Day06

今天学习了四个安全设备：

• 日志收集与分析系统【简称：LAS】：

  • 作为一个统一日志监控与审计平台，能够实时不间断地将客户网络中来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系 统、用户业务系统的日志、警报等信息汇集到审计中心，实现全网综合日志审计。
  • 功能：集日志采集与存储、日志归一化、交互式分析、关联分析、仪表板、报表统计、告警管理等功能于一身，实现网络设备、安全设备、主机操作系统、中间件、数据库、应用系统、虚拟化和云等在内的设备及系统的全面日志审计。
  • 工作原理：接收各类设备发送过来的系统日志，通过解析规则和事件分析来进行数据输出，本身不参与用户网络工作，属于旁路型设备，对部署位置没有非常严格的要求，能够正常管理并接收到需要监控的设备日志即可。

 SSL VPN

• 提供远程接入的能力
  • 用户下载的客户端，会分配一个虚拟网卡给用户，当用户连接的时候，会分配给用户一个虚拟的IP，与VPN设备有一个专门的通道，通过SSL VPN 设备连接到公司内网（因为设备是旁路部署在核心交换机的上边）。
  • 在公网环境中，通过VPN使用加密安全的方式，访问到内网服务器或其他应用。
• 部署模式
  • 旁路部署：是SSL VPN设备最为推荐的一种部署方式，将设备旁挂在核心交换机，不影响客户原有的网络结构，在出口防火墙处映射VPN的443端口以提供公网用户进行访问。
  • 串接部署：可以直接给VPN设备提供公网IP地址，外网口直接提供访问，内网口接入到服务器区域。
  • HA部署：VPN设备实现了双机热备，可以支持 AP (Active-Passive, 主从) 模式和 AA (Active-Active， 主主) 模式。不管是 AP 模式还是 AA 模式，当两台设备都处于 active 时，心跳 IP 较大的设备是主设备，响应来自客户端的请求。AP/AA 模式下两台设备可以共享一个浮动 IP ，这个浮动 IP 可以作为外部访问的 IP，只有主设备才会响应该 IP 上的请求。

数据库审计与防御系统

• Agent引流模式：需要在审计对象安装客户端，审计服务器安装Agent。
• 旁路部署模式：不会改变网络结构，只需要在交换机上镜像流量。
• 旁路镜像模式：使用交换机端口镜像功能将访问数据库的双向流量镜像到安全审计系统。

WAF应用防火墙

• 解决应用层深度防御的问题，有效地缓解网站及Web应用系统面临如OWASP TOP 10中定义的Web安全威胁并可以极速地应对恶意攻击者对Web业务的攻击行为。
• 串联部署——透明流模式（在服务器和核心交换机之间串联）
  • 支持功能：HTTP合规性校验，HTTP访问控制，特征防护。
• 串联部署——透明代理：
  • 支持功能：HTTP合规性校验，HTTP访问控制，特征防护，安全情报，爬虫，防盗链，CSRF，文件上传，文件下载，敏感信息
• 旁路部署——反向代理：（部署在核心交换机旁。）
  • 支持功能：HTTP合规性校验，HTTP访问控制，特征防护，安全情报，爬虫，防盗链，CSRF，文件上传，文件下载，敏感信息
• 旁路模式——镜像检测&阻断
  • 支持功能：特征防护（检测阻断）