Security+ 学习笔记40 网络安全设备

一、路由器、交换机和网桥(Routers, switches, and bridges)

1.交换机
路由器、交换机和网桥，是这些网络的核心构建模块。网络工程师使用交换机来连接设备和网络。交换机是看起来很简单的设备，如这里所示的设备，包含大量的网络端口。

交换机可能非常小，只有8个或更少的端口，也可能相当大，有500个或更多的端口。这里显示的交换机是一个有96端口的交换机。一些设备通过使用有线网络连接到交换机端口，但许多其他设备不使用电线，而是依赖基于无线电的无线网络。这些网络是由无线接入点创建的。这些无线接入点(Wireless access points)，也称为的AP，包含了向移动设备发送和接收网络信号的无线电。AP本身有一个回到交换机的有线连接，使无线设备能够连接到网络的其他部分。

交换机也可以创建网络，但它们仅限于创建本地网络。交换机在OSI模型的数据链路层工作，在那里它们只处理Mac地址。一些交换机也有能力在OSI模型的第三层工作，网络层，在那里它们可以识别IP地址。在这些情况下，交换机开始承担起路由器的功能。

2.路由器
路由器发挥着更高层次的作用，将网络连接在一起，作为一个中央聚合点，将网络流量送往或来自一个大型网络。路由器充当了网络的空中交通管制员。当流量到达其最终目的地时，对其最佳路径作出决定。路由器也执行一些安全功能，使用访问控制列表，根据组织的安全策略限制可能进入或离开网络的流量。这种使用访问控制列表的过滤，并不关注连接状态。它被称为无状态检查(Stateless inspection)。

3.网桥
网桥和交换机一样，是第二层设备，但它们的功能非常有限。网桥只是将两个网络连接在一起。它们学习每个网络上存在的Mac地址，然后在适当的时候在网络之间转发流量。

二、防火墙(Firewalls)

防火墙是安全工作的主力，就像网络的安全卫士，分析所有连接网络上的系统的尝试，并根据组织的安全政策确定是否应该允许或拒绝该请求。防火墙通常位于一个组织的路由器和互联网之间的网络周边。从这个网络位置，他们可以很容易地看到所有入站和出站的连接。
内部网络上的流量可以在受信任的系统之间畅通无阻地流动，但任何跨越边界进入或来自互联网的东西都必须经过防火墙的评估。防火墙通常将三个网络连接在一起，即互联网(Internet)和内部网络(Internal Network)以及一个DMZ的特殊用途网络。DMZ包含必须接受来自外部世界直接连接的系统，如公共网络服务器。DMZ隔离了这些系统，因为它们被破坏的风险更高。如果攻击者设法破坏了位于DMZ的系统，他们仍然不能直接访问位于内部网络的系统。

老式的防火墙使用一种叫做无状态检查（Stateless inspection） 的方法，当每个数据包到达防火墙时，都会对其进行单独评估。这种方法效率低下。现代防火墙使用一种被称为状态检测(Stateful Inspection) 的技术，使其能够跟踪已建立的连接。例如，当内部网络上的用户从服务器上请求一个网页时，防火墙会记下该请求，然后允许网络服务器作出响应。而这两个系统然后在连接期间来回通信，而不需要防火墙在每次出现新的数据包时重新评估该请求。当防火墙遇到一个新的连接请求时，它根据系统管理员创建的一套规则对该请求进行评估。这些规则描述了防火墙应利用几个重要特征采取行动的网络连接。这些特征包括受规则影响的源地址(Source address)、受规则影响的目标地址(Destination address)、受规则影响的目标端口和协议(destination port and protocol)以及防火墙在遇到与规则相匹配的流量时应采取的行动。这通常是允许（permit）或拒绝（deny），指定防火墙应允许或阻止符合规则描述的流量。

例如，我们在DMZ中有一个IP地址为10.15.100.1的Web服务器。如果我们想让互联网上的用户访问该系统，我们必须写一条防火墙规则来允许这种访问。这是一个允许访问的规则。所以我们把动作设置为允许。在这种情况下，连接请求将从一个未知的互联网传到网络服务器。由于我们希望任何人都能访问网络服务器，可以把源地址设为Any。然后我们要把这种访问限制在网络服务器上。因此，目标系统是10.15.100.1，即网络服务器的IP地址。网络服务器只在80端口运行。所以我们指定目标端口为TCP端口80。这就是一条防火墙规则。

防火墙配置只是包括编写许多像这样的规则，并在新系统需要访问时将其添加到配置中。防火墙的核心原则之一是，任何未被规则明确允许的流量都应被自动拒绝。这一原则被称为默认拒绝或隐性拒绝(Implicit Deny)规则。这是一个非常重要的概念。

目前这一代的防火墙被称为下一代防火墙（Next-generation firewalls），缩写为NGFW。这些设备能够将相当多的背景信息纳入其决策过程。它们可能根据用户的身份、应用程序的性质，甚至一天中的时间来评估一个请求。防火墙也经常被要求执行其他网络功能。它们通常充当网络地址转换或NAT网关。在这个作用中，防火墙在互联网上使用的公共IP地址和本地网络上使用的私有IP地址之间进行转换。NAT设置通常被配置为允许访问的防火墙规则的一部分。由于其在网络边缘的作用，防火墙还提供了一个理想的位置，利用URL过滤和类似方法进行内容过滤。 Web应用防火墙(WAF) 是一种专门的防火墙，其了解HTTP协议的工作方式，并深入到这些应用连接中寻找SQL注入、跨站脚本和其他网络应用攻击的迹象。现在，当我们为我们的网络选择一种防火墙技术时，会面临几个选择：

1. 首先，我们可以选择部署方法。网络防火墙是位于网络上调节流量的物理设备，而基于主机的防火墙是在执行其他功能的服务器上的软件应用或操作系统组件。大多数组织选择同时使用网络防火墙和基于主机的防火墙来实现网络安全的纵深防御(Defense in depth approach)；
2. 接下来我们需要选择是使用开放源码还是专有的防火墙技术。硬件防火墙几乎都是专有的。那么，软件防火墙可能是专有的或开放源码的；
3. 最后，对于我们的网络防火墙，需要选择一种部署机制。目前使用的两种主要方法是专用硬件设备和虚拟设备，前者由制造商提供，并内置有防火墙固件，后者可直接加载到虚拟化平台。物理和虚拟设备的好处是，它们需要成本的安装，并允许管理员直接开始配置安全规则的工作。

三、代理服务器(Proxy servers)

代理服务器是代表终端用户浏览网站的专门服务器。它们作为代理，或中间人，阻止用户直接连接到网站。现在，通常当一个用户连接到一个网站时，用户系统与服务器直接接触，来回发送信息。在代理的情况下，代理服务器坐在对话的中间位置。用户连接到代理服务器，而代理服务器连接到网络服务器。然后，所有流量都通过代理服务器，这有三个重要的安全好处：

1. 首先，代理提供了匿名性(Anonymization)。网络服务器永远不会知道实际用户的网络地址，并且其日志只包含代理服务器的地址；
2. 第二，代理通过缓存提供性能优势。代理服务器可以存储经常请求的网页的副本，并用这些存储或缓存的副本来回答一些用户的请求，减少对网络带宽的需求；
3. 最后，代理服务器可以执行安全任务。例如，检查用户是否访问了含有恶意软件的网站，违反了内容过滤规则。

1.正向代理(Forward Proxies)
客户端知道代理服务器，并将所有对网络内容的请求发送到该服务器，然后由该服务器传递给远程网络服务器。网络服务器不知道他们正在处理一个代理。这种方式被称为正向代理(Forward Proxies)。

2.反向代理(Reverse Proxies)
反向代理的工作方向正好相反。他们不是代表客户工作，而是代表服务器工作。客户端不知道他们正在连接到一个远程代理服务器，并认为他们正在连接到真正的网络服务器。代理服务器接收客户对资源的所有请求，然后将它们传递给实际的网络服务器，该服务器可能在另一个防火墙后面。

3.透明代理(Transparent Proxies)
透明代理服务器在客户和服务器都不知道的情况下工作。这些服务器也被称为Inline proxies or Forced proxies，他们位于客户的网络上，在客户和互联网之间，拦截对网络服务的请求，并代表客户进行代理，这种方法可能会在网络上引起一些问题，而且对TLS加密通信的效果并不好。

四、负载均衡器(Load balancers)

负载均衡器通过在多个服务器之间分配工作负荷来帮助Web服务器扩展。一个基本的Web服务器配置如下：

我们为位于DMZ网络上的Web服务器分配一个IP地址。然后，网络管理员创建一个DNS条目，将服务器的注册域名（比方说www.myserver.com）与服务器的IP地址联系起来。然后，当用户在他们的网络浏览器中输入www.myserver.com，他们就会连接到DMZ中的网络服务器。只要服务器能跟上用户的请求，这就能很好地工作。

但是，如果网站访问量增加了，对内容的需求将超过服务器的容量。管理员可能会通过提升服务器容量来应对，但最终需求可能会再次增长，需要一个越来越大的服务器。这种方法不具有可扩展性，因为最终管理员将无法购买更大的服务器，他们将留下一大堆未使用的小型服务器。

现在，提升网络服务器容量的更有效的方法是使用一种被称为负载均衡(Load Balancing)的技术，即几个服务器分担负载。 服务器都在一个被称为负载均衡器的设备后面，决定哪台服务器将响应每个请求。

网络域名的DNS条目并不直接指向网络服务器，而是指向负载均衡器，这个地址被称为虚拟IP地址，也就是是图中的10.15.100.1，它作为网站对应的IP地址向全世界公布，但实际上是由负载均衡器来回答。随着需求的增加，管理员可以简单地添加更多的服务器，有时会使用一种称为**自动扩展(Autoscaling)**的技术，根据需求扩大和收缩服务器集群。负载均衡器也可以扮演一些安全角色，如证书管理、URL过滤和其他网络应用程序安全策略执行任务，如限制某些IP地址范围访问网站的限制部分。

负载均衡器必须对路由请求到各个网络服务器做出决定。在最简单的情况下，被称为Round-Robin负载均衡，负载均衡器只是为每个请求轮换服务器，给每个服务器一个平等的份额。 虽然这种方法很简单，看起来也很公平，但它并不总是有效的。如果一个服务器比其他服务器更强大，它可以处理更大的负载。另外，如果一个服务器得到一个特别密集的请求，它需要更多的CPU时间，它可能无法处理那么多其他请求。先进的调度算法考虑到了这一点，并利用这种能力信息监测服务器的性能，对用户请求的路由做出实时决定。一些应用程序要求用户在之后的请求中返回到同一台服务器，以维护会话信息。在这些情况下，负载均衡器将把该用户的所有未来请求路由到同一个网络服务器，以保持会话的持久性。

负载均衡器在网络上发挥着重要作用，但它们也是一个单点故障。因此，采用负载均衡的组织应将负载均衡器维持在高可用性模式，有两个种部署方式：

1. 在Active-Active的负载平衡方法中，两个负载均衡器在网络上运行，每个负载平衡器主动将一部分入站流量路由到Web服务器。在这种方法中我们可以使用两个设备的全部容量。如果一个设备发生故障，另一个设备处理整个负载，而不中断用户会话，但容量会减少。
2. 在Active-Passive模式下，一个负载均衡器处理所有的入站流量，而另一个则仅监控这些连接。如果主动负载均衡器发生故障，被动负载均衡器器立即接管并继续路由流量。在这种方法中，我们在故障事件中没有容量损失，但大部分时间被动负载平衡器是闲置的。

五、VPNs与VPN concentrators

虚拟专用网络(VPN)为IT管理员提供了两个重要的安全功能：

1. 首先，站点到站点(Site-to-Ste)的VPN允许远程网络的安全互连，如将分支机构与公司总部或相互之间的连接；
2. 其次，远程访问VPN为移动员工提供了一种机制，使他们能够从远程地点安全地连接到组织的网络。
   
   VPN的工作原理是利用加密技术在互联网上的两个系统之间建立一个虚拟隧道。进入隧道一端的所有内容都是加密的，然后在退出隧道的另一端时被解密。从用户的角度来看，网络似乎运作正常，但如果攻击者获得了两个安全网络之间的流量，他们看到的只是无法读取的加密信息。
   VPN需要在远程网络上有一个接受VPN连接的端点。而几个不同的设备可以作为VPN端点，如防火墙、路由器、服务器或专用的VPN concentrator。所有这些方法都能提供安全的VPN连接，但VPN使用量大的组织通常选择使用专用的VPN concentrator，因为这些设备对VPN连接非常有效，可以轻松管理高带宽流量。如果我们没有大量的VPN流量，可能会选择使用防火墙、路由器或服务器方式。如果我们采用这种方式，请注意，VPN流量需要资源密集型（Resource intensive encryption）的加密，与VPN集中器不同，防火墙、路由器和服务器通常不包含加速加密的专门硬件，将它们作为VPN终端使用会导致性能问题。

多年来，大多数VPN使用一种叫做IPsec的协议，即互Internet protocol security的简称，来创建其加密的隧道。IPsec在OSI模型的网络层(Network Layer)工作。管理员希望运行支持数据链路层流量的VPN连接，也可以使用L2TP over IPsec协议。这些协议提供了稳健、安全的传输，但它们往往难以配置，并可能被防火墙阻挡。由于这个原因，IPsec经常被用于静态站点到站点的VPN隧道，但它在远程用户VPN中越来越不常见。

现在，远程用户VPN通常依靠在应用层(Application Layer)工作的SSL或TLS VPN。这些VPN在任何有网络浏览器的系统上工作，它们使用443端口进行通信。这是一个通常允许通过几乎所有防火墙的端口。HTML5 VPN提供了一个基于网络的界面，允许用户使用内部网络资源，而不需要与实际在内部网络上建立联系，而是使用Web服务器和代理角色。在实施远程访问VPN时，管理员必须从两种不同的隧道方法中进行选择：

1. 在Full-tunnel VPN中，任何离开远程设备的流量都会通过VPN被送回家庭网络并受到加密保护。这不仅包括返回公司网络的流量，还包括所有网页浏览和其他活动；
2. 另一种方法是使用Split-tunnel VPN。在这种方法中，一些流量通过VPN发送，而其他流量则通过用户的本地网络发送出去。路由策略是由VPN管理员设置的。在大多数情况下，管理员将Split-tunnel配置为通过VPN发送前往企业系统的流量，同时允许普通互联网流量通过本地网络直接到达目的地。这种方法减轻了VPN的负担，节省了带宽。然而，目前大多数安全专家都建议不要使用Split-tunnel VPN，因为他们的一些流量实际上是直接通过互联网发送的，可能会被窃听。

另一个新出现的趋势，是Always on VPN。在这种策略中，所有企业的移动设备都被配置为在接通电源时自动连接到VPN。这种方法将控制权从终端用户手中移开，并确保离开设备的流量始终受到强大的加密保护。

六、网络入侵检测和防御(Network intrusion detection and prevention)

入侵检查(IDS)和入侵防御系统(IPS)在网络攻击者和其他安全威胁方面发挥着极其重要的作用。入侵检测系统可以监测流量，寻找潜在的恶意流量的迹象。例如，入侵检测系统可能会注意到，一个指向Web服务器的请求包含SQL注入攻击。一个恶意的数据包正试图创造一个拒绝服务等。

所有这些情况都是管理员显然想知道的安全问题的例子。入侵检测系统可以识别这种类型的情况，然后提醒管理员注意该问题，以便进一步调查。在许多情况下，管理员没有时间立即审查警报并采取行动，而这正是入侵防御系统发挥作用的地方。入侵防御系统就像入侵检测系统一样，但入侵防御系统可以对检测到的威胁立即采取纠正措施。入侵检测系统有时会犯错误。这些系统引起的错误有两种不同的类型，监测这些错误是安全分析的一个重要部分:

1. 假阳性(False Positive) 错误发生在系统向管理员发出攻击警报，但实际上攻击并没有发生。
2. 当攻击实际发生但入侵检测系统没有注意到它时，就会发生假阴性(False Negative) 错误。

入侵检测和防御系统使用两种不同的技术来识别可疑的流量。最常见和最有效的方法被称为签名检测(Signature Detection)。这种方法的工作方式类似于防病毒软件。基于签名的系统包含非常大的数据库，其中包含已知与恶意活动有关的数据模式或签名。当系统发现与这些特征之一相匹配的网络流量时，它就会触发入侵警报。这种方法也被称为基于规则的检测。但是缺点是，基于签名的系统不能检测到以前未知的攻击。优点是，如果签名设计得好，这些系统工作得非常好，假阳性率低。

签名检测是可靠的、经过时间考验的技术。入侵防御系统使用的第二种方法被称为异常检测(Anomaly detection)。这种模式与入侵检测问题采取了一种完全不同的方法。异常检测系统不是试图为所有可能的恶意活动开发签名，而是试图开发一个正常活动的模型，然后将偏离该模型的行为报告为可疑行为。例如，异常检测系统可能注意到，一个通常在傍晚时分从家里连接到VPN的用户，突然在半夜从亚洲连接。然后，系统可以提醒管理员或阻止连接。异常检测确实有可能注意到新的攻击类型，但它有一个很高的假阳性错误率。这项技术有几个不同的名字。我们要知道异常检测(Anomaly detection)、行为检测(Behavior detection)和启发式方法(Heuristic approaches)是同一回事。

在网络上设置和配置入侵预防系统的方式也有不同。有两种不同的方式即Inbound(Inline)和out-of-band(Passive) 的方法：

1. 在Inbound部署中，入侵防御系统直接位于网络路径上，所有通信在到达最终目的地的途中必须经过它。在这种方法中，入侵防御系统可以阻止可疑的流量到达其最终目的地。但也增加了一个风险，即入侵防御系统的问题会扰乱所有的网络通信，因为Inbound IPS是一个单点故障。
2. 在out-of-band部署中，入侵防御系统不在网络路径中，但它位于网络流量的外面。它连接到交换机上的一个SPAN port，这使它能够接收通过网络发送的所有流量的副本进行扫描，但它不能破坏流量的流动。这种方法也被称为被动模式，因为IPS仍然可以通过发送命令来阻止来自防御系统的后续流量，但它不能阻止最初的攻击进入网络，因为它只是在流量被送到后才了解到。

七、协议分析器(Protocol analyzer)

协议分析器，网络工程师也常说为抓包工具，是网络和安全专业人员可用的一个重要工具。它们使管理员能够窥视在网络上传输的实际数据包。当我们试图排除网络问题或调查安全事件时，这非常有用。然而，我们必须谨慎使用协议分析器，因为当它们被错误地使用时，也会危及敏感信息的保密性。我们将使用Wireshark，最常见的免费协议分析器，进行分析。具体Wireshark的使用方式可以查看：https://www.bilibili.com/video/BV1Ub411u7Ds

tcpdump是一个命令行数据包嗅探工具，也可以作为开源软件使用，并可以通过编程使用。需要注意的是，我们用来编写tcpdump过滤器的语言和Wireshark过滤器的语言是一样的。原因是tcpdump和Wireshark都是建立在相同的代码基础上。它们都使用一个叫做libpcap的库，即Packet capture library的简称，来获取和过滤网络流量。这是另一个命令行工具，它获取由tcpdump或Wireshark创建的数据包，并允许你或攻击者编辑和重放该网络流量。

八、统一威胁管理(Unified threat management)

我们谈到了很多不同的安全设备，但购买所有这些设备可能非常昂贵，特别是对于一个小型或中型组织。统一威胁管理或UTM解决方案试图通过在一台设备上结合许多不同的安全功能来解决这个问题。UTM产品首先执行防火墙和路由器的基本功能，保护网络免受许多攻击，阻止不明流量，并路由进出互联网的流量。然后，它们添加一些安全功能，包括VPN连接、入侵检测和入侵防御。

UTM产品还经常包括其他对小型企业有用的功能，这些功能可能在企业安全设备中找不到。例如，它们通常同时进行URL过滤，以阻止不需要的网站，并进行内容检查，以删除由其他受信任的服务器返回的恶意网页内容。UTM产品还经常包含恶意软件检查功能，使它们能够作为网络和网络流量的防病毒软件。如果我们托管自己的电子邮件服务器，UTM设备通常能够对邮件内容和附件进行恶意软件检查，并进行垃圾邮件过滤，在不需要的邮件到达你的电子邮件服务器之前将其删除。

虽然UTM设备在单一平台上结合了许多安全功能，但这些功能中的每一个仍然需要适当管理。这包括对来自UTM设备的数据进行同样的安全分析，就像我们对其每个组成部分进行分析一样。

整理资料来源：
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601