前言碎碎念:最近一直忙于自己的工作,也没有太多的时间投入到游戏开发制作的学习,伴随着学习,感觉学的越多忘的越快,于是决定还是记录下来,一方面算是一个个人记录,另一方面就是提出一些问题和大家一起讨论
PS:我个人是已经完成了防火墙,IDS,IPS这三个安全防护产品的学习,大概是不会写了,如果后面有兴趣或者整理的时候可能会再翻出来
目录
一、统一威胁管理(UTM)
网络攻击从简单的网络层数据攻击逐渐升级到多层次的混合攻击,多种的威胁手段和方法也大大加大了危害的严重性。传统的安全防护产品如:状态检测防火墙、IDS、基于主机的防病毒软件,面对新一代的安全威胁作用正变得越来越小,为了有效防御目前的混合型威胁,就需要求助于新型安全设备。
UTM是由硬件、软件和网络技术组成的具有专门用途的设备,提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台,UTM更重视对设备和对威胁的管理,致力于将各种各样的网络安全威胁消弥于无形,它对于终端消费者来说是透明的。
1、UTM包括的基本功能和特征
UTM包括的基本功能:网络防火墙、网络入侵检测/防御和网关防病毒。按照用户的需求,可能还会提供一项或多项的其他安全功能。
UTM的特征有以下几点:
a)深度检测:使用深度检测(基于深度数据包检测DPI)这让他对比基于状态数据包的检测具有更深的检测深度,能应对更多的威胁;
b)个体差异:按照用户需求,部署后不同的UTM通常是不同的;
c)动态更新:UTM是一个动态的可以连续更新的安全设备;
d)高度集成;
e)网络全协议层防御:UTM可以实现针对七层网络模型的七层协议保护;
f)高检测技术来降低误报(误报:正常的数据流被标识为异常);
g)有高可靠高性能的硬件平台支撑;
h)一体化的统一管理。
2、UTM使用的典型技术和优缺点
UTM使用的典型技术包括以下几点:
完全性内容保护(CCP):针对网络模型所有层次上的网络威胁的实时保护;
ASIC加速技术:利用ASIC芯片提供千兆级实时的应用层安全服务的平台;
定制的操作系统(OS);
紧密型模式识别语言(CPRL):针对完全的内容防护中大量计算程式所需求的加速而设计的;
动态威胁管理检测技术(DTPS):将各种安全模块无缝集成在一起,以提高检测精确度。
使用UTM的优点在于,可以防御混合型攻击、降低了复杂性、避免了软件安装工作和服务器的增加、减少了维护量、可以和高端软件解决方案协同工作、避免误操作风险、更容易排错、应用的灵活性、集中的安全日志管理、整合带来成本降低。
但同样也存在一些问题:UTM整合了多个部件,同时需要完成全方面的防护,对于硬件设备的性能是一大考验、系统的稳定性不足、UTM整合了大量安全产品,但其容易成为系统的单点故障点(一旦UTM瘫痪会导致整个系统的所有安全防护设置失效)、UTM的每个部分的功能往往不是同类软件中最好的。
二、网闸(GAP)
面对新型网络攻击手段,出现了新的安全防护理念和新的网络安全技术——“网络隔离技术”,目的是把有害的攻击隔离。主要是把两个或两个以上可路由(TCP/IP)的网络,通过不可路由的协议(IPX/SPX、NetBEUI等)进行数据交换。网络隔离的概念来源于人工烤盘、人力网和轮渡。其中网闸的概念主要源于轮渡,实现了在两网络、两台主机断开的情况下,进行数据交换。
1、网络隔离技术
互联网是基于TCP/IP实现的,所有的攻击手段都可以归纳为对OSI数据通信模型的某一层的攻击,所以直接的想法就是断开TCP/IP的OSI数据模型的所有层,就可以消除攻击,这就是网络隔离的技术原理。
网络隔离技术的发展:
第一代隔离技术——完全的隔离:需要两套网络和系统,维护和使用不便。
第二代隔离技术——硬件卡隔离:在客户端使用硬件卡,其他存储设备连接到该卡再转接到主板,通过该卡来控制其他存储设备,但该产品存在较大的安全隐患。
第三代隔离技术——数据转播隔离:利用转播系统分时复制文件的方法实现隔离,但是切换时间久,减缓访问速度,更不支持常见网络应用。
第四代隔离技术——空气开关隔离:使用单刀双掷开关,但是在安全和性能有许多问题。
第五代隔离技术——安全通道隔离:此技术通过专用通信硬件和专有安全协议实现内外网络隔离和数据交换,是目前隔离技术的发展方向。
网络隔离和防火墙的区别:防火墙是保障互联互通的前提下尽可能安全;网络隔离是在必须保证安全的前提下,尽可能保证互联互通,如果不安全会断开连接。
物理层的断开:不难基于一个物理层的连接,来完成数据链路的建立。
数据链路层的断开:上一次数据传输和下一次数据传输的相关性的概率为0。
网络层的断开:剥离了所有IP协议。
传输层的断开:剥离了TCP或UDP协议。
会话层的断开:消除交互式的应用会话。
表示层的断开:消除了跨平台的应用。
应用层的断开:消除或剥离了所有的应用协议
隔离网闸必须对OSI模型的七层全部断开,而且实现数据或文件的“拷盘”
目前实现的技术手段:网络开关、实时交换、单向连接
网络开关:一个系统包括两套虚拟系统和一个数据系统,经过数据系统实现两个虚拟系统的数据交换。
实时交换:两个系统之间共用一个交换设备。
单向连接:从安全性高的网络流向安全性低的网络。
网络隔离技术需要具有以下安全要点:
a)要具有高度的自身安全性
在理论和实践上要比防火墙高一个安全级别,至少需要两套主机系统组成。
b)要确保网络之间是隔离的
保证网络包不可路由到对方网络中。
c)要保证网络间交换的只有应用数据
将协议部分剥离完成应用层数据提前。
d)要对网间的访问进行严格的控制和检测
保证每次数据交换都是可信和可控的
e)要在坚持隔离的前提下保证网络畅通和应用透明
2、网闸
网闸是使用带有多种控制功能的固态开关,它所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接等。网闸也称为安全隔离与信息交换系统
网闸一般由三部分构成:内网处理单元、外网处理单元和专用隔离硬件交换单元。
目前国际上网络隔离的断开技术有两大类:一是动态断开技术,如基于SCSI的网闸技术、基于总线的网闸技术,动态断开技术通过开关技术实现,另一类是固定断开技术,如单向传输技术。
三、网络审计系统
目前网络估计有20-30%的威胁来自外部,有70%-80%的威胁来自内部,而传统的类似于防火墙和IDS的保护力度有限,针对内部威胁也没有较好的手段。
网络审计产品,主要用于事后取证、事件追踪;行为审计、内容审计;旁路部署、端口镜像;违规行为阻断能力弱。要和上网行为管理产品区分开。
功能简介:落实上网实名制,访问、外发信息有记录,敏感信息报警,保障工作效率,保障业务带宽
四、网络防毒墙
网络防毒墙,又称防病毒网关,用以保护网络内进出数据的安全,它可以检测进出网络内部的数据,针对HTTP、FTP、SMTP、IMAP和POPS五种协议的数据可以进行病毒扫描。
网络防毒墙和其他安全产品的区别:
a)网络防毒墙专注病毒过滤,阻断病毒传输,具有防火墙访问控制功能模块;防火墙专注访问控制,控制非法访问。
b)网络防毒墙基于网络层过滤病毒,阻断病毒体网络传毒;防病毒软件基于操作系统病毒清楚,清除进入操作系统的病毒。
技术:
对进出网络防毒墙数据检测:以特征码匹配技术为主。
对检测出病毒数据进行查杀:目前无法对数据包进行病毒检测,所有采取在网关处将数据包还原成文件的方式进行病毒处理。
网络防毒墙查杀方式:
a)基于代理服务器的方式:
依靠代理服务器对数据进行还原,在利用代理服务器内的扫描引擎进行查杀。
b)基于防火墙协议还原的方式
利用防火墙的协议还原功能,将数据包还原为不同协议的文件,传送到对应病毒扫描服务器进行查杀,再传回进行数据传输。
c)基于邮件服务器的方式
以邮件服务器为网关,在邮件服务器上按照相应的邮件服务器版防病毒产品
d)基于信息渡船产品方式
信息渡船俗称网闸,在信息孤岛内按照防病毒模块实现检测和清除。
以上四种方式的共性——扫描仍然需要通过扫描引擎实现。
过滤技术:
a)协议代理
主流方案,在原有物理网关前后形成协议代理逻辑网关,网络防毒墙将数据拦截后,交个杀毒引擎进行内容检查。
b)透明代理
是防火墙技术的扩展,基于硬件实现。
五、堡垒机
堡垒机也叫运维审计系统。主要实现4A功能:操作审计、权限控制、访问认证、身份管理。