随着网络技术发展,网络威胁已经从网络层发展到应用层,网络攻击手段呈现复杂性及多变性的趋势,单靠一种或几种安全设备就想保护整个网络纯属痴心妄想。因此,为了满足不同防护需求的安全设备应运而生。有的设备是为了严防非授权访问。有的设备是为了实时检测,拦截攻击行为。有的设备是为了自查自审,发现自身存在的问题。每一种安全设备分工都不同,设备缺失肯定会造成安全隐患。下面我们用通俗易懂的语言来解释一下常用安全设备的作用和区别。
1
防火墙=门禁系统
首先,讲讲防火墙(Firewall),简写FW。防火墙是网络出现后的第一种安全设备,也叫防护墙,主要功能是隔离内外网并控制用户访问。通常部署在网络边界或重要系统边界。通过防火墙我们隔离出内网、外网、DMZ区(业务系统对外发布区),并给特定的用户授权,允许授权用户在指定时间段内访问特定系统的特定端口。
防火墙就像公司的门禁系统,通过门禁系统隔离出公司外,办公室内,大厅走廊公共区域等。公司员工进门的时候需要刷卡或者人脸识别,非本公司的员工禁止进入。员工进入大门后,再通过刷卡进入自己的办公室,别人的办公室没有授权不能随意进入。防火墙的作用类似于门禁系统,有授权可以随意进出,没有授权哪也去不了。
2
IPS=保安
我们再说说IPS (Intrusion Prevention System),中文名入侵防御系统,能够对流经设备的网络流量进行分析、监控,最重要的是发现攻击后,能够及时拦截阻断。它是防火墙的重要补充,主要串接在网络主干链路上,或者关键业务系统边界,通常有防火墙的地方就有它。
IPS就好像公司的保安,公司重要的地方都会配上保安。门禁可以让授权用户进出,但是如果有人闹事,门禁是无能为力的,这个时候就需要保安处理了。
因此,网络中IPS设备是必须可少的。
3
IDS=监控系统
IDS (Intrusion Detection Systems),中文名入侵检测系统,作用是监视、记录网络中的各种攻击企图、攻击行为或者攻击结果。特点是只记录,不阻断任何攻击行为,只能事中监测和事后追查。
那为什么有了IPS还需要买IDS了?IPS可以代替IDS吗?
还真不能,因为IDS相当于公司里的视频监控系统,如果犯罪分子通过伪造身份混进大楼后,门禁和保安不起作用了。这个时候就需要视频监控系统实时监控、记录所有员工的行为,智能分析、判断是否存在违法行为,如发现异常,会发出告警提醒保安处理。
因此,IPS是代替不了IDS的,他们是相辅相成的关系。
4
WAF=私人保镖
WAF (Web Application Firewall) ,也叫WEB应用防护系统、WEB应用防火墙等,是一款专门针对HTTP/HTTPS的安全防护设备。WAF工作在应用层,可以部署在DMZ区出口,对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。
大家可能会问,IPS是阻断攻击的,WAF也是阻断攻击的,买完IPS,为什么还要买WAF?而且WAF也叫WEB应用防火墙,和传统防火墙有什么区别?
首先,说一下WAF和传统防火墙的区别,虽然WAF也叫做WEB应用防火墙,但是和防火墙完全是两类产品。传统防火墙工作在网络层,提供IP地址、端口的访问控制和阻断,不对应用层做防护和过滤。而WAF专注于应用层,是对所有的WEB应用信息进行解析、过滤,解决注入攻击、网页篡改、网页挂马、敏感信息泄露等WEB安全问题。
再说一下WAF和IPS,它们都是防攻击的安全设备,而且在检测拦截许多攻击行为的时候,功能有所重合。但是WAF区别于IPS最大的地方,就是针对WEB应用的防护。IPS的防护范围很广,只要发现攻击行为都会检测、拦截,其中也包括对HTTP/HTTPS流量的分析。而WAF只负责针对WEB系统的防护,对HTTP/HTTPS流量的双向解码和分析更加完整、全面,可以应对WEB应用中的各类安全威胁,如SQL注入、XSS、跨站请求伪造攻击、Cookie篡改以及应用层DDoS等,从WEB防护的专业性上来说,WAF比IPS强太多。
形象地说,防火墙是门禁系统,只要有授权,用户就可以通过。IPS是保安,每一个经过的用户保安都会检查,有异常行为立即处理。而WAF相当于领导的私人保镖,他只负责保护领导的安全,而且作为私人保镖,他对领导的生活习惯、作息安排都比保安更清楚,能更好的保护领导的安全。
5
漏洞扫描=巡检员
漏洞扫描设备,是指基于漏洞特征库,通过扫描探测的手段检测系统的安全脆弱性,发现有无可利用的漏洞,并提供解决方案的设备。它可以针对网络、主机、数据库、应用等进行分类扫描。漏洞扫描设备就像公司里的巡检员,定期检查发现漏洞,客观评估风险等级,提出整改建议。
同时,漏洞扫描设备与IPS、IDS、防火墙等相互配合,可以有效提高网络的安全性,能有效避免黑客攻击,做到防患于未然。
在工作中,很多领导都会疑惑,这次漏洞扫描之后,发现系统存在一堆安全漏洞。下次漏洞扫描之后,又发现系统存在一堆安全漏洞,没完没了,是不是系统管理员技术不行?不负责任?发现漏洞不解决?为什么每次都能扫出来漏洞?
其实,有这么几种情况。一是、系统不是自己公司开发的,或者开发单位已经没了,不敢随意打补丁;二是、系统老旧、原来的管理员已离职,担心打完补丁后系统崩溃无法恢复;三是、有的系统漏洞无法通过打补丁的方式解决,只能通过其他途径解决,比如在网络层面封堵端口、禁用协议等措施,或是通过安全设备防御针对该漏洞的攻击;四是、新漏洞刚出来,打补丁是否会对系统造成影响,还需要等待测试。
总之,并不是每一个系统漏洞都会被处理的。只要我们做好防护,不要把漏洞暴露在攻击者面前就可以了。
6
各种审计设备=审计部门
管理员:领导,我们缺数据库审计。
管理员:领导,我们缺运维操作审计。
管理员:领导,我们缺日志审计。
管理员:领导,我们缺用户行为审计。
领导:我们缺钱……
数据库审计、运维操作审计、日志审计、用户行为审计、网络审计、应用审计、视频应用审计,各种审计设备层出不穷,这些审计设备就像公司的审计部门,什么都想查你,你的财务是不是有问题?你为什么出差?补助是不是超标了?工作中有没有违规违法问题?操作有没有人监护?真的很烦人,什么都问,什么都想知道。但是,公司越大,就越需要加强内部审计,维护企业的内部安全,防止祸起萧墙的事件发生。
END
扫码关注
网络安全研究所
更多精彩等着你
2657
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
