關于網絡安全設備的定義，功能

關于網絡安全設備總結

這里只是介紹一下這些網絡安全設備的定義，功能，以及它提供了哪些安全性功能，理論偏多。

路由器

路由器其實就是連接多個使用相同協(xié)議網絡的設備，它的作用主要在網絡層（OSI七層模型、TCP/IP四層模型）。
它可以確定網絡流量可以采取的最高有效路徑。用現實生活來比喻就是我們從家里到學校中選擇最快的那條路到達學校。
大部分的路由器不會轉發(fā)廣播流量，如果不懂網絡的話可以看看網絡的一些知識點。

安全相關：路由器中有個訪問控制列表，就是阻止或允許流量的規(guī)則列表。路由器可以通過訪問控制列表來過濾網絡流量并阻止不想要的流量。

交換機

交換機是一種具有多個網絡端口并將多個物理設備網段組合為一個邏輯網絡的設備。它的作用主要是在數據鏈路層。當然也有一些交換機能在網絡層工作，如三層交換機，它能執(zhí)行路由的功能。
它的工作原理主要還是通過物理地址（MAC地址），向特定位置上的主機發(fā)送單獨的數據包。

安全相關：可以根據MAC地址限制對特定端口的訪問，可以實現防洪功能，保護不受DoS攻擊，可以實現環(huán)路預防（STP），關閉網絡環(huán)路。

代理

與連接的一端進行通訊時，充當網絡連接另一端的設備。就相當于中間人，如果傳輸過來的流量有異常，可以在中間人這個地方攔截掉，相當于替身防護。

安全相關：
可以用來過濾內容，防止有惡意代碼在本機上執(zhí)行；
轉發(fā)代理可以在客戶端的流量離開內部網絡之前對其進行攔截；
代理可以修改流量或只是轉發(fā)流量；
反向代理可以攔截來自外部網絡的流量，專門用于保護目標服務器不被破壞。

防火墻

防火墻通過阻止不必要的網絡流量來保護系統(tǒng)或網絡的設備。它的作用是確定需要阻止哪些流量的預定義規(guī)則集。防火墻可以分為軟件防火墻、硬件防火墻。硬件常見的廠商有華為、深信服、思科等；軟件最常見的就是windows的ISA。

安全相關：
防火墻的策略規(guī)則中，除非有明確的允許，否則所有流量都會被阻止，這叫做隱式拒絕。隱式拒絕在所有策略規(guī)則中是最后一條規(guī)則。

負載均衡器

是一種將工作負荷分配到網絡中多個設備之間的設備。有兩種方式分配方式，一種是輪詢調度：負載均衡器將流量依次轉發(fā)到列表上的每個服務器中，舉個例子：假如有A，B，C三臺服務器，當流量A，B，C，D，E，F經過負載均衡器時，負載均衡器將流量A，D發(fā)往A服務器，B，E流量發(fā)往B服務器，C，F流量發(fā)往C服務器中；另一種則是關聯(lián)：負載均衡器將流量轉發(fā)到已經和客戶端建立連接的服務器，比如說A客戶端已經和B服務器建立連接，當A客戶端的流量經過負載均衡器時，負載均衡器將流量轉發(fā)到B服務器中。

安全相關：
負載均衡器能在一定程度上免受DDoS的威脅。

IDS

IDS（入侵檢測系統(tǒng)），是一種可以掃描，評估和監(jiān)控計算機基礎設施，查找其中正在進行的攻擊跡象的系統(tǒng)，IDS能分析數據并向安全管理員發(fā)送有關問題的警報。IDS的組成部分包括：硬件傳感器，入侵檢測軟件以及管理軟件。IDS也分為主機IDS和網絡IDS。
網絡IDS主要是使用被動的硬件傳感器監(jiān)控網段中流量的一種IDS。通過嗅探流量并發(fā)送警報?？梢杂脕頇z測流氓系統(tǒng)，偵查行為，攻擊模式等。

IPS

IPS（入侵防御系統(tǒng)），它也可以執(zhí)行IDS的功能，但也能采取措施阻止威脅的一種系統(tǒng)。IDS的功能IPS都有。對于IPS的使用，最主要的還是要符合業(yè)務的需求，如果將規(guī)則設置太嚴，可能會使合法的行為被阻止；規(guī)則設置太寬，則可能會產生漏報的情況。所以管理良好且精心調整的IPS是可以成為防御入侵的有力工具。

IPS也分為主機IPS和網絡IPS，網絡IPS也叫做NIPS，可以監(jiān)控網絡上的可疑流量并作出反應對其加以阻止。阻止的內容包括丟棄不想要的數據包或重置連接。NIPS可以根據特定內容規(guī)范流量。

網絡監(jiān)控系統(tǒng)的類型

IDS和IPS主要依靠以下幾種方法來甄別該流量是否是告警流量：

基于簽名：主要是針對已知病毒，通過已知特征來辨別是否為告警流量。

基于異常：是通過異常行為來判斷是否為告警流量，如本不該執(zhí)行遠程連接的計算機卻執(zhí)行此操作，則視為異常行為；但此監(jiān)控系統(tǒng)需要預先配置可接受的事件的基線，如果沒有設置不能執(zhí)行遠程，那么當計算機執(zhí)行遠程也不會產生告警信息。

基于行為：確定實體的表現方式，并將未來的行為方式與此進行比較，檢測未來的行為方式是否偏離了常態(tài)，記錄了對被監(jiān)控實體做出應對的預期模式。

啟發(fā)式（人工智能）：確定實體在特定環(huán)境中的行為方式，可能會推斷出實體是否會對環(huán)境構成威脅。

SIEM

SIEM（安全信息和事件管理），是一種安全解決方案，對網絡硬件和應用程序生成的安全警報提供實時或接近實時的分析。幫助管理員及時發(fā)現潛在的攻擊。
主要功能：

它可以為IDS/IPS提供更深入的了解，減少誤報，漏報等情況；

它通常會從所有類型的聯(lián)網系統(tǒng)日志中提取安全數據，用來匯總確保了所有相關日志都會被包含在內以便提供一種整體視角。同時關聯(lián)確保了相關事件被放在合適的環(huán)境中。

其他功能：

自動警報；

時間同步，所有類型的聯(lián)網服務器與SIEM時間同步；

刪除重復事件，減少安全員處理數據的困難度；

一次寫入多次讀取，保護SIEM的日志安全，防止黑客刪除。

DLP

DLP（數據丟失/泄露防御），一種軟件解決方案，可以檢測（尤其是由內往外的檢測）和防止敏感信息被盜或以其他方式落入不法之徒手中。它主要通過監(jiān)控數據，阻止未授權的破壞，移動或復制。

例如：

網絡層面：檢測通過電子郵件發(fā)送的機密文件并阻止傳輸；

主機層面：可以完全阻止USB端口或阻止特定文件被寫入USB驅動中，防止用戶將敏感數據復制到USB驅動中并離開場地。

安全網關

安全網關是用來控制流量，確保入站和出站的網絡流量應用控制措施。

郵件網關也是安全網關的一種，它內置垃圾郵件過濾器，拒絕攜帶已知垃圾郵件內容的入站電子郵件消息；可以結合DLP方案阻止數據泄露到網絡外部。當數據離開網絡時，通過加密手段確保數據的機密性和完整性。

統(tǒng)一威脅管理

統(tǒng)一威脅管理（UTM），將各種安全技術集中到一臺設施中的系統(tǒng)。通常包括一個單獨的控制臺，從中可以進行防御管理。主要是解決離散系統(tǒng)的成本和復雜性問題而創(chuàng)建的，在一定程度上簡化安全流程并使得對防御的管理變得簡便。
當然也有缺點：容易形成單點故障；而且每增加一個功能模塊會增加負載。

編輯：黃飛

?