目录
现代云服务实施以后,大部分用户转向谷歌、阿里、华为等云服务集成商,应用服务已经很少涉及基础硬件设备相关方面的内容,然而信息安全也因不断丰富的网络应用被提到了一个前所未有的高度,本文粗略回顾信息安全中的防火墙、入侵检测、入侵防御、扫描、流量监控、网页防篡改、安全审计等设备方面的知识,在一些自行建设的信息系统中,应该还有些用处。
一、防火墙
定义:防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
主要功能:过滤进、出网络的数据;防止不安全的协议和服务;管理进、出网络的访问行为;记录通过防火墙的信息内容;对网络攻击进行检测与警告;防止外部对内部网络信息的获取;提供与外部连接的集中管理。
主要类型:
1、网络层防火墙
一般是基于源地址和目的地址、应用、协议以及每个IP 包的端口来作出通过与否的判断。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合,防火墙就会使用默认规则,一般情况下,默认规则就是要求防火墙丢弃该包,其次,通过定义基于TCP或 UDP数据包的端口号,防火墙能够判断是否允许建立特定的连接,如Telnet 、FTP连接。
2、应用层防火墙
针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。
主动被动 :
传统防火墙是主动安全的概念;因为默认情况下是关闭所有的访问,然后再通过定制策略去开放允许开放的访问。
下一代防火墙:
下一代防火墙在一台设备里面集成了传统防火墙、IPS、应用识别、内容过滤等功能既降低了整体网络安全系统的采购投入,又减去了多台设备接入网络带来的部署成本,还通过应用识别和用户管理等技术降低了管理人员的维护和管理成本。
使用方式
防火墙部署于单位或企业内部网络的出口位置。
局限性
1、 不能防止源于内部的攻击,不提供对内部的保护
2、 不能防病毒
3、 不能根据网络被恶意使用和攻击的情况动态调整自己的策略
4、 本身的防攻击能力不够,容易成为被攻击的首要目标
/
二、IDS(入侵检测系统)
定义:入侵检测即通过从网络系统中的若干关键节点收集并分析信息,监控网络中是否有违反安全策略的行为或者是否存在入侵行为。入侵检测系统通常包含 3 个必要的功能组件:信息来源、分析引擎和响应组件。
工作原理
1、信息收集
信息收集包括收集系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自:系统和网络日志文件、非正常的目录和文件改变、非正常的程序执行这三个方面。
2、信号分析
对收集到的有关系统、网络、数据及用户活动的状态和行为等信息,是通过模式匹配、统计分析和完整性分析这三种手段进行分析的。前两种用于实时入侵检测,完整性分析用于事后分析。
3、告警与响应
根据入侵性质和类型,做出相应的告警与响应。
主要功能
它能够提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,在网络安全技术中起到了不可替代的作用。
1、实时监测:实时地监视、分析网络中所有的数据报文,发现并实时处理所捕获的数据报文;
2、安全审计:对系统记录的网络事件进行统计分析,发现异常现象,得出系统的安全状态,找出所需要的证据;
3、主动响应:主动切断连接或与防火墙联动,调用其他程序处理。
主要类型
1、基于主机的入侵检测系统 (HIDS) :基于主机的入侵检测系统是早期的入侵检测系统结构,通常是软件型的,直接安装在需要保护的主机上。其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件。这种检测方式的优点主要有:信息更详细、误报率要低、部署灵活。这种方式的缺点主要有:会降低应用系统的性能;依赖于服务器原有的日志与监视能力;代价较大;不能对网络进行监测;需安装多个针对不同系统的检测系统。
2、基于网络的入侵检测系统 (NIDS) :基于网络的入侵检测方式,是目前一种比较主流的监测方式,这类检测系统需要有一台专门的检测设备。检测设备放置在比较重要的网段内,不停地监视网段中的各种数据包,而不再是只监测单一主机。它对所监测的网络上每一个数据包或可疑的数据包进行特征分析,如果数据包与产品内置的某些规则吻合,入侵检测系统就会发出警报,甚至直接切断网络连接。目前,大部分入侵检测产品是基于网络的。这种检测技术的优点主要有:能够检测那些来自网络的攻击和超过授权的非法访问;不需要改变服务器等主机的配置,也不会影响主机性能;风险低;配置简单。其缺点主要是:成本高、检测范围受局限;大量计算,影响系统性能;大量分析数据流,影响系统性能;对加密的会话过程处理较难;网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的封包;对于直接对主机的入侵无法检测出。
主动被动
入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。绝大多数
系统都是被动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。
使用方式
作为防火墙后的第二道防线,适于以旁路接入方式部署在具有重要业务系统或内部网络安全性、保密性较高的网络出口处。
局限性
1、误报率高:主要表现为把良性流量误认为恶性流量进行误报。还有些 IDS 产品会对用户不关心事件的进行误报。
2、产品适应能力差:传统的 IDS 产品在开发时没有考虑特定网络环境下的需求,适应能力差。入侵检测产品要能适应当前网络技术和设备的发展进行动态调整,以适应不同环境的需求。
3、大型网络管理能力差:首先,要确保新的产品体系结构能够支持数以百计的 IDS 传感器;其次,要能够处理传感器产生的告警事件;最后还要解决攻击特征库的建立,配置以及更新问题。
4、缺少防御功能:大多数 IDS 产品缺乏主动防御功能。
5、处理性能差:目前的百兆、千兆 IDS 产品性能指标与实际要求还存在很大的差距。
//
三 IPS(入侵防御系统)
定义:入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
产生背景
1、串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。
2、旁路部署的 IDS 可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。
3、IDS 和防火墙联动:通过 IDS 来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如 SQL注入、溢出攻击等),使得 IDS与防火墙联动在实际应用中的效果不显著。入侵检测系统( IDS)对那些异常的、可能是入侵行为的数据进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法,是一种侧重于风险管理的安全产品。入侵防御系统( IPS)对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,降低或是减免使用者对异常状况的处理资源开销,是一种侧重于风险控制的安全产品。
IDS 和 IPS 的关系,并非取代和互斥,而是相互协作:没有部署 IDS的时候,只能是凭感觉判断,应该在什么地方部署什么样的安全产品,通过 IDS 的广泛部署,了解了网络的当前实时状况,据此状况可进一步判断应该在何处部署何类安全产品( IPS 等)。
功能
1、入侵防护:实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、 Dos等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。
2、Web安全:基于互联网 Web站点的挂马检测结果,结合 URL信誉评价技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截 Web威胁。
3、流量控制:阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业 IT 产出率和收益率。
4、上网监管:全面监测和管理 IM 即时通讯、 P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。
技术特征
嵌入式运行:只有以嵌入模式运行的 IPS 设备才能够实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截。
深入分析和控制: IPS 必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截。
入侵特征库:高质量的入侵特征库是IPS 高效运行的必要条件,IPS 还应该定期升级入侵特征库,并快速应用到所有传感器。
高效处理能力: IPS 必须具有高效处理数据包的能力,对整个网络性能的影响保持在最低水平。
1、基于特征的 IPS
这是许多 IPS 解决方案中最常用的方法。把特征添加到设备中,可识别当前最常见的攻击。也被称为模式匹配IPS。特征库可以添加、调整和更新,以应对新的攻击。
2. 基于异常的 IPS
也被称为基于行规的 IPS。基于异常的方法可以用统计异常检测和非统计异常检测。
3、基于策略的 IPS
它更关心的是是否执行组织的安保策略。如果检测的活动违反了组织的安保策略就触发报警。使用这种方法的IPS,要把安全策略写入设备之中。
4. 基于协议分析的 IPS
它与基于特征的方法类似。大多数情况检查常见的特征,但基于协议分析的方法可以做更深入的数据包检查,能更灵活地发现某些类型的攻击。
主动被动
IPS 倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。
使用方式
串联部署在具有重要业务系统或内部网络安全性、保密性较高的网络出口处。
四、漏洞扫描设备
定义:漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。
主要功能
可以对网站、系统、数据库、端口、应用软件等一些网络设备应用进行智能识别扫描检测,并对其检测出的漏洞进行报警提示管理人员进行修复。同时可以对漏洞修复情况进行监督并自动定时对漏洞进行审计提高漏洞修复效率。
1、定期的网络安全自我检测、评估安全检测可帮助客户最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,有效的利用已有系统,提高网络的运行效率。
2、安装新软件、启动新服务后的检查由于漏洞和安全隐患的形式多种多样,安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来,因此进行这些操作之后应该重新扫描系统,才能使安全得到保障。
3 、网络承担重要任务前的安全性测
4、网络安全事故后的分析调查
网络安全事故后可以通过网络漏洞扫描网络评估系统分析确定网络被攻击的漏洞所在,帮助弥补漏洞,尽可能多得提供资料方便调查攻击的来源。
5、重大网络安全事件前的准备
重大网络安全事件前网络漏洞扫描 / 网络评估系统能够帮助用户及时的找出网络中存在的隐患和漏洞,帮助用户及时的弥补漏洞。
主要技术
1. 主机扫描:
确定在目标网络上的主机是否在线。
2. 端口扫描:
发现远程主机开放的端口以及服务。
3. OS 识别技术 :
根据信息和协议栈判别操作系统。
4. 漏洞检测数据采集技术:
按照网络、系统、数据库进行扫描。
5. 智能端口识别、多重服务检测、安全优化扫描、系统渗透扫描
6. 多种数据库自动化检查技术,数据库实例发现技术;
主要类型
1. 针对网络的扫描器:基于网络的扫描器就是通过网络来扫描远程计算机中的漏洞。价格相对来说比较便宜;在操作过程中,不需要涉及到目标系统的管理员,在检测过程中不需要在目标系统上安装任何东西;维护简便。
2. 针对主机的扫描器:基于主机的扫描器则是在目标系统上安装了一个代理或者是服务,以便能够访问所有的文件与进程,这也使得基于主机的扫描器能够扫描到更多的漏洞。
3. 针对数据库的扫描器:数据库漏扫可以检测出数据库的洞、缺省配置、权限提升漏洞、缓冲区溢出、补丁未升级等自身漏洞。
使用方式
1、独立式部署:
在网络中只部署一台漏扫设备,接入网络并进行正确的配置即可正常使用,其工作范围通常包含用户企业的整个网络地址。用户可以从任意地址登录漏扫系统并下达扫描评估任务,检查任务的地址必须在产品和分配给此用户的授权范围内。
2、多级式部署:
对于一些大规模和分布式网络用户,建议使用分布式部署方式。在大型网络中采用多台漏扫系统共同工作,可对各系统间的数据共享并汇总,方便用户对分布式网络进行集中管理。
优缺点
1、 优点
有利于及早发现问题,并从根本上解决安全隐患。
2、 不足
只能针对已知安全问题进行扫描;准确性和指导性有待改善。
五、安全隔离网闸
定义:安全隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立网络系统的信息安全设备。由于物理隔离网闸所连接的两个独立网络系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
功能模块
安全隔离闸门的功能模块有:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证。
主要功能
1、阻断网络的直接物理连接:物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接,而不能同时与两个网络连接;
2、阻断网络的逻辑连接:物理隔离网闸不依赖操作系统、不支持 TCP/IP 协议。两个网络之间的信息交换必须将TCP/IP 协议剥离,将原始数据通过 P2P的非 TCP/IP 连接方式,通过存储介质的“写入”与“读出”完成数据转发;
3、安全审查:物理隔离网闸具有安全审查功能,即网络在将原始数据“写入”物理隔离网闸前,根据需要对原始数据的安全性进行检查,把可能的病毒代码、恶意攻击代码消灭干净等;
4、原始数据无危害性:物理隔离网闸转发的原始数据,不具有攻击或对网络安全有害的特性。就像txt 文本不会有病毒一样,也不会执行命令等。
5、管理和控制功能:建立完善的日志系统。
6、根据需要建立数据特征库:在应用初始化阶段,结合应用要求,提取应用数据的特征,形成用户特有的数据特征库,作为运行过程中数据校验的基础。当用户请求时,提取用户的应用数据,抽取数据特征和原始数据特征库比较,符合原始特征库的数据请求进入请求队列,不符合的返回用户,实现对数据的过滤。
7、根据需要提供定制安全策略和传输策略的功能:用户可以自行设定数据的传输策略,如:传输单位(基于数据还是基于任务)、传输间隔、传输方向、传输时间、启动时间等。
8、支持定时 / 实时文件交换;支持支持单向 / 双向文件交换;支持数字签名、内容过滤、病毒检查等功能。
工作原理
安全隔离网闸的组成:
安全隔离网闸是实现两个相互业务隔离的网络之间的数据交换,通用的网闸模型设计一般分三个基本部分:
1、 内部网络处理单元:包括内部网络接口单元与内部网络数据缓冲区。接口部分负责与内部网络的连接,并终止内部网络用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内部网络对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。
2、 外部网络处理单元:与内部网络处理单元功能相同,但处理的是外部网络连接。3、 隔离与交换控制单元(隔离硬件):是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。控制单元中包含一个数据交换区,就是数据交换中的摆渡船。对交换通道的控制的方式目前有两种技术,摆渡开关与通道控制。摆渡开关是电子倒换开关,让数据交换区与不同网络在任意时刻的不同时连接,形成空间间隔GAP,实现物理隔离。通道方式是在不同网络之间改变通讯模式,中断了内外网络的直接连接,采用私密的通讯手段形成内外网的物理隔离。该单元中有一个数据交换区,作为交换数据的中转。其中,三个单元都要求其软件的操作系统是安全的,也就是采用非通用的操作系统,或改造后的专用操作系统。一般为Unix BSD 或Linux 的经安全精简版本,或者其他是嵌入式操作系统等,但都要对底层不需要的协议、服务删除,使用的协议优化改造,增加安全特性,同时提高效率。
如果针对网络七层协议,安全隔离网闸是在硬件链路层上断开。
区别比较
1、与物理隔离卡的区别
安全隔离网闸与物理隔离卡最主要的区别是,安全隔离网闸能够实现两个网络间的自动的安全适度的信息交换,而物理隔离卡只能提供一台计算机在两个网之间切换,并且需要手动操作,大部分的隔离卡还要求系统重新启动以便切换硬盘。
2、网络交换信息的区别
安全隔离网闸在网络间进行的安全适度的信息交换是在网络之间不存在链路层连接的情况下进行的。安全隔离网闸直接处理网络间的应用层数据,利用存储转发的方法进行应用数据的交换,在交换的同时,对应用数据进行的各种安全检查。路由器、交换机则保持链路层畅通,在链路层之上进行 IP 包等网络层数据的直接转发,没有考虑网络安全和数据安全的问题。
3、与防火墙的区别
防火墙一般在进行 IP 包转发的同时,通过对 IP 包的处理,实现对 TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。
使用方式
1、 涉密网与非涉密网之间;
2、 局域网与互联网之间;
3、 办公网与业务网之间;
4、 业务网与互联网之间。
/
六、流量监控设备
定义:网络流量控制是一种利用软件或硬件方式来实现对电脑网络流量的控制。它的最主要方法,是引入 QoS的概念,从通过为不同类型的网络数据包标记,从而决定数据包通行的优先次序。
技术类型
流控技术分为两种:
一种是传统的流控方式,通过路由器、交换机的 QoS模块实现基于源地址、目的地址、源端口、目的端口以及协议类型的流量控制,属于四层流控;路由交换设备可以通过修改路由转发表,实现一定程度的流量控制,但这种传统的 IP 包流量识别和 QoS控制技术,仅对 IP 包头中的“五元组”信息进行分析,来确定当前流量的基本信息。传统IP 路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障,但其仅仅分析 IP 包的四层以下的内容,包括源地址、目的地址、源端口、目的端口以及协议类型。随着网上应用类型的不断丰富,仅通过第四层端口信息已经不能真正判断流量中的应用类型,更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。例如, P2P类应用会使用跳动端口技术及加密方式进行传输,基于交换路由设备进行流量控制的方法对此完全失效。
另一种是智能流控方式,通过专业的流控设备实现基于应用层的流控,属于七层流控。
主要功能
1、全面透视网络流量,快速发现与定位网络故障;
2、保障关键应用的稳定运行,确保重要业务顺畅地使用网络;
3、限制与工作无关的流量,防止对带宽的滥用;
4、管理员工上网行为,提高员工网上办公的效率;
5、依照法规要求记录上网日志,避免违法行为;
6、保障内部信息安全,减少泄密风险;
7、保障服务器带宽,保护服务器安全;
8、内置企业级路由器与防火墙,降低安全风险;
9、专业负载均衡,提升多线路的使用价值;
使用方式
1、网关模式 : 置于出口网关,所有数据流直接经由设备端口通过;
2、网桥模式:如同集线器的作用, 设备置于网关出口之后, 设置简单、 透明;
3、旁路模式: 与交换机镜像端口相连, 通过对网络出口的交换机进行镜像映射, 设备获得链路中的数据 “拷贝”,主要用于监听、 审计局域网中的数据流及用户的网络行为。
七、防病毒网关(防毒墙)
定义:防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤、垃圾邮件阻止的功能,同时部分设备也具有一定防火墙(划分Vlan )的功能。
主要功能
1、病毒杀除
2、关键字过滤
3、垃圾邮件阻止的功能
4、部分设备也具有一定防火墙能够检测进出网络内部的数据,对http 、 ftp 、SMTP、IMAP和POP3五种协议的数据进行病毒扫描,一旦发现病毒就会采取相应的手段进行隔离或查杀,在防护病毒方面起到了非常大的作用。
与防火墙的区别
1、防病毒网关:专注病毒过滤,阻断病毒传输,工作协议层为ISO 2-7 层,分析数据包中的传输数据内容,运用病毒分析技术处理病毒体,具有防火墙访问控制功能模块
2、防火墙:专注访问控制,控制非法授权访问,工作协议层为ISO 2-4 层,分析数据包中源 IP 目的 IP,对比规则控制访问方向,不具有病毒过滤功能
与防病毒软件的区别
1、防病毒网关:基于网络层过滤病毒;阻断病毒体网络传输;网关阻断病毒传输,主动防御病毒于网络之外;网关设备配置病毒过滤策略,方便、扼守咽喉;过滤出入网关的数据;与杀毒软件联动建立多层次反病毒体系。
2、防病毒软件:基于操作系统病毒清除;清除进入操作系统病毒;病毒对系统核心技术滥用导致病毒清除困难,研究主动防御技
术;主动防御技术专业性强,普及困难;管理安装杀毒软件终端;病毒发展互联网化需要网关级反病毒技术配合。
查杀方式
对进出防病毒网关数据监测:以特征码匹配技术为主;对监测出病毒数据进行查杀:采取将数据包还原成文件的方式进行病毒处理。
1、基于代理服务器的方式
2、基于防火墙协议还原的方式
3、基于邮件服务器的方式
使用方式
1、透明模式:串联接入网络出口处,部署简单
2、旁路代理模式:强制客户端的流量经过防病毒网关,防病毒网关仅仅需要处理要检测的相关协议,不需要处理其他协议的转发,可以较好的提高设备性能。
3、旁路模式:与旁路代理模式部署的拓扑一样,不同的是,旁路模式只能起到检测作用,对于已检测到的病毒无法做到清除。
///
八、WAF(Web应用防火墙)
定义:Web应用防火墙是通过执行一系列针对 HTTP/HTTPS的安全策略来专门为 Web应用提供保护的一种设备。
产生背景:
当 WEB应用越来越为丰富的同时, WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。 SQL注入、网页篡改、网页挂马等安全事件,频繁发生。
企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是,在现实中,他们存在这样那样的问题,由此产生了 WAF(Web应用防护系统)。 Web应用防护系统用以解决诸如防火墙一类传统设备束手无策的 Web应用安全问题。与传统防火墙不同, WAF工作在应用层,因此对 Web应用防护具有先天的技术优势。基于对 Web应用业务和逻辑的深刻理解, WAF对来自 Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
主要功能
1、审计设备:用来截获所以 HTTP数据或者仅仅满足某些规则的会话;
2、访问控制设备:用来控制对 Web应用的访问,既包括主动安全模式也包括被动安全模式。
3、架构 / 网络设计工具:当运行在反向代理模式,他们被用来分配职能,集中控制,虚拟基础结构等。
4、WEB应用加固工具:这些功能增强被保护 Web应用的安全性,它不仅能够屏蔽 WEB应用固有弱点,而且能够保护 WEB应用编程错误导致的安全隐患。主要包括防攻击、防漏洞、防暗链、防爬虫、防挂马、抗 DDos等。
使用方式
与 IPS 设备部署方式类似,可以串联部署在 web服务器等关键设备的网络出口处。
///
九、安全审计系统
定义:网络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督,预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。
主要类型
根据被审计的对象(主机、设备、网络、数据库、业务、终端、用户)划分,安全审计可以分为:
1. 主机审计:审计针对主机的各种操作和行为。
2. 设备审计:对网络设备、安全设备等各种设备的操作和行为进行审计网络审计:对网络中各种访问、操作的审计,例如elnet 操作、 FTP操作,等等。
3. 数据库审计:对数据库行为和操作、甚至操作的内容进行审计业务审计:对业务操作、行为、内容的审计。
4. 终端审计:对终端设备( PC、打印机)等的操作和行为进行审计,包括预配置审计。
5. 用户行为审计:对企业和组织的人进行审计,包括上网行为审计、运维操作审计有的审计产品针对上述一种对象进行审计,还有的产品综合上述多种审计对象。
主要功能
1、采集多种类型的日志数据
能采集各种操作系统的日志,防火墙系统日志,入侵检测系统日志,网络交换及路由设备的日志,各种服务和应用系统日志。
2、日志管理
多种日志格式的统一管理。自动将其收集到的各种日志格式转换为统一的日志格式,便于对各种复杂日志信息的统一管理与处理。
3、日志查询
支持以多种方式查询网络中的日志记录信息,以报表的形式显示。
4、入侵检测
使用多种内置的相关性规则,对分布在网络中的设备产生的日志及报警信息进行相关性分析,从而检测出单个系统难以发现的安全事件。
5、自动生成安全分析报告
根据日志数据库记录的日志数据,分析网络或系统的安全性,并输出安全性分析报告。报告的输出可以根据预先定义的条件自动地产生、提交给管理员。
6、网络状态实时监视
可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。
7、事件响应机制
当审计系统检测到安全事件时候,可以采用相关的响应方式报警。
8、集中管理
审计系统通过提供一个统一的集中管理平台,实现对日志代理、安全审计中心、日志数据库的集中管理。
使用方式
安全审计产品在网络中的部署方式主要为旁路部署。