网络安全设备简介

• 入侵检测IDS
  通过实时监控网络流量来定位和识别恶意流量，一般部署在防火墙之后
  工作过程：
  1、信息收集：系统、网络、数据及用户活动状态和行为
  2、信息分析：检测引擎通过模式匹配、统计分析和完整性分析三种手段检测数据是否合规，不合规上报控制台
  3、结果处理：控制台根据告警产生的预定义响应采取相应措施，响应机制：TCP拦截、IP拦阻（需要联动防火墙等）、记录、访问限制
  常用入侵检测方法：
  1、使用签名：根据数据库中的签名数据对网络流量进行模式匹配
  2、搜索异常：为用户使用操作设定基准线，超出正常范围即为异常
  3、协议异常：检测基于协议的异常信息，命令未知即为异常
  分类：
  基于网络：监控网络流量出入口
  基于主机：监控两台主机之间的流量

• 入侵防御IPS
  能够识别事件的侵入、关联、冲击、方向和适当的分析，然后将合适的信息和命令传送给防火墙、交换器等网络设备以减轻事件的风险
  工作过程：
  1、信息收集：从信息源实施信息收集，系统、网络、数据及用户活动状态和行为
  2、信息分析：利用模式匹配、协议分析、统计分析和完整性分析等技术手段，由信号分析模块对收集到的信息进行分析
  3、结果处理：反应模块对采集、分析后的结果做出相应的反应
  与IDS区别：自动阻挡拦截和在线运行
  分类：
  网络型NIPS：在线模式作为关卡，实时防御
  主机型HIPS：通常由代理和数据管理器组成，类似IDS检测方式
  应用型AIPS：类似主机型，用于防护服务器

• Web应用防火墙WAF
  工作在应用层，验证Web应用业务和逻辑，对各类请求进行内容检测和验证，阻断或检测告警非法请求，主要用于保护Web服务器
  四种模式：
  1、透明代理：代理会话，基于桥接模式转发，无负载均衡
  2、反向代理：将服务器地址映射到反向代理服务器上，客户端访问WAF，代理转发请求至真实服务器，不需要配置IP映射关系，支持负载均衡
  3、路由代理：工作在路由转发模式，用于路由客户端请求，无负载均衡
  4、端口镜像（旁路）：只监控和报警不进行拦截阻断，从交换机镜像流量

• 防火墙Firewall
  网络边界控制设备，主要通过策略要素（源、目的、协议、时间、动作等）实现对网络的访问控制，应用在转发、内网保护（NAT）、流控、过滤等方面，主要防护2-4层攻击
  种类：包过滤防火墙和应用代理防火墙
  包过滤防火墙：防火墙的基础功能，配置包过滤策略达到防护目的，不安全、效率高、配置复杂
  应用代理防火墙：工作在应用层，通过对每种应用服务编制专门的代理程序，实现监控应用层通信流，安全、效率低、代理复杂

• 漏洞扫描Vulnerability Scan
  基于网络远程检测目标网络或本地主机安全性脆弱点的技术
  分类：系统本身漏洞、配置不当漏洞
  扫描步骤：
  1、发现目标主机或网络：PING扫射
  2、进一步搜集目标信息：操作系统探测和端口扫描
  3、测试系统安全漏洞：漏洞扫描
  基本技术：
  1、端口扫描：全连接、半连接、间接扫描、秘密扫描
  2、系统漏洞扫描：漏洞库匹配方法、模拟黑客攻击手法
  扫描软件
  1、Nmap：网络探测和漏洞扫描程序
  2、X-Scan：漏扫软件，多线程扫描指定IP
  3、流光（FLuxay）：扫描+渗透测试