現代雲服務實施以後,大部分用戶轉向谷歌、阿里、華爲等雲服務集成商,應用服務已經很少涉及基礎硬件設備相關方面的內容,然而信息安全也因不斷豐富的網絡應用被提到了一個前所未有的高度,本文粗略回顧信息安全中的防火牆、入侵檢測、入侵防禦、掃描、流量監控、網頁防篡改、安全審計等設備方面的知識,在一些自行建設的信息系統中,應該還有些用處。
一、防火牆
定義:防火牆指的是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它可通過監測、限制、更改跨越防火牆的數據流,儘可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。
主要功能:過濾進、出網絡的數據;防止不安全的協議和服務;管理進、出網絡的訪問行爲;記錄通過防火牆的信息內容;對網絡攻擊進行檢測與警告;防止外部對內部網絡信息的獲取;提供與外部連接的集中管理。
主要類型:
1、網絡層防火牆
一般是基於源地址和目的地址、應用、協議以及每個IP 包的端口來作出通過與否的判斷。防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包,其次,通過定義基於TCP或 UDP數據包的端口號,防火牆能夠判斷是否允許建立特定的連接,如Telnet 、FTP連接。
2、應用層防火牆
針對特別的網絡應用服務協議即數據過濾協議,並且能夠對數據包分析並形成相關的報告。
主動被動 :
傳統防火牆是主動安全的概念;因爲默認情況下是關閉所有的訪問,然後再通過定製策略去開放允許開放的訪問。
下一代防火牆:
下一代防火牆在一臺設備裏面集成了傳統防火牆、IPS、應用識別、內容過濾等功能既降低了整體網絡安全系統的採購投入,又減去了多臺設備接入網絡帶來的部署成本,還通過應用識別和用戶管理等技術降低了管理人員的維護和管理成本。
使用方式
防火牆部署於單位或企業內部網絡的出口位置。
侷限性
1、 不能防止源於內部的攻擊,不提供對內部的保護
2、 不能防病毒
3、 不能根據網絡被惡意使用和攻擊的情況動態調整自己的策略
4、 本身的防攻擊能力不夠,容易成爲被攻擊的首要目標
/////////////////////////////////////////////////////////////////////////////////////////////////////////
二、IDS(入侵檢測系統)
定義:入侵檢測即通過從網絡系統中的若干關鍵節點收集並分析信息,監控網絡中是否有違反安全策略的行爲或者是否存在入侵行爲。入侵檢測系統通常包含 3 個必要的功能組件:信息來源、分析引擎和響應組件。
工作原理
1、信息收集
信息收集包括收集系統、網絡、數據及用戶活動的狀態和行爲。入侵檢測利用的信息一般來自:系統和網絡日誌文件、非正常的目錄和文件改變、非正常的程序執行這三個方面。
2、信號分析
對收集到的有關係統、網絡、數據及用戶活動的狀態和行爲等信息,是通過模式匹配、統計分析和完整性分析這三種手段進行分析的。前兩種用於實時入侵檢測,完整性分析用於事後分析。
3、告警與響應
根據入侵性質和類型,做出相應的告警與響應。
主要功能
它能夠提供安全審計、監視、攻擊識別和反攻擊等多項功能,對內部攻擊、外部攻擊和誤操作進行實時監控,在網絡安全技術中起到了不可替代的作用。
1、實時監測:實時地監視、分析網絡中所有的數據報文,發現並實時處理所捕獲的數據報文;
2、安全審計:對系統記錄的網絡事件進行統計分析,發現異常現象,得出系統的安全狀態,找出所需要的證據;
3、主動響應:主動切斷連接或與防火牆聯動,調用其他程序處理。
主要類型
1、基於主機的入侵檢測系統 (HIDS) :基於主機的入侵檢測系統是早期的入侵檢測系統結構,通常是軟件型的,直接安裝在需要保護的主機上。其檢測的目標主要是主機系統和系統本地用戶,檢測原理是根據主機的審計數據和系統日誌發現可疑事件。這種檢測方式的優點主要有:信息更詳細、誤報率要低、部署靈活。這種方式的缺點主要有:會降低應用系統的性能;依賴於服務器原有的日誌與監視能力;代價較大;不能對網絡進行監測;需安裝多個針對不同系統的檢測系統。
2、基於網絡的入侵檢測系統 (NIDS) :基於網絡的入侵檢測方式,是目前一種比較主流的監測方式,這類檢測系統需要有一臺專門的檢測設備。檢測設備放置在比較重要的網段內,不停地監視網段中的各種數據包,而不再是隻監測單一主機。它對所監測的網絡上每一個數據包或可疑的數據包進行特徵分析,如果數據包與產品內置的某些規則吻合,入侵檢測系統就會發出警報,甚至直接切斷網絡連接。目前,大部分入侵檢測產品是基於網絡的。這種檢測技術的優點主要有:能夠檢測那些來自網絡的攻擊和超過授權的非法訪問;不需要改變服務器等主機的配置,也不會影響主機性能;風險低;配置簡單。其缺點主要是:成本高、檢測範圍受侷限;大量計算,影響系統性能;大量分析數據流,影響系統性能;對加密的會話過程處理較難;網絡流速高時可能會丟失許多封包,容易讓入侵者有機可乘;無法檢測加密的封包;對於直接對主機的入侵無法檢測出。
主動被動
入侵檢測系統是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者採取主動反應措施的網絡安全設備。絕大多數
系統都是被動的。也就是說,在攻擊實際發生之前,它們往往無法預先發出警報。
使用方式
作爲防火牆後的第二道防線,適於以旁路接入方式部署在具有重要業務系統或內部網絡安全性、保密性較高的網絡出口處。
侷限性
1、誤報率高:主要表現爲把良性流量誤認爲惡性流量進行誤報。還有些 IDS 產品會對用戶不關心事件的進行誤報。
2、產品適應能力差:傳統的 IDS 產品在開發時沒有考慮特定網絡環境下的需求,適應能力差。入侵檢測產品要能適應當前網絡技術和設備的發展進行動態調整,以適應不同環境的需求。
3、大型網絡管理能力差:首先,要確保新的產品體系結構能夠支持數以百計的 IDS 傳感器;其次,要能夠處理傳感器產生的告警事件;最後還要解決攻擊特徵庫的建立,配置以及更新問題。
4、缺少防禦功能:大多數 IDS 產品缺乏主動防禦功能。
5、處理性能差:目前的百兆、千兆 IDS 產品性能指標與實際要求還存在很大的差距。
//////////////////////////////////////////////////////////////////////////////////////////////////
三 IPS(入侵防禦系統)
定義:入侵防禦系統是一部能夠監視網絡或網絡設備的網絡資料傳輸行爲的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行爲。
產生背景
1、串行部署的防火牆可以攔截低層攻擊行爲,但對應用層的深層攻擊行爲無能爲力。
2、旁路部署的 IDS 可以及時發現那些穿透防火牆的深層攻擊行爲,作爲防火牆的有益補充,但很可惜的是無法實時的阻斷。
3、IDS 和防火牆聯動:通過 IDS 來發現,通過防火牆來阻斷。但由於迄今爲止沒有統一的接口規範,加上越來越頻發的“瞬間攻擊”(一個會話就可以達成攻擊效果,如 SQL注入、溢出攻擊等),使得 IDS與防火牆聯動在實際應用中的效果不顯著。入侵檢測系統( IDS)對那些異常的、可能是入侵行爲的數據進行檢測和報警,告知使用者網絡中的實時狀況,並提供相應的解決、處理方法,是一種側重於風險管理的安全產品。入侵防禦系統( IPS)對那些被明確判斷爲攻擊行爲,會對網絡、數據造成危害的惡意行爲進行檢測和防禦,降低或是減免使用者對異常狀況的處理資源開銷,是一種側重於風險控制的安全產品。
IDS 和 IPS 的關係,並非取代和互斥,而是相互協作:沒有部署 IDS的時候,只能是憑感覺判斷,應該在什麼地方部署什麼樣的安全產品,通過 IDS 的廣泛部署,瞭解了網絡的當前實時狀況,據此狀況可進一步判斷應該在何處部署何類安全產品( IPS 等)。
功能
1、入侵防護:實時、主動攔截黑客攻擊、蠕蟲、網絡病毒、後門木馬、 Dos等惡意流量,保護企業信息系統和網絡架構免受侵害,防止操作系統和應用程序損壞或宕機。
2、Web安全:基於互聯網 Web站點的掛馬檢測結果,結合 URL信譽評價技術,保護用戶在訪問被植入木馬等惡意代碼的網站時不受侵害,及時、有效地第一時間攔截 Web威脅。
3、流量控制:阻斷一切非授權用戶流量,管理合法網絡資源的利用,有效保證關鍵應用全天候暢通無阻,通過保護關鍵應用帶寬來不斷提升企業 IT 產出率和收益率。
4、上網監管:全面監測和管理 IM 即時通訊、 P2P下載、網絡遊戲、在線視頻,以及在線炒股等網絡行爲,協助企業辨識和限制非授權網絡流量,更好地執行企業的安全策略。
技術特徵
嵌入式運行:只有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護,實時阻攔所有可疑的數據包,並對該數據流的剩餘部分進行攔截。
深入分析和控制: IPS 必須具有深入分析能力,以確定哪些惡意流量已經被攔截,根據攻擊類型、策略等來確定哪些流量應該被攔截。
入侵特徵庫:高質量的入侵特徵庫是IPS 高效運行的必要條件,IPS 還應該定期升級入侵特徵庫,並快速應用到所有傳感器。
高效處理能力: IPS 必須具有高效處理數據包的能力,對整個網絡性能的影響保持在最低水平。
1、基於特徵的 IPS
這是許多 IPS 解決方案中最常用的方法。把特徵添加到設備中,可識別當前最常見的攻擊。也被稱爲模式匹配IPS。特徵庫可以添加、調整和更新,以應對新的攻擊。
2. 基於異常的 IPS
也被稱爲基於行規的 IPS。基於異常的方法可以用統計異常檢測和非統計異常檢測。
3、基於策略的 IPS
它更關心的是是否執行組織的安保策略。如果檢測的活動違反了組織的安保策略就觸發報警。使用這種方法的IPS,要把安全策略寫入設備之中。
4. 基於協議分析的 IPS
它與基於特徵的方法類似。大多數情況檢查常見的特徵,但基於協議分析的方法可以做更深入的數據包檢查,能更靈活地發現某些類型的攻擊。
主動被動
IPS 傾向於提供主動防護,其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送後才發出警報。
使用方式
串聯部署在具有重要業務系統或內部網絡安全性、保密性較高的網絡出口處。
////////////////////////////////////////////////////////////////////////////////////////////////
四、漏洞掃描設備
定義:漏洞掃描是指基於漏洞數據庫,通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,發現可利用的漏洞的一種安全檢測(滲透攻擊)行爲。
主要功能
可以對網站、系統、數據庫、端口、應用軟件等一些網絡設備應用進行智能識別掃描檢測,並對其檢測出的漏洞進行報警提示管理人員進行修復。同時可以對漏洞修復情況進行監督並自動定時對漏洞進行審計提高漏洞修復效率。
1、定期的網絡安全自我檢測、評估安全檢測可幫助客戶最大可能的消除安全隱患,儘可能早地發現安全漏洞並進行修補,有效的利用已有系統,提高網絡的運行效率。
2、安裝新軟件、啓動新服務後的檢查由於漏洞和安全隱患的形式多種多樣,安裝新軟件和啓動新服務都有可能使原來隱藏的漏洞暴露出來,因此進行這些操作之後應該重新掃描系統,才能使安全得到保障。
3 、網絡承擔重要任務前的安全性測
4、網絡安全事故後的分析調查
網絡安全事故後可以通過網絡漏洞掃描網絡評估系統分析確定網絡被攻擊的漏洞所在,幫助彌補漏洞,儘可能多得提供資料方便調查攻擊的來源。
5、重大網絡安全事件前的準備
重大網絡安全事件前網絡漏洞掃描 / 網絡評估系統能夠幫助用戶及時的找出網絡中存在的隱患和漏洞,幫助用戶及時的彌補漏洞。
主要技術
1. 主機掃描:
確定在目標網絡上的主機是否在線。
2. 端口掃描:
發現遠程主機開放的端口以及服務。
3. OS 識別技術 :
根據信息和協議棧判別操作系統。
4. 漏洞檢測數據採集技術:
按照網絡、系統、數據庫進行掃描。
5. 智能端口識別、多重服務檢測、安全優化掃描、系統滲透掃描
6. 多種數據庫自動化檢查技術,數據庫實例發現技術;
主要類型
1. 針對網絡的掃描器:基於網絡的掃描器就是通過網絡來掃描遠程計算機中的漏洞。價格相對來說比較便宜;在操作過程中,不需要涉及到目標系統的管理員,在檢測過程中不需要在目標系統上安裝任何東西;維護簡便。
2. 針對主機的掃描器:基於主機的掃描器則是在目標系統上安裝了一個代理或者是服務,以便能夠訪問所有的文件與進程,這也使得基於主機的掃描器能夠掃描到更多的漏洞。
3. 針對數據庫的掃描器:數據庫漏掃可以檢測出數據庫的洞、缺省配置、權限提升漏洞、緩衝區溢出、補丁未升級等自身漏洞。
使用方式
1、獨立式部署:
在網絡中只部署一臺漏掃設備,接入網絡並進行正確的配置即可正常使用,其工作範圍通常包含用戶企業的整個網絡地址。用戶可以從任意地址登錄漏掃系統並下達掃描評估任務,檢查任務的地址必須在產品和分配給此用戶的授權範圍內。
2、多級式部署:
對於一些大規模和分佈式網絡用戶,建議使用分佈式部署方式。在大型網絡中採用多臺漏掃系統共同工作,可對各系統間的數據共享並彙總,方便用戶對分佈式網絡進行集中管理。
優缺點
1、 優點
有利於及早發現問題,並從根本上解決安全隱患。
2、 不足
只能針對已知安全問題進行掃描;準確性和指導性有待改善。
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
五、安全隔離網閘
定義:安全隔離網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立網絡系統的信息安全設備。由於物理隔離網閘所連接的兩個獨立網絡系統之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議,不存在依據協議的信息包轉發,只有數據文件的無協議“擺渡”,且對固態存儲介質只有“讀”和“寫”兩個命令。所以,物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實現了真正的安全。
功能模塊
安全隔離閘門的功能模塊有:安全隔離、內核防護、協議轉換、病毒查殺、訪問控制、安全審計、身份認證。
主要功能
1、阻斷網絡的直接物理連接:物理隔離網閘在任何時刻都只能與非可信網絡和可信網絡上之一相連接,而不能同時與兩個網絡連接;
2、阻斷網絡的邏輯連接:物理隔離網閘不依賴操作系統、不支持 TCP/IP 協議。兩個網絡之間的信息交換必須將TCP/IP 協議剝離,將原始數據通過 P2P的非 TCP/IP 連接方式,通過存儲介質的“寫入”與“讀出”完成數據轉發;
3、安全審查:物理隔離網閘具有安全審查功能,即網絡在將原始數據“寫入”物理隔離網閘前,根據需要對原始數據的安全性進行檢查,把可能的病毒代碼、惡意攻擊代碼消滅乾淨等;
4、原始數據無危害性:物理隔離網閘轉發的原始數據,不具有攻擊或對網絡安全有害的特性。就像txt 文本不會有病毒一樣,也不會執行命令等。
5、管理和控制功能:建立完善的日誌系統。
6、根據需要建立數據特徵庫:在應用初始化階段,結合應用要求,提取應用數據的特徵,形成用戶特有的數據特徵庫,作爲運行過程中數據校驗的基礎。當用戶請求時,提取用戶的應用數據,抽取數據特徵和原始數據特徵庫比較,符合原始特徵庫的數據請求進入請求隊列,不符合的返回用戶,實現對數據的過濾。
7、根據需要提供定製安全策略和傳輸策略的功能:用戶可以自行設定數據的傳輸策略,如:傳輸單位(基於數據還是基於任務)、傳輸間隔、傳輸方向、傳輸時間、啓動時間等。
8、支持定時 / 實時文件交換;支持支持單向 / 雙向文件交換;支持數字簽名、內容過濾、病毒檢查等功能。
工作原理
安全隔離網閘的組成:
安全隔離網閘是實現兩個相互業務隔離的網絡之間的數據交換,通用的網閘模型設計一般分三個基本部分:
1、 內部網絡處理單元:包括內部網絡接口單元與內部網絡數據緩衝區。接口部分負責與內部網絡的連接,並終止內部網絡用戶的網絡連接,對數據進行病毒檢測、防火牆、入侵防護等安全檢測後剝離出“純數據”,作好交換的準備,也完成來自內部網絡對用戶身份的確認,確保數據的安全通道;數據緩衝區是存放並調度剝離後的數據,負責與隔離交換單元的數據交換。
2、 外部網絡處理單元:與內部網絡處理單元功能相同,但處理的是外部網絡連接。3、 隔離與交換控制單元(隔離硬件):是網閘隔離控制的擺渡控制,控制交換通道的開啓與關閉。控制單元中包含一個數據交換區,就是數據交換中的擺渡船。對交換通道的控制的方式目前有兩種技術,擺渡開關與通道控制。擺渡開關是電子倒換開關,讓數據交換區與不同網絡在任意時刻的不同時連接,形成空間間隔GAP,實現物理隔離。通道方式是在不同網絡之間改變通訊模式,中斷了內外網絡的直接連接,採用私密的通訊手段形成內外網的物理隔離。該單元中有一個數據交換區,作爲交換數據的中轉。其中,三個單元都要求其軟件的操作系統是安全的,也就是採用非通用的操作系統,或改造後的專用操作系統。一般爲Unix BSD 或Linux 的經安全精簡版本,或者其他是嵌入式操作系統等,但都要對底層不需要的協議、服務刪除,使用的協議優化改造,增加安全特性,同時提高效率。
如果針對網絡七層協議,安全隔離網閘是在硬件鏈路層上斷開。
區別比較
1、與物理隔離卡的區別
安全隔離網閘與物理隔離卡最主要的區別是,安全隔離網閘能夠實現兩個網絡間的自動的安全適度的信息交換,而物理隔離卡只能提供一臺計算機在兩個網之間切換,並且需要手動操作,大部分的隔離卡還要求系統重新啓動以便切換硬盤。
2、網絡交換信息的區別
安全隔離網閘在網絡間進行的安全適度的信息交換是在網絡之間不存在鏈路層連接的情況下進行的。安全隔離網閘直接處理網絡間的應用層數據,利用存儲轉發的方法進行應用數據的交換,在交換的同時,對應用數據進行的各種安全檢查。路由器、交換機則保持鏈路層暢通,在鏈路層之上進行 IP 包等網絡層數據的直接轉發,沒有考慮網絡安全和數據安全的問題。
3、與防火牆的區別
防火牆一般在進行 IP 包轉發的同時,通過對 IP 包的處理,實現對 TCP會話的控制,但是對應用數據的內容不進行檢查。這種工作方式無法防止泄密,也無法防止病毒和黑客程序的攻擊。
使用方式
1、 涉密網與非涉密網之間;
2、 局域網與互聯網之間;
3、 辦公網與業務網之間;
4、 業務網與互聯網之間。
/////////////////////////////////////////////////////////////////////////////////////////////////////////
六、流量監控設備
定義:網絡流量控制是一種利用軟件或硬件方式來實現對電腦網絡流量的控制。它的最主要方法,是引入 QoS的概念,從通過爲不同類型的網絡數據包標記,從而決定數據包通行的優先次序。
技術類型
流控技術分爲兩種:
一種是傳統的流控方式,通過路由器、交換機的 QoS模塊實現基於源地址、目的地址、源端口、目的端口以及協議類型的流量控制,屬於四層流控;路由交換設備可以通過修改路由轉發表,實現一定程度的流量控制,但這種傳統的 IP 包流量識別和 QoS控制技術,僅對 IP 包頭中的“五元組”信息進行分析,來確定當前流量的基本信息。傳統IP 路由器也正是通過這一系列信息來實現一定程度的流量識別和QoS保障,但其僅僅分析 IP 包的四層以下的內容,包括源地址、目的地址、源端口、目的端口以及協議類型。隨着網上應用類型的不斷豐富,僅通過第四層端口信息已經不能真正判斷流量中的應用類型,更不能應對基於開放端口、隨機端口甚至採用加密方式進行傳輸的應用類型。例如, P2P類應用會使用跳動端口技術及加密方式進行傳輸,基於交換路由設備進行流量控制的方法對此完全失效。
另一種是智能流控方式,通過專業的流控設備實現基於應用層的流控,屬於七層流控。
主要功能
1、全面透視網絡流量,快速發現與定位網絡故障;
2、保障關鍵應用的穩定運行,確保重要業務順暢地使用網絡;
3、限制與工作無關的流量,防止對帶寬的濫用;
4、管理員工上網行爲,提高員工網上辦公的效率;
5、依照法規要求記錄上網日誌,避免違法行爲;
6、保障內部信息安全,減少泄密風險;
7、保障服務器帶寬,保護服務器安全;
8、內置企業級路由器與防火牆,降低安全風險;
9、專業負載均衡,提升多線路的使用價值;
使用方式
1、網關模式 : 置於出口網關,所有數據流直接經由設備端口通過;
2、網橋模式:如同集線器的作用, 設備置於網關出口之後, 設置簡單、 透明;
3、旁路模式: 與交換機鏡像端口相連, 通過對網絡出口的交換機進行鏡像映射, 設備獲得鏈路中的數據 “拷貝”,主要用於監聽、 審計局域網中的數據流及用戶的網絡行爲。
////////////////////////////////////////////////////////////////////////////////////////////
七、防病毒網關(防毒牆)
定義:防病毒網關是一種網絡設備,用以保護網絡內(一般是局域網)進出數據的安全。主要體現在病毒殺除、關鍵字過濾、垃圾郵件阻止的功能,同時部分設備也具有一定防火牆(劃分Vlan )的功能。
主要功能
1、病毒殺除
2、關鍵字過濾
3、垃圾郵件阻止的功能
4、部分設備也具有一定防火牆能夠檢測進出網絡內部的數據,對http 、 ftp 、SMTP、IMAP和POP3五種協議的數據進行病毒掃描,一旦發現病毒就會採取相應的手段進行隔離或查殺,在防護病毒方面起到了非常大的作用。
與防火牆的區別
1、防病毒網關:專注病毒過濾,阻斷病毒傳輸,工作協議層爲ISO 2-7 層,分析數據包中的傳輸數據內容,運用病毒分析技術處理病毒體,具有防火牆訪問控制功能模塊
2、防火牆:專注訪問控制,控制非法授權訪問,工作協議層爲ISO 2-4 層,分析數據包中源 IP 目的 IP,對比規則控制訪問方向,不具有病毒過濾功能
與防病毒軟件的區別
1、防病毒網關:基於網絡層過濾病毒;阻斷病毒體網絡傳輸;網關阻斷病毒傳輸,主動防禦病毒於網絡之外;網關設備配置病毒過濾策略,方便、扼守咽喉;過濾出入網關的數據;與殺毒軟件聯動建立多層次反病毒體系。
2、防病毒軟件:基於操作系統病毒清除;清除進入操作系統病毒;病毒對系統核心技術濫用導致病毒清除困難,研究主動防禦技
術;主動防禦技術專業性強,普及困難;管理安裝殺毒軟件終端;病毒發展互聯網化需要網關級反病毒技術配合。
查殺方式
對進出防病毒網關數據監測:以特徵碼匹配技術爲主;對監測出病毒數據進行查殺:採取將數據包還原成文件的方式進行病毒處理。
1、基於代理服務器的方式
2、基於防火牆協議還原的方式
3、基於郵件服務器的方式
使用方式
1、透明模式:串聯接入網絡出口處,部署簡單
2、旁路代理模式:強制客戶端的流量經過防病毒網關,防病毒網關僅僅需要處理要檢測的相關協議,不需要處理其他協議的轉發,可以較好的提高設備性能。
3、旁路模式:與旁路代理模式部署的拓撲一樣,不同的是,旁路模式只能起到檢測作用,對於已檢測到的病毒無法做到清除。
///////////////////////////////////////////////////////////////////////////////////
八、WAF(Web應用防火牆)
定義:Web應用防火牆是通過執行一系列針對 HTTP/HTTPS的安全策略來專門爲 Web應用提供保護的一種設備。
產生背景:
當 WEB應用越來越爲豐富的同時, WEB 服務器以其強大的計算能力、處理性能及蘊含的較高價值逐漸成爲主要攻擊目標。 SQL注入、網頁篡改、網頁掛馬等安全事件,頻繁發生。
企業等用戶一般採用防火牆作爲安全保障體系的第一道防線。但是,在現實中,他們存在這樣那樣的問題,由此產生了 WAF(Web應用防護系統)。 Web應用防護系統用以解決諸如防火牆一類傳統設備束手無策的 Web應用安全問題。與傳統防火牆不同, WAF工作在應用層,因此對 Web應用防護具有先天的技術優勢。基於對 Web應用業務和邏輯的深刻理解, WAF對來自 Web應用程序客戶端的各類請求進行內容檢測和驗證,確保其安全性與合法性,對非法的請求予以實時阻斷,從而對各類網站站點進行有效防護。
主要功能
1、審計設備:用來截獲所以 HTTP數據或者僅僅滿足某些規則的會話;
2、訪問控制設備:用來控制對 Web應用的訪問,既包括主動安全模式也包括被動安全模式。
3、架構 / 網絡設計工具:當運行在反向代理模式,他們被用來分配職能,集中控制,虛擬基礎結構等。
4、WEB應用加固工具:這些功能增強被保護 Web應用的安全性,它不僅能夠屏蔽 WEB應用固有弱點,而且能夠保護 WEB應用編程錯誤導致的安全隱患。主要包括防攻擊、防漏洞、防暗鏈、防爬蟲、防掛馬、抗 DDos等。
使用方式
與 IPS 設備部署方式類似,可以串聯部署在 web服務器等關鍵設備的網絡出口處。
///////////////////////////////////////////////////////////////////////////////////////////
九、安全審計系統
定義:網絡安全審計系統針對互聯網行爲提供有效的行爲審計、內容審計、行爲報警、行爲控制及相關審計功能。從管理層面提供互聯網的有效監督,預防、制止數據泄密。滿足用戶對互聯網行爲審計備案及安全保護措施的要求,提供完整的上網記錄,便於信息追蹤、系統安全管理和風險防範。
主要類型
根據被審計的對象(主機、設備、網絡、數據庫、業務、終端、用戶)劃分,安全審計可以分爲:
1. 主機審計:審計針對主機的各種操作和行爲。
2. 設備審計:對網絡設備、安全設備等各種設備的操作和行爲進行審計網絡審計:對網絡中各種訪問、操作的審計,例如elnet 操作、 FTP操作,等等。
3. 數據庫審計:對數據庫行爲和操作、甚至操作的內容進行審計業務審計:對業務操作、行爲、內容的審計。
4. 終端審計:對終端設備( PC、打印機)等的操作和行爲進行審計,包括預配置審計。
5. 用戶行爲審計:對企業和組織的人進行審計,包括上網行爲審計、運維操作審計有的審計產品針對上述一種對象進行審計,還有的產品綜合上述多種審計對象。
主要功能
1、採集多種類型的日誌數據
能採集各種操作系統的日誌,防火牆系統日誌,入侵檢測系統日誌,網絡交換及路由設備的日誌,各種服務和應用系統日誌。
2、日誌管理
多種日誌格式的統一管理。自動將其收集到的各種日誌格式轉換爲統一的日誌格式,便於對各種複雜日誌信息的統一管理與處理。
3、日誌查詢
支持以多種方式查詢網絡中的日誌記錄信息,以報表的形式顯示。
4、入侵檢測
使用多種內置的相關性規則,對分佈在網絡中的設備產生的日誌及報警信息進行相關性分析,從而檢測出單個系統難以發現的安全事件。
5、自動生成安全分析報告
根據日誌數據庫記錄的日誌數據,分析網絡或系統的安全性,並輸出安全性分析報告。報告的輸出可以根據預先定義的條件自動地產生、提交給管理員。
6、網絡狀態實時監視
可以監視運行有代理的特定設備的狀態、網絡設備、日誌內容、網絡行爲等情況。
7、事件響應機制
當審計系統檢測到安全事件時候,可以採用相關的響應方式報警。
8、集中管理
審計系統通過提供一個統一的集中管理平臺,實現對日誌代理、安全審計中心、日誌數據庫的集中管理。
使用方式
安全審計產品在網絡中的部署方式主要爲旁路部署。