上網監管:全面監測和(hé)管理(lǐ)IM即時通訊、P2P下載、網絡遊戲、在線視(shì)頻,以及在線炒股等網絡行為(wèi),協助企業辨識和(hé)限制非授權網絡流量,更好地(dì)執行企業的(de)安全策略。 |
| 技術特征 | 嵌入式運行:隻有以嵌入模式運行的(de) IPS 設備才能夠實現實時的(de)安全防護,實時阻攔所有可(kě)疑的(de)數據包,并對該數據流的(de)剩餘部分進行攔截。 深入分析和(hé)控制:IPS必須具有深入分析能力,以确定哪些惡意流量已經被攔截,根據攻擊類型、策略等來确定哪些流量應該被攔截。 入侵特征庫:高(gāo)質量的(de)入侵特征庫是IPS高(gāo)效運行的(de)必要條件,IPS還應該定期升級入侵特征庫,并快速應用到所有傳感器。 高(gāo)效處理(lǐ)能力:IPS必須具有高(gāo)效處理(lǐ)數據包的(de)能力,對整個網絡性能的(de)影響保持在最低(dī)水平。 |
| 主要類型 | 1.基于特征的(de)IPS 這是許多IPS解決方案中最常用的(de)方法。把特征添加到設備中,可(kě)識别當前最常見的(de)攻擊。也被稱為(wèi)模式匹配IPS。特征庫可(kě)以添加、調整和(hé)更新,以應對新的(de)攻擊。 2. 基于異常的(de)IPS 也被稱為(wèi)基于行規的(de)IPS。基于異常的(de)方法可(kě)以用統計異常檢測和(hé)非統計異常檢測。 3、基于策略的(de)IPS: 它更關心的(de)是是否執行組織的(de)安保策略。如(rú)果檢測的(de)活動違反了組織的(de)安保策略就觸發報警。使用這種方法的(de)IPS,要把安全策略寫入設備之中。 4.基于協議分析的(de)IPS 它與基于特征的(de)方法類似。大多數情況檢查常見的(de)特征,但基于協議分析的(de)方法可(kě)以做(zuò)更深入的(de)數據包檢查,能更靈活地(dì)發現某些類型的(de)攻擊。 |
| 主動被動 | IPS傾向于提供主動防護,其設計宗旨是預先對入侵活動和(hé)攻擊性網絡流量進行攔截,避免其造成損失,而不是簡單地(dì)在惡意流量傳送時或傳送後才發出警報。 |
| 使用方式 | 串聯部署在具有重要業務系統或內(nèi)部網絡安全性、保密性較高(gāo)的(de)網絡出口處。 |
| 定義 | 漏洞掃描是指基于漏洞數據庫,通過掃描等手段對指定的(de)遠程或者本地(dì)計算機系統的(de)安全脆弱性進行檢測,發現可(kě)利用的(de)漏洞的(de)一(yī)種安全檢測(滲透攻擊)行為(wèi)。 |
| 主要功能 | 可(kě)以對網站、系統、數據庫、端口、應用軟件等一(yī)些網絡設備應用進行智能識别掃描檢測,并對其檢測出的(de)漏洞進行報警提示管理(lǐ)人員進行修複。同時可(kě)以對漏洞修複情況進行監督并自(zì)動定時對漏洞進行審計提高(gāo)漏洞修複效率。 1、定期的(de)網絡安全自(zì)我檢測、評估 安全檢測可(kě)幫助客戶最大可(kě)能的(de)消除安全隐患,盡可(kě)能早地(dì)發現安全漏洞并進行修補,有效的(de)利用已有系統,提高(gāo)網絡的(de)運行效率。 2、安裝新軟件、啓動新服務後的(de)檢查 由于漏洞和(hé)安全隐患的(de)形式多種多樣,安裝新軟件和(hé)啓動新服務都有可(kě)能使原來隐藏的(de)漏洞暴露出來,因此進行這些操作之後應該重新掃描系統,才能使安全得到保障。 3、網絡承擔重要任務前的(de)安全性測試 4、網絡安全事故後的(de)分析調查 網絡安全事故後可(kě)以通過網絡漏洞掃描/網絡評估系統分析确定網絡被攻擊的(de)漏洞所在,幫助彌補漏洞,盡可(kě)能多得提供資料方便調查攻擊的(de)來源。 5、重大網絡安全事件前的(de)準備 重大網絡安全事件前網絡漏洞掃描/網絡評估系統能夠幫助用戶及時的(de)找出網絡中存在的(de)隐患和(hé)漏洞,幫助用戶及時的(de)彌補漏洞。 |
| 主要技術 | 1. 主機掃描: 确定在目标網絡上的(de)主機是否在線。 2. 端口掃描: 發現遠程主機開放的(de)端口以及服務。 3. OS識别技術: 根據信息和(hé)協議棧判别操作系統。 4. 漏洞檢測數據采集技術: 按照網絡、系統、數據庫進行掃描。 5.智能端口識别、多重服務檢測、安全優化掃描、系統滲透掃描 6.多種數據庫自(zì)動化檢查技術,數據庫實例發現技術; |
| 主要類型 | 1.針對網絡的(de)掃描器:基于網絡的(de)掃描器就是通過網絡來掃描遠程計算機中的(de)漏洞。價格相對來說比較便宜;在操作過程中,不需要涉及到目标系統的(de)管理(lǐ)員,在檢測過程中不需要在目标系統上安裝任何東西;維護簡便。 2.針對主機的(de)掃描器:基于主機的(de)掃描器則是在目标系統上安裝了一(yī)個代理(lǐ)或者是服務,以便能夠訪問所有的(de)文件與進程,這也使得基于主機的(de)掃描器能夠掃描到更多的(de)漏洞。 3.針對數據庫的(de)掃描器:數據庫漏掃可(kě)以檢測出數據庫的(de)DBMS漏洞、缺省配置、權限提升漏洞、緩沖區溢出、補丁未升級等自(zì)身漏洞。 |
| 使用方式 | 1、獨立式部署: 在網絡中隻部署一(yī)台漏掃設備,接入網絡并進行正确的(de)配置即可(kě)正常使用,其工作範圍通常包含用戶企業的(de)整個網絡地(dì)址。用戶可(kě)以從任意地(dì)址登錄漏掃系統并下達掃描評估任務,檢查任務的(de)地(dì)址必須在産品和(hé)分配給此用戶的(de)授權範圍內(nèi)。 2、多級式部署: 對于一(yī)些大規模和(hé)分布式網絡用戶,建議使用分布式部署方式。在大型網絡中采用多台漏掃系統共同工作,可(kě)對各系統間的(de)數據共享并彙總,方便用戶對分布式網絡進行集中管理(lǐ)。 |
| 優缺點 | 1、優點 有利于及早發現問題,并從根本上解決安全隐患。 2、不足 隻能針對已知安全問題進行掃描;準确性和(hé)指導性有待改善。 |
| 定義 | 安全隔離(lí)網閘是使用帶有多種控制功能的(de)固态開關讀寫介質連接兩個獨立網絡系統的(de)信息安全設備。由于物理(lǐ)隔離(lí)網閘所連接的(de)兩個獨立網絡系統之間,不存在通信的(de)物理(lǐ)連接、邏輯連接、信息傳輸命令、信息傳輸協議,不存在依據協議的(de)信息包轉發,隻有數據文件的(de)無協議“擺渡”,且對固态存儲介質隻有“讀”和(hé)“寫”兩個命令。所以,物理(lǐ)隔離(lí)網閘從物理(lǐ)上隔離(lí)、阻斷了具有潛在攻擊可(kě)能的(de)一(yī)切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實現了真正的(de)安全。 |
| 功能模塊 | 安全隔離(lí)閘門的(de)功能模塊有: 安全隔離(lí)、內(nèi)核防護、協議轉換、病毒查殺、訪問控制、安全審計、身份認證 |
| 主要功能 | 1、阻斷網絡的(de)直接物理(lǐ)連接:物理(lǐ)隔離(lí)網閘在任何時刻都隻能與非可(kě)信網絡和(hé)可(kě)信網絡上之一(yī)相連接,而不能同時與兩個網絡連接; 2、阻斷網絡的(de)邏輯連接:物理(lǐ)隔離(lí)網閘不依賴操作系統、不支持TCP/IP協議。兩個網絡之間的(de)信息交換必須将TCP/IP協議剝離(lí),将原始數據通過P2P的(de)非TCP/IP連接方式,通過存儲介質的(de)“寫入”與“讀出”完成數據轉發; 3、安全審查:物理(lǐ)隔離(lí)網閘具有安全審查功能,即網絡在将原始數據“寫入”物理(lǐ)隔離(lí)網閘前,根據需要對原始數據的(de)安全性進行檢查,把可(kě)能的(de)病毒代碼、惡意攻擊代碼消滅幹淨等; 4、原始數據無危害性:物理(lǐ)隔離(lí)網閘轉發的(de)原始數據,不具有攻擊或對網絡安全有害的(de)特性。就像txt文本不會有病毒一(yī)樣,也不會執行命令等。 5、管理(lǐ)和(hé)控制功能:建立完善的(de)日志系統。 6、根據需要建立數據特征庫:在應用初始化階段,結合應用要求,提取應用數據的(de)特征,形成用戶特有的(de)數據特征庫,作為(wèi)運行過程中數據校驗的(de)基礎。當用戶請求時,提取用戶的(de)應用數據,抽取數據特征和(hé)原始數據特征庫比較,符合原始特征庫的(de)數據請求進入請求隊列,不符合的(de)返回用戶,實現對數據的(de)過濾。 7、根據需要提供定制安全策略和(hé)傳輸策略的(de)功能:用戶可(kě)以自(zì)行設定數據的(de)傳輸策略,如(rú):傳輸單位(基于數據還是基于任務)、傳輸間隔、傳輸方向、傳輸時間、啓動時間等。 8、支持定時/實時文件交換;支持支持單向/雙向文件交換;支持數字簽名、內(nèi)容過濾、病毒檢查等功能。 |
| 工作原理(lǐ) | 安全隔離(lí)網閘的(de)組成: 安全隔離(lí)網閘是實現兩個相互業務隔離(lí)的(de)網絡之間的(de)數據交換,通用的(de)網閘模型設計一(yī)般分三個基本部分: 1、 內(nèi)網處理(lǐ)單元:包括內(nèi)網接口單元與內(nèi)網數據緩沖區。接口部分負責與內(nèi)網的(de)連接,并終止內(nèi)網用戶的(de)網絡連接,對數據進行病毒檢測、防火牆、入侵防護等安全檢測後剝離(lí)出“純數據”,作好交換的(de)準備,也完成來自(zì)內(nèi)網對用戶身份的(de)确認,确保數據的(de)安全通道(dào);數據緩沖區是存放并調度剝離(lí)後的(de)數據,負責與隔離(lí)交換單元的(de)數據交換。 2、 外網處理(lǐ)單元:與內(nèi)網處理(lǐ)單元功能相同,但處理(lǐ)的(de)是外網連接。 3、 隔離(lí)與交換控制單元(隔離(lí)硬件):是網閘隔離(lí)控制的(de)擺渡控制,控制交換通道(dào)的(de)開啓與關閉。控制單元中包含一(yī)個數據交換區,就是數據交換中的(de)擺渡船。對交換通道(dào)的(de)控制的(de)方式目前有兩種技術,擺渡開關與通道(dào)控制。擺渡開關是電子(zǐ)倒換開關,讓數據交換區與內(nèi)外網在任意時刻的(de)不同時連接,形成空間間隔GAP,實現物理(lǐ)隔離(lí)。通道(dào)方式是在內(nèi)外網之間改變通訊模式,中斷了內(nèi)外網的(de)直接連接,采用私密的(de)通訊手段形成內(nèi)外網的(de)物理(lǐ)隔離(lí)。該單元中有一(yī)個數據交換區,作為(wèi)交換數據的(de)中轉。 其中,三個單元都要求其軟件的(de)操作系統是安全的(de),也就是采用非通用的(de)操作系統,或改造後的(de)專用操作系統。一(yī)般為(wèi)Unix BSD或Linux的(de)經安全精簡版本,或者其他是嵌入式操作系統等,但都要對底層不需要的(de)協議、服務删除,使用的(de)協議優化改造,增加安全特性,同時提高(gāo)效率。 如(rú)果針對網絡七層協議,安全隔離(lí)網閘是在硬件鏈路層上斷開。 |
| 區别比較 | 1、與物理(lǐ)隔離(lí)卡的(de)區别 安全隔離(lí)網閘與物理(lǐ)隔離(lí)卡最主要的(de)區别是,安全隔離(lí)網閘能夠實現兩個網絡間的(de)自(zì)動的(de)安全适度的(de)信息交換,而物理(lǐ)隔離(lí)卡隻能提供一(yī)台計算機在兩個網之間切換,并且需要手動操作,大部分的(de)隔離(lí)卡還要求系統重新啓動以便切換硬盤。 2、網絡交換信息的(de)區别 安全隔離(lí)網閘在網絡間進行的(de)安全适度的(de)信息交換是在網絡之間不存在鏈路層連接的(de)情況下進行的(de)。安全隔離(lí)網閘直接處理(lǐ)網絡間的(de)應用層數據,利用存儲轉發的(de)方法進行應用數據的(de)交換,在交換的(de)同時,對應用數據進行的(de)各種安全檢查。路由器、交換機則保持鏈路層暢通,在鏈路層之上進行IP包等網絡層數據的(de)直接轉發,沒有考慮網絡安全和(hé)數據安全的(de)問題。 3、與防火牆的(de)區别 防火牆一(yī)般在進行IP包轉發的(de)同時,通過對IP包的(de)處理(lǐ),實現對TCP會話的(de)控制,但是對應用數據的(de)內(nèi)容不進行檢查。這種工作方式無法防止洩密,也無法防止病毒和(hé)黑客程序的(de)攻擊。 |
| 使用方式 | 1、涉密網與非涉密網之間 2、局域網與互聯網之間(內(nèi)網與外網之間) 3、辦公網與業務網之間 4、業務網與互聯網之間 |
