安全设备介绍
前言
做安全是离不开安全设备的,无论是红方还是蓝方,我觉得都应该了解安全设备的工作原理,以及使用方式。我将从网络入口开始,为大家介绍每台设备的功能。个人理解,有错误的欢迎同行斧正。
一、抗DDOS攻击功能介绍
抗d是常见的出口设备
DDoS(Distributed Denial of Service) 分布式拒绝服务是最常见的网络攻击之一。因为操作简单,效果显著,在没有出现抗d设备之前,ddos攻击只能通过调配防火墙策略来防御,这有两个缺点,一,对策略配置人员的经验水平要求高,策略下发后即时生效可能会造成误阻断。二,对设备性能要求高,因为是通过防火墙来过滤流量,有时防火墙直接部署边界是起到边界路由的作用,其本身的业务负载就大(包括边界网关,nat之类的)所以防火墙可能会因此“熄火”,使得业务中断之类的情况出现。
抗d的功能(以绿盟设备举例):可以通过本地与云端联动来进行流量清洗,本地解决带宽内的各类DDos攻击,可以通过更改抗d的策略来实现细粒度检查,云端防护大流量攻击。
这样的好处是,当本地出口带宽超负载时,可以把流量引入云端,通过云计算的大性能来清洗流量,防止出现业务中断的情况。
二、防火墙功能介绍
防火墙是最常见的安全设备了,根据防火墙部署位置不同,起到的作用也不一样。一般防火墙是由数通引擎和安全引擎组成的。
当防火墙部署在网络出口时可以当成边界网关来使用,这时候有路由,nat,dhcp,访问控制等功能。
部署在网络边界时,主要为访问控制功能。
由于现在各大安全厂商设备趋于同质化,防火墙作为最常用的安全设备,也被加了很多功能,例如应用识别管理,用户身份认证,url过滤之类的。
功能都是大差不差,底层逻辑都是通过acl来对各协议之类的进行操作(阻断,放过)。
三、ips功能介绍
ips全称网络入侵保护系统,和上面的抗d一样,都属于防火墙的策略细化设备(个人理解),专职干的事不一样,尤其是现在防火墙功能加得越来越多的情况下,这种策略细化的设备更应该引起重视,并不是一台防火墙就能解决网络出口边界的安全问题的。
ips功能:
1、入侵防护
实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量;
2、数据防泄漏
防止内部敏感数据泄露,可在功能模块里开启,可以以黑名单词汇的方式对应用层进行检测之类的。
3、oady防护
通过和沙箱联动,让沙箱(虚拟仿真环境)先运行一遍可疑文件,ips监控环境来识别可疑文件是否为恶意文件。
4、僵尸网络发现
这个就看各厂商的能力了,这是属于与云端数据进行比对,云端数据库中有信息就能检测出来,没有信息就无法检测了。
5、流控
流量控制,做了身份认证之后,可以把非授权用户的所有数据传输给阻断掉,保证一个正常带宽的利用率,也可以防私接路由
6、防病毒
这个其实有更专业的设备,防毒墙,也是看通过和厂商病毒样本数据库进行比对来实现防控,专业防毒设备可能可以做到文件解析,对底层进行审核,目前没见过这种设备,这方面还是比较依赖人工来做逆向分析。
四、waf功能介绍
waf全称web应用防火墙
原理简单介绍一下,通过黑名单,白名单加详细策略来实现对web应用的防护,这个设备是仅针对web应用的
功能介绍:
1、网站访问控制
可以通过黑名单或者白名单的方式,来实现网站只允许指定ip访问(或禁止指定ip访问)。可以做到指定路径只允许指定ip访问,这样就相当于隐藏了部分页面了,例如后台登录页面就可以这样来操作
2、网页防篡改
这个也有专业设备,就叫网页放篡改,因为现在网站劫持的事情还是很多的,这个可以实时检测网页内容,是否被篡改,检测机制有好几种,什么数字签名检测,截图检测等不赘叙。
3、敏感信息防泄露
可以通过定义黑名单词库,来识别发布内容,做到敏感信息过滤。
4、防sql注入,xss攻击之类的,原理还是通过策略调配来实现,waf的功能还是很多的,这里只能挑一些比较常用的功能来说,他可以针对所有的已知的web漏洞来做防护。
五、数据库审计
这个和waf差不多,waf针对web应用,数据库审计针对数据库。
功能:
1、数据库操作记录
记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。
2、数据库操作审计
这个就是通过调策略来识别数据库操作是否合法。
主要功能就这两个,功能还是很强大的,可以通过调配策略来实现操作行为的审计,防止非法操作,即使被入侵后,也能通过查看操作记录进行溯源。
六、堡垒机
这个功能简单,就是通过堡垒机来实现各个设备的登录。有什么用呢?
1、每台设备都可以做三权分立(操作员,审计员,管理员),且密码可以尽可能的复杂,因为可以通过堡垒机登录,密码不需要记只需要记堡垒机密码即可。
2、上面那条,如果堡垒机被入侵之后,岂不是所有设备都完了,不是,堡垒机可以对权限进行划分,堡垒机账户可以开设多个,每个账户都可以给不同的权限,实现账户权限的进一步细化。
3、可以定期给设备进行改密,防止口令爆破。
七、日志审计
接收设备日志,满足等保合规性要求,方便溯源。没啥功能,只是一个单纯存储日志的设备。
八、上网行为管理
对所有上网的终端的上网行为进行管理包括不限于身份认证,应用管控,url管控,限速啥的,有些厂商防火墙上也加了这个功能模块,这种设备一般是大场景下使用,例如商场免费wifi的管控,学校上网,禁止学生干坏事之类的。属于锦上添花的设备。
九、漏扫
漏洞扫描设备,这个设备的功能十分强大
用在蓝方可以对自身网络架构进行扫描,然后根据扫描报告进行整改,可以具体到设备进行配置核查,也可以对一个网络端的设备进行主机扫描,查看是否存在系统漏洞,是否有版本漏洞,对web站点进行扫描,可以探测web业务的框架漏洞,版本漏洞,效果好坏取决于厂商的漏洞库,越全效果越好。我使用过绿盟的长亭的深信服的漏扫,就使用体验来说还是绿盟的最好用。
还可以对弱口令进行扫描,部分厂商还带代码审计模块,不过这个功能我觉得并不是很实用,首先客户的源码不一定愿意拿出来让设备进行审计(因为设备联网,有泄露风险)第二个代码审计这个更多的还是经验的判断,或者直接进行渗透测试来判断,通过设备来实现,只不过是内置条件的比对,这种误报率高,且只能发现一些常犯的错误,毕竟机器是死的,人是活的,任何程序的编写目前还是人来完成的,有可能人家的程序就是靠bug来运行的呢,这样根据设备来进行代码审计,然后整改,搞不好程序就崩了。
上面说了蓝队,用在红队能干嘛呢。降低信息搜集的难度,可以先对漏扫扫出来的漏洞进行复现,测试,降低了红队的人工。其他的没啥,对红队就这么一个用处,或许也可以用这个来进行弱口令验证,毕竟是脚本集合体。相比于开那么多工具,不如用这一台,封ip也能绕过自己的ip。
总结
安全设备种类很多,这只是说了一些常见的,还有一些不常见的例如物理网准入啊,应用控制网关,流量控制网关,防毒墙,edr之类的没有讲,这些在实际场景中也会有需求,而且各个厂商的设备都有差别,虽然差别不大,但是每个厂商的设备习惯还是不同的,这里批评一下天融信,设备不好用,希望能改进一下。
2231
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
