關(guān)于網(wǎng)絡(luò)安全設(shè)備總結(jié)

關(guān)于網(wǎng)絡(luò)安全設(shè)備總結(jié)

這里只是介紹一下這些網(wǎng)絡(luò)安全設(shè)備的定義，功能，以及它提供了哪些安全性功能，理論偏多。

路由器

路由器其實(shí)就是連接多個(gè)使用相同協(xié)議網(wǎng)絡(luò)的設(shè)備，它的作用主要在網(wǎng)絡(luò)層（OSI七層模型、TCP/IP四層模型）。
它可以確定網(wǎng)絡(luò)流量可以采取的最高有效路徑。用現(xiàn)實(shí)生活來比喻就是我們從家里到學(xué)校中選擇最快的那條路到達(dá)學(xué)校。
大部分的路由器不會(huì)轉(zhuǎn)發(fā)廣播流量，如果不懂網(wǎng)絡(luò)的話可以看看網(wǎng)絡(luò)的一些知識(shí)點(diǎn)。

安全相關(guān)：路由器中有個(gè)訪問控制列表，就是阻止或允許流量的規(guī)則列表。路由器可以通過訪問控制列表來過濾網(wǎng)絡(luò)流量并阻止不想要的流量。

交換機(jī)

交換機(jī)是一種具有多個(gè)網(wǎng)絡(luò)端口并將多個(gè)物理設(shè)備網(wǎng)段組合為一個(gè)邏輯網(wǎng)絡(luò)的設(shè)備。它的作用主要是在數(shù)據(jù)鏈路層。當(dāng)然也有一些交換機(jī)能在網(wǎng)絡(luò)層工作，如三層交換機(jī)，它能執(zhí)行路由的功能。

它的工作原理主要還是通過物理地址（MAC地址），向特定位置上的主機(jī)發(fā)送單獨(dú)的數(shù)據(jù)包。

安全相關(guān)：可以根據(jù)MAC地址限制對(duì)特定端口的訪問，可以實(shí)現(xiàn)防洪功能，保護(hù)不受DoS攻擊，可以實(shí)現(xiàn)環(huán)路預(yù)防（STP），關(guān)閉網(wǎng)絡(luò)環(huán)路。

代理

與連接的一端進(jìn)行通訊時(shí)，充當(dāng)網(wǎng)絡(luò)連接另一端的設(shè)備。就相當(dāng)于中間人，如果傳輸過來的流量有異常，可以在中間人這個(gè)地方攔截掉，相當(dāng)于替身防護(hù)。

安全相關(guān)：
可以用來過濾內(nèi)容，防止有惡意代碼在本機(jī)上執(zhí)行；
轉(zhuǎn)發(fā)代理可以在客戶端的流量離開內(nèi)部網(wǎng)絡(luò)之前對(duì)其進(jìn)行攔截；
代理可以修改流量或只是轉(zhuǎn)發(fā)流量；
反向代理可以攔截來自外部網(wǎng)絡(luò)的流量，專門用于保護(hù)目標(biāo)服務(wù)器不被破壞。

防火墻

防火墻通過阻止不必要的網(wǎng)絡(luò)流量來保護(hù)系統(tǒng)或網(wǎng)絡(luò)的設(shè)備。它的作用是確定需要阻止哪些流量的預(yù)定義規(guī)則集。防火墻可以分為軟件防火墻、硬件防火墻。硬件常見的廠商有華為、深信服、思科等；軟件最常見的就是windows的ISA。

安全相關(guān)：
防火墻的策略規(guī)則中，除非有明確的允許，否則所有流量都會(huì)被阻止，這叫做隱式拒絕。隱式拒絕在所有策略規(guī)則中是最后一條規(guī)則。

負(fù)載均衡器

是一種將工作負(fù)荷分配到網(wǎng)絡(luò)中多個(gè)設(shè)備之間的設(shè)備。有兩種方式分配方式，一種是輪詢調(diào)度：負(fù)載均衡器將流量依次轉(zhuǎn)發(fā)到列表上的每個(gè)服務(wù)器中，舉個(gè)例子：假如有A，B，C三臺(tái)服務(wù)器，當(dāng)流量A，B，C，D，E，F(xiàn)經(jīng)過負(fù)載均衡器時(shí)，負(fù)載均衡器將流量A，D發(fā)往A服務(wù)器，B，E流量發(fā)往B服務(wù)器，C，F(xiàn)流量發(fā)往C服務(wù)器中；另一種則是關(guān)聯(lián)：負(fù)載均衡器將流量轉(zhuǎn)發(fā)到已經(jīng)和客戶端建立連接的服務(wù)器，比如說A客戶端已經(jīng)和B服務(wù)器建立連接，當(dāng)A客戶端的流量經(jīng)過負(fù)載均衡器時(shí)，負(fù)載均衡器將流量轉(zhuǎn)發(fā)到B服務(wù)器中。

安全相關(guān)：
負(fù)載均衡器能在一定程度上免受DDoS的威脅。

IDS

IDS（入侵檢測(cè)系統(tǒng)），是一種可以掃描，評(píng)估和監(jiān)控計(jì)算機(jī)基礎(chǔ)設(shè)施，查找其中正在進(jìn)行的攻擊跡象的系統(tǒng)，IDS能分析數(shù)據(jù)并向安全管理員發(fā)送有關(guān)問題的警報(bào)。IDS的組成部分包括：硬件傳感器，入侵檢測(cè)軟件以及管理軟件。IDS也分為主機(jī)IDS和網(wǎng)絡(luò)IDS。

網(wǎng)絡(luò)IDS主要是使用被動(dòng)的硬件傳感器監(jiān)控網(wǎng)段中流量的一種IDS。通過嗅探流量并發(fā)送警報(bào)。可以用來檢測(cè)流氓系統(tǒng)，偵查行為，攻擊模式等。

IPS

IPS（入侵防御系統(tǒng)），它也可以執(zhí)行IDS的功能，但也能采取措施阻止威脅的一種系統(tǒng)。IDS的功能IPS都有。對(duì)于IPS的使用，最主要的還是要符合業(yè)務(wù)的需求，如果將規(guī)則設(shè)置太嚴(yán)，可能會(huì)使合法的行為被阻止；規(guī)則設(shè)置太寬，則可能會(huì)產(chǎn)生漏報(bào)的情況。所以管理良好且精心調(diào)整的IPS是可以成為防御入侵的有力工具。
IPS也分為主機(jī)IPS和網(wǎng)絡(luò)IPS，網(wǎng)絡(luò)IPS也叫做NIPS，可以監(jiān)控網(wǎng)絡(luò)上的可疑流量并作出反應(yīng)對(duì)其加以阻止。阻止的內(nèi)容包括丟棄不想要的數(shù)據(jù)包或重置連接。NIPS可以根據(jù)特定內(nèi)容規(guī)范流量。

網(wǎng)絡(luò)監(jiān)控系統(tǒng)的類型

IDS和IPS主要依靠以下幾種方法來甄別該流量是否是告警流量：

基于簽名：主要是針對(duì)已知病毒，通過已知特征來辨別是否為告警流量。

基于異常：是通過異常行為來判斷是否為告警流量，如本不該執(zhí)行遠(yuǎn)程連接的計(jì)算機(jī)卻執(zhí)行此操作，則視為異常行為；但此監(jiān)控系統(tǒng)需要預(yù)先配置可接受的事件的基線，如果沒有設(shè)置不能執(zhí)行遠(yuǎn)程，那么當(dāng)計(jì)算機(jī)執(zhí)行遠(yuǎn)程也不會(huì)產(chǎn)生告警信息。

基于行為：確定實(shí)體的表現(xiàn)方式，并將未來的行為方式與此進(jìn)行比較，檢測(cè)未來的行為方式是否偏離了常態(tài)，記錄了對(duì)被監(jiān)控實(shí)體做出應(yīng)對(duì)的預(yù)期模式。

啟發(fā)式（人工智能）：確定實(shí)體在特定環(huán)境中的行為方式，可能會(huì)推斷出實(shí)體是否會(huì)對(duì)環(huán)境構(gòu)成威脅。

SIEM

SIEM（安全信息和事件管理），是一種安全解決方案，對(duì)網(wǎng)絡(luò)硬件和應(yīng)用程序生成的安全警報(bào)提供實(shí)時(shí)或接近實(shí)時(shí)的分析。幫助管理員及時(shí)發(fā)現(xiàn)潛在的攻擊。

主要功能：

它可以為IDS/IPS提供更深入的了解，減少誤報(bào)，漏報(bào)等情況；

它通常會(huì)從所有類型的聯(lián)網(wǎng)系統(tǒng)日志中提取安全數(shù)據(jù)，用來匯總確保了所有相關(guān)日志都會(huì)被包含在內(nèi)以便提供一種整體視角。同時(shí)關(guān)聯(lián)確保了相關(guān)事件被放在合適的環(huán)境中。

其他功能：

自動(dòng)警報(bào)；

時(shí)間同步，所有類型的聯(lián)網(wǎng)服務(wù)器與SIEM時(shí)間同步；

刪除重復(fù)事件，減少安全員處理數(shù)據(jù)的困難度；

一次寫入多次讀取，保護(hù)SIEM的日志安全，防止黑客刪除。

DLP

DLP（數(shù)據(jù)丟失/泄露防御），一種軟件解決方案，可以檢測(cè)（尤其是由內(nèi)往外的檢測(cè)）和防止敏感信息被盜或以其他方式落入不法之徒手中。它主要通過監(jiān)控?cái)?shù)據(jù)，阻止未授權(quán)的破壞，移動(dòng)或復(fù)制。

例如：

網(wǎng)絡(luò)層面：檢測(cè)通過電子郵件發(fā)送的機(jī)密文件并阻止傳輸；

主機(jī)層面：可以完全阻止USB端口或阻止特定文件被寫入U(xiǎn)SB驅(qū)動(dòng)中，防止用戶將敏感數(shù)據(jù)復(fù)制到USB驅(qū)動(dòng)中并離開場(chǎng)地。

安全網(wǎng)關(guān)

安全網(wǎng)關(guān)是用來控制流量，確保入站和出站的網(wǎng)絡(luò)流量應(yīng)用控制措施。
郵件網(wǎng)關(guān)也是安全網(wǎng)關(guān)的一種，它內(nèi)置垃圾郵件過濾器，拒絕攜帶已知垃圾郵件內(nèi)容的入站電子郵件消息；可以結(jié)合DLP方案阻止數(shù)據(jù)泄露到網(wǎng)絡(luò)外部。當(dāng)數(shù)據(jù)離開網(wǎng)絡(luò)時(shí)，通過加密手段確保數(shù)據(jù)的機(jī)密性和完整性。

統(tǒng)一威脅管理

統(tǒng)一威脅管理（UTM），將各種安全技術(shù)集中到一臺(tái)設(shè)施中的系統(tǒng)。通常包括一個(gè)單獨(dú)的控制臺(tái)，從中可以進(jìn)行防御管理。主要是解決離散系統(tǒng)的成本和復(fù)雜性問題而創(chuàng)建的，在一定程度上簡(jiǎn)化安全流程并使得對(duì)防御的管理變得簡(jiǎn)便。
當(dāng)然也有缺點(diǎn)：容易形成單點(diǎn)故障；而且每增加一個(gè)功能模塊會(huì)增加負(fù)載。

審核編輯：黃飛

?