【网络安全】常见的网路安全设备及功能作用总结

常见的网路安全设备及功能作用总结

WAF：Web应用防火墙 —应用层的攻击防护
IDS：入侵检测系统 —
IPS：入侵防御系统
SOC：安全运营中心
SIEM：信息安全事件管理
Vulnerability Scanner：漏洞扫描器
UTM：统一威胁管理
抗DDOS产品
FireWall：防火墙—上网行为管理软件，主机安全
VPN：虚拟专用网络
DBAudit：数据库审计

一、 WAF 应用防火墙

范围：应用层防护软件
作用：
通过特征提取和分块检索技术进行模式匹配来达到过滤，分析，校验网络请求包的目的，在保证正常网络应用功能的同时，隔绝或者阻断无效或者非法的攻击请求
可防：（源自应用程序的安全漏洞）
SQL注入漏洞，跨站脚本XSS，文件包含和安全配置错误等漏洞
特点：
区别与传统防火墙，可以防护特定的应用程序，传统防火墙只能在服务器之间作用
缺点：
1）特定的防护手段可以被绕过或者无效化，必须同攻击手段一起升级进步，否则将失去效用。
2）需要和入侵检测系统等安全设备联合使用，且防护程度和网络的性能成反相关。

二、IDS 入侵检测系统：

范围：网络层防护软件
作用：（识别攻击行为并且报警）
积极主动的防护措施，按照一定的安全策略，通过软件，硬件对网络，系统的运行进行实时的监控，尽可能地发现网络攻击行为，积极主动的处理攻击，保证网络资源的机密性，完整性和可用性。
特点：
1）是一个积极主动的监听设备。
2）无需有流量经过，可以实时镜像流量过去给它分析监控就好。
3）不影响网络的性能。
4）部署位置尽可能靠近攻击源或者受保护资源（服务器区域交换机，互联网接入路由后第一个交换机，重点保护源交换机）
缺点：
1）误报率高
2）没有主动防御能力，仅仅是监控或者少量的反制能力
3）不能解析加密的数据流

三、IPS 入侵防御系统（入侵检测+入侵防御）

范围：
作用：（实时监控网络行为，中断或者调整隔离网络非法行为，比IDS具有防御能力）
是计算机网络安全设施，是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。
必要性：
传统防火墙作用在2-4层，对4层以上的防护作用很小（4层以上需要拆数据包，而拆数据包会影响速率），病毒软件工作在5-7层，这样中间4-5层属于空挡，所以IPS是作为病毒软件和防火墙的补充，作用在4-5层
特点：
比IDS不仅可以防护还具有了反制，组织攻击的能力，防攻兼备
缺点：
IPS的防护方式一般以阻断受保护源和外界的联系为主，这样带来的一个弊端就是，网络资源被保护了，但是同时该网络资源的对外提供的服务也被阻断了或者削弱了，这就导致了一种敌我两伤的局面，而有些服务一旦停止，对运营者来说将是一笔不小的损失。

四、SOC 安全运营中心

作用：（不是一个防护产品，而是一个防护系统）
SOC，全称是Security Operations Center，是一个以IT资产为基础，以业务信息系统为核心，以客户体验为指引，从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台，使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化，最终实现业务信息系统的持续安全运营
特点：
既有产品又有服务，需要运营，流程以及人工的有机结合，是一个综合的技术支持平台。他将安全看成一个动态的过程（敌人的攻击手段在变，漏洞在更新，我方的防火手段，业务产品，人员调度等都在变动，没有一个系统可以一劳永逸的抵御所有攻击，只有“魔”，“道”维持一个相对的平衡才是安全）态势感知的根基就是安全运营中心
态势感知：
态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。

态势感知特点：（大数据成为态势感知的主要驱动力，足够的数据分析）
检测：提供网络安全持续监控能力，及时发现各种攻击威胁与异常，特别是针对性攻击。
分析、响应：建立威胁可视化及分析能力，对威胁的影响范围、攻击路径、目的、手段进行快速研判，目的是有效的安全决策和响应。
预测、预防：建立风险通报和威胁预警机制，全面掌握攻击者目的、技战术、攻击工具等信息。
防御：利用掌握的攻击者相关目的、技战术、攻击工具等情报，完善防御体系。

五、SIEM 信息安全和事件管理

SIEM=SEM+SIM
SEM（安全事件管理）
SIM（安全信息管理）
SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录
SIEM技术最早是从日志管理发展起来的。它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应，与安全信息管理(SIM)——收集、分析并报告日志数据，结合了起来。（从各种安全设备，主机日志等收集数据，然后分析这些数据）
SIEM目前被视为是SOC安全运营中心的基础（大数据—SIEM审计分析—驱动安全运营中心）
缺点：
对数据的检测并非完全准确，存在大量的误报，需要高质量的大量数据支持

六、Vulnerability Scanner漏洞扫描器

作用：
检查计算机或者网络上可能存在的漏洞点，脆弱点等。它是一类自动检测本地或远程主机安全弱点的程序，能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。
原理：
根据漏洞库，发送数据包检测目标是否具有漏洞库中的漏洞，通过对方的反馈来判断漏洞，系统，端口和服务等等
意义：
提前发现漏洞，预先修复，减少漏洞造成的损失
分类：
端口扫描器（Port scanner ）
例如Nmap
网络漏洞扫描器(Network vulnerability scanner )
例如Nessus, Qualys, SAINT, OpenVAS, INFRA Security Scanner, Nexpose
Web应用安全扫描器（Web application security scanner）
例如Nikto, Qualys, Sucuri, High-Tech Bridge, Burp Suite, OWASP ZAP, w3af。
数据库安全扫描器（atabase security scanner）
基于主机的漏洞扫描器（Host based vulnerability scanner ）
例如Lynis
ERP安全扫描器（ERP security scanner）
单一漏洞测试（Single vulnerability tests）

七、UTM 统一威胁管理

定义：
统一威胁管理（UTM，Unified Threat Management），顾名思义，就是在单个硬件或软件上，提供多种安全功能。这跟传统的安全设备不同，传统的安全设备一般只解决一种问题。
包含的功能：（待完善）
1）网络防火墙（Network Firewall）
2）入侵检测（Intrusion Detection）
3）入侵预防（Intrusion Prevention）
优势：
1）统一的威胁管理，可以集中做安全防护，不需要拥有很多单一的安全设备，不需要每种设备都去考虑
2）大大简化了安装，配置和维护的成本
3）节省了网络资源的同时也节省了人力物力财力时间
缺点：
1）单点故障问题：UTM设备一旦失效，整个网络或者系统的防护清零
2）违背了纵深防御原则，对外防御有奇效，但是对内没有太大用武之地

八、DDOS防护

DOS拒绝服务攻击
DDOS分布式拒绝服务攻击：消耗带宽，消耗资源
通过大量的合法请求消耗或者占用目标的网络资源，使之不能正常工作或者瘫痪
防护手段：
1）入侵检测
2）流量过滤
3）多重验证
常见：
1）扩大带宽
2）流量清洗或者封ip
CDN：
CDN的全称是Content Delivery Network，即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。

九、FireWall 防火墙

作用：
防火墙是位于两个(或多个)网络间，实行网络间访问或控制的一组组件集合之硬件或软件。隔离网络，制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。
类型：
1）网络层(数据包过滤型)防火墙
2）应用层防火墙
3）代理服务防火墙
局限性：
防火墙是根据合法网址和服务端口过滤数据包的，但是对合法的但是具有破坏性的数据包没有防护效能。防火墙必须部署在流量的必经之路上，防火墙的效能会影响网络的效能。

十、VPN 虚拟专用网络

是一种常用于连接中、大型企业或团体与团体间的私人网络的通讯方法。（使不安全的网络可以发送安全的消息，采用加密的虚拟通道协议工作，加密方式可控可协商）
采用加密手段实现消息的安全传输

十一、上网行为管理

上网行为管理，就是通过软件或硬件，控制用户访问网络的权限。功能包括行为管理、应用控制、流量管控、信息管控、非法热点管控、行为分析、无线网络管理等。

十二、云安全技术/主机安全

云安全：
“云安全（Cloud Security）”技术是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务器端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。
主机安全：
主机安全（Cloud Workload Protection，CWP）基于海量威胁数据，利用机器学习为用户提供黑客入侵检测和漏洞风险预警等安全防护服务，主要包括密码破解拦截、异常登录提醒、木马文件查杀、高危漏洞检测等安全功能，解决当前服务器面临的主要网络安全风险，帮助企业构建服务器安全防护体系，防止数据泄露。

十三、 DBAudit 数据库审计

数据库审计服务，是为了保证单位或者个人核心数据的安全，可针对数据库SQL注入、风险操作等数据库风险操作行为进行记录与告警。
功能：
1）用户行为发现审计
2）多维度线索分析
3）异常操作、SQL注入、黑白名单实时告警
4）针对各种异常行为的精细化报表

参考

网络安全设备概念的熟悉和学习.

by 久违 2020.10.20 凌晨1.49
整理下来方便以后查阅，后期有时间会进一步完善，设想各个现阶段防护设备都能和SDN结合一下，后面会整理这方面的论文。