本文介绍了网络安全中的关键组件,包括入侵检测系统(IDS)、入侵防御系统(IPS)、Web应用防火墙(WAF)和传统防火墙。IDS通过实时监控网络流量发现恶意活动,而IPS能自动阻挡威胁。WAF专注于应用层防护,防止非法请求,防火墙则通过策略控制网络访问。此外,还提及了漏洞扫描技术,用于检测系统和配置漏洞。
-
入侵检测IDS
通过实时监控网络流量来定位和识别恶意流量,一般部署在防火墙之后
工作过程:
1、信息收集:系统、网络、数据及用户活动状态和行为
2、信息分析:检测引擎通过模式匹配、统计分析和完整性分析三种手段检测数据是否合规,不合规上报控制台
3、结果处理:控制台根据告警产生的预定义响应采取相应措施,响应机制:TCP拦截、IP拦阻(需要联动防火墙等)、记录、访问限制
常用入侵检测方法:
1、使用签名:根据数据库中的签名数据对网络流量进行模式匹配
2、搜索异常:为用户使用操作设定基准线,超出正常范围即为异常
3、协议异常:检测基于协议的异常信息,命令未知即为异常
分类:
基于网络:监控网络流量出入口
基于主机:监控两台主机之间的流量 -
入侵防御IPS
能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换器等网络设备以减轻事件的风险
工作过程:
1、信息收集:从信息源实施信息收集,系统、网络、数据及用户活动状态和行为
2、信息分析:利用模式匹配、协议分析、统计分析和完整性分析等技术手段,由信号分析模块对收集到的信息进行分析
3、结果处理:反应模块对采集、分析后的结果做出相应的反应
与IDS区别:自动阻挡拦截和在线运行
分类:
网络型NIPS:在线模式作为关卡,实时防御
主机型HIPS:通常由代理和数据管理器组成,类似IDS检测方式
应用型AIPS:类似主机型,用于防护服务器 -
Web应用防火墙WAF
工作在应用层,验证Web应用业务和逻辑,对各类请求进行内容检测和验证,阻断或检测告警非法请求,主要用于保护Web服务器
四种模式:
1、透明代理:代理会话,基于桥接模式转发,无负载均衡
2、反向代理:将服务器地址映射到反向代理服务器上,客户端访问WAF,代理转发请求至真实服务器,不需要配置IP映射关系,支持负载均衡
3、路由代理:工作在路由转发模式,用于路由客户端请求,无负载均衡
4、端口镜像(旁路):只监控和报警不进行拦截阻断,从交换机镜像流量 -
防火墙Firewall
网络边界控制设备,主要通过策略要素(源、目的、协议、时间、动作等)实现对网络的访问控制,应用在转发、内网保护(NAT)、流控、过滤等方面,主要防护2-4层攻击
种类:包过滤防火墙和应用代理防火墙
包过滤防火墙:防火墙的基础功能,配置包过滤策略达到防护目的,不安全、效率高、配置复杂
应用代理防火墙:工作在应用层,通过对每种应用服务编制专门的代理程序,实现监控应用层通信流,安全、效率低、代理复杂 -
漏洞扫描Vulnerability Scan
基于网络远程检测目标网络或本地主机安全性脆弱点的技术
分类:系统本身漏洞、配置不当漏洞
扫描步骤:
1、发现目标主机或网络:PING扫射
2、进一步搜集目标信息:操作系统探测和端口扫描
3、测试系统安全漏洞:漏洞扫描
基本技术:
1、端口扫描:全连接、半连接、间接扫描、秘密扫描
2、系统漏洞扫描:漏洞库匹配方法、模拟黑客攻击手法
扫描软件
1、Nmap:网络探测和漏洞扫描程序
2、X-Scan:漏扫软件,多线程扫描指定IP
3、流光(FLuxay):扫描+渗透测试
扫一扫
评论 2
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
