信息安全-网安产品（WAF、蜜罐、漏洞扫描工具、安全事件系统）

网络安全产品，是如何进行防御的？本期介绍WEB应用防火墙WAF、蜜罐、漏洞扫描工具、安全事件系统SIEM。

目录

信息安全

1. 信息安全原则策略
1.1 原则
1.2 策略
1.3 访问控制
1.4 区域划分
1.5 密码分级
1.6 区域划分
1.7 变更与控制管理
1.8 保护机制
1.9 政策与法规
1.10 安全角色与职责
2. 网络安全防护
2.1 经典的网络安全事件
2.2 构建自己的防御体系
2.3 网络安全威胁类型
2.4 网络安全产品 ←←本文
3. 终端安全
3.1 终端安全管理
3.2 操作系统和数据库安全管理
4. 信息安全管理体系

WEB应用防火墙WAF

WEB应用防火墙 (WAF) 旨在提供7层应用层级别的防护，主要是对web类型的应用的保护，好比web应用的贴身保镖，waf的安全能力是强大的，可对SQL注入、XSS跨站、CSRF,获取敏感信息、利用开源组件漏洞 ，暴力破解，爬虫，0day，webshell 进行防护。

WAF是一道位于应用层的防线，能够理解和分析HTTP流量，并在数据达到服务器之前预先拦截恶意请求。

01

WAF如何判断恶意流量

WAF通过一系列的策略、规则和过滤机制来区分和阻止恶意流量，同时允许安全流量通过。它能够识别和拦截诸如SQL注入、跨站脚本（XSS）、文件包含、无效的用户输入等安全威胁，以下是WAF如何判断流量性质的几种方法：

1. 签名基础检测：WAF使用签名（已知的攻击模式和恶意负载的特征）来识别已知攻击。这类似于杀毒软件的方式，WAF会将流过的请求与恶意请求的数据库进行比对，一旦发现匹配，该请求就被标识为恶意的并被阻止。

2. 异常检测：通过设置正常Web应用流量的基线（比如正常请求的速率、用户通常的行为等），WAF能够检测到异常行为。这种方法依赖于统计分析，一旦流量行为偏离了既定的正常模式，WAF可能会将其视为潜在的攻击。

3. IP声誉和地理位置过滤：WAF可能会参考IP地址的声誉数据库，拦截来自已知为恶意源或位于特定国家/地区的请求。IP声誉列表经常更新，以确保由于新发现的攻击活动而封禁或解封IP。

4. 行为分析：通过分析用户的行为模式，WAF可以识别出不寻常或潜在恶意的行为。例如，如果一个IP地址在很短的时间内提交了大量的登录请求，WAF可能会识别这一行为是暴力破解攻击的迹象，并对该流量采取行动。

5. HTTP协议验证：WAF会对进入的HTTP请求进行严格的协议检查，确保它们遵守HTTP协议的标准。任何显著违反协议规范的请求都有可能被视为恶意的。

6. 自定义规则和策略：为了迎合特定Web应用的保护需求，WAF允许管理员定义自己的安全规则和策略。这些规则可以基于字符串匹配、正则表达式或特定的请求属性（如头部、URI、参数等）来识别和拦截攻击。

02

WAF工作机制

WAF 通过过滤、监控和拦截恶意 HTTP 或 HTTPS 流量对 Web 应用的访问来保护您的 Web 应用，并能够阻止未经授权的数据离开应用。

WAF 的操作方式与代理服务器类似，虽然同为“中介”，但后者旨在保护客户端身份，前者却被称为反向代理，因为其使命在于保护 Web 应用服务器免受潜在恶意客户端的影响。

WAF 不拘泥于形式，是软件、设备，亦是即服务。策略可定制，以满足对 Web 应用或 Web 应用组合的独特需求。

虽然许多 WAF 要求您定期更新策略以解决新的漏洞，但机器学习的进步使一些 WAF 能够自动更新。随着威胁环境愈发复杂和不确定，这种自动化变得越来越重要。

03

WAF部署方式

1、透明模式，通过将硬件串接在用户网络中，这种模式下无需改变用户的内网环境，实施简单，但是也带来了新的故障点，增加了问题排查复杂度。

2、反向代理模式，反向代理需要将流量统一通过waf来代理出去，但是这样web站点维护清晰，waf的故障并不会引起整个网络的故障。

蜜罐

蜜罐是一种通过伪装正常应用来迷惑攻击者的手段，可以是应用服务器，如OA， vcenter,gitlab,vpn等应用。也可以是文件形式，让攻击者获取到以后误以为得到机密文件，而将自己的信息暴露给防守者。

01

蜜罐如何诱惑攻击者并留下攻击者信息的

迷惑攻击者的方法：

1. 设立诱饵: 蜜罐通常被设计成看起来包含有价值信息的系统或网络资源，如数据库服务器、Web服务等，以吸引攻击者的注意力。

2. 伪装技术: 它们采用各种伪装技术让自己看起来与目标网络中的真实系统一样或是略显脆弱，从而更具诱惑力。

3. 模拟真实服务: 通过模拟真实的网络服务和应用程序的响应，蜜罐能够让攻击者相信自己正在与真实的系统互动。

4. 低交互与高交互: 蜜罐既可以是低交互的，提供有限的交互能力；也可以是高交互的，允许攻击者进行更深入的探索，从而记录更详细的活动。

为什么能留下攻击者信息：

1. 日志记录: 蜜罐会详细记录进入系统的所有行为，包括IP地址、所尝试的攻击方法、访问的URL、提交的表单数据、执行的命令等。

2. 行为分析: 记录的数据可以用来分析攻击者的行动模式、所用工具和漏洞利用尝试，这对于了解攻击者的技术水平和意图非常有用。

3. 蜜罐管理工具: 一些蜜罐解决方案提供管理工具，用于汇总和分析从一个或多个蜜罐中收集到的数据，这有助于组织更快地识别和响应攻击。

4. 网络流量分析: 蜜罐旨在分析与之交互的流量，这可以揭示攻击者的来源、使用的恶意软件样本，甚至攻击背后的基础设施。

下图为通过蜜罐获取到的攻击者信息：

02

蜜罐工作机制

蜜罐通过模拟一个或多个看似真实但实际上是受控的系统环境，吸引并交互攻击者，从而实现其目标。这些系统既可以模拟软件、操作系统的脆弱性，也可以模拟网络服务、甚至整个网络环境。

• 服务模拟：蜜罐软件可以模拟各种网络服务（如HTTP、SSH、FTP等），使攻击者认为他们正在与真实服务进行交互。

• 系统模拟：通过模拟操作系统的响应，蜜罐能让攻击者相信他们正在与真正的目标系统互动，从而执行进一步的攻击动作。

03

蜜罐如何部署

蜜罐通常部署在内网的各个区域，正常情况下这些蜜罐是没人会去访问的，只有潜入公司的黑客通过端口扫描等探测手段发现在这些蜜罐，所以蜜罐一旦有告警，就需要特别注意了。

推荐Hfish是一款不错的免费蜜罐。

网络漏洞扫描工具

漏洞评估通常分为白盒和黑盒，网络漏扫则属于黑盒的一种，它可以快速发现企业中的IT资产的脆弱性，让相关人员了解漏洞情况并进行整改，提高企业整体的安全能力。

常见的漏扫工具有Nessus，AWVS，Goby。

安全事件管理系统（SIEM）

SIEM(security information and event management)安全事件管理是一种解决方案，可帮助组织在有机会破坏业务运营之前识别潜在的安全威胁和漏洞。

它可以发现用户行为异常并使用人工智能来自动化与威胁检测和事件响应相关的许多手动流程，并已成为现代安全运营中心 (SOC) 用于安全和合规管理用例的主要内容。

SIEM包括日志管理，关联事件分析，事件监控和安全警报，合规管理和报告。之前提到的Eastic可以作为SIEM平台。

下期将介绍：信息安全-终端安全，终端安全与网络安全是信息安全的一体两面，即使网络安全做的再好，也会因为终端安全做的不好功亏一篑。

内容还行？点击上面鼓励他们一下吧！

注：部分文字和图片源自互联网，整理并分享文章是为了更好地传递IT知识经验。若侵犯了您的合法权益，请后台留言。如情况属实，我们会第一时间删除并向您致歉。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！