關于網(wǎng)絡安全設備總結

這里只是介紹一下這些網(wǎng)絡安全設備的定義，功能，以及它提供了哪些安全性功能，理論偏多。

路由器

路由器其實就是連接多個使用相同協(xié)議網(wǎng)絡的設備，它的作用主要在網(wǎng)絡層（OSI七層模型、TCP/IP四層模型）。
它可以確定網(wǎng)絡流量可以采取的最高有效路徑。用現(xiàn)實生活來比喻就是我們從家里到學校中選擇最快的那條路到達學校。
大部分的路由器不會轉發(fā)廣播流量，如果不懂網(wǎng)絡的話可以看看網(wǎng)絡的一些知識點。

安全相關：路由器中有個訪問控制列表，就是阻止或允許流量的規(guī)則列表。路由器可以通過訪問控制列表來過濾網(wǎng)絡流量并阻止不想要的流量。

交換機

交換機是一種具有多個網(wǎng)絡端口并將多個物理設備網(wǎng)段組合為一個邏輯網(wǎng)絡的設備。它的作用主要是在數(shù)據(jù)鏈路層。當然也有一些交換機能在網(wǎng)絡層工作，如三層交換機，它能執(zhí)行路由的功能。
它的工作原理主要還是通過物理地址（MAC地址），向特定位置上的主機發(fā)送單獨的數(shù)據(jù)包。

安全相關：可以根據(jù)MAC地址限制對特定端口的訪問，可以實現(xiàn)防洪功能，保護不受DoS攻擊，可以實現(xiàn)環(huán)路預防（STP），關閉網(wǎng)絡環(huán)路。

代理

與連接的一端進行通訊時，充當網(wǎng)絡連接另一端的設備。就相當于中間人，如果傳輸過來的流量有異常，可以在中間人這個地方攔截掉，相當于替身防護。

安全相關：
可以用來過濾內(nèi)容，防止有惡意代碼在本機上執(zhí)行；
轉發(fā)代理可以在客戶端的流量離開內(nèi)部網(wǎng)絡之前對其進行攔截；
代理可以修改流量或只是轉發(fā)流量；
反向代理可以攔截來自外部網(wǎng)絡的流量，專門用于保護目標服務器不被破壞。

防火墻

防火墻通過阻止不必要的網(wǎng)絡流量來保護系統(tǒng)或網(wǎng)絡的設備。它的作用是確定需要阻止哪些流量的預定義規(guī)則集。防火墻可以分為軟件防火墻、硬件防火墻。硬件常見的廠商有華為、深信服、思科等；軟件最常見的就是windows的ISA。

安全相關：
防火墻的策略規(guī)則中，除非有明確的允許，否則所有流量都會被阻止，這叫做隱式拒絕。隱式拒絕在所有策略規(guī)則中是最后一條規(guī)則。

負載均衡器

是一種將工作負荷分配到網(wǎng)絡中多個設備之間的設備。有兩種方式分配方式，一種是輪詢調(diào)度：負載均衡器將流量依次轉發(fā)到列表上的每個服務器中，舉個例子：假如有A，B，C三臺服務器，當流量A，B，C，D，E，F(xiàn)經(jīng)過負載均衡器時，負載均衡器將流量A，D發(fā)往A服務器，B，E流量發(fā)往B服務器，C，F(xiàn)流量發(fā)往C服務器中；另一種則是關聯(lián)：負載均衡器將流量轉發(fā)到已經(jīng)和客戶端建立連接的服務器，比如說A客戶端已經(jīng)和B服務器建立連接，當A客戶端的流量經(jīng)過負載均衡器時，負載均衡器將流量轉發(fā)到B服務器中。

安全相關：
負載均衡器能在一定程度上免受DDoS的威脅。

IDS

IDS（入侵檢測系統(tǒng)），是一種可以掃描，評估和監(jiān)控計算機基礎設施，查找其中正在進行的攻擊跡象的系統(tǒng)，IDS能分析數(shù)據(jù)并向安全管理員發(fā)送有關問題的警報。IDS的組成部分包括：硬件傳感器，入侵檢測軟件以及管理軟件。IDS也分為主機IDS和網(wǎng)絡IDS。
網(wǎng)絡IDS主要是使用被動的硬件傳感器監(jiān)控網(wǎng)段中流量的一種IDS。通過嗅探流量并發(fā)送警報?？梢杂脕頇z測流氓系統(tǒng)，偵查行為，攻擊模式等。

IPS

IPS（入侵防御系統(tǒng)），它也可以執(zhí)行IDS的功能，但也能采取措施阻止威脅的一種系統(tǒng)。IDS的功能IPS都有。對于IPS的使用，最主要的還是要符合業(yè)務的需求，如果將規(guī)則設置太嚴，可能會使合法的行為被阻止；規(guī)則設置太寬，則可能會產(chǎn)生漏報的情況。所以管理良好且精心調(diào)整的IPS是可以成為防御入侵的有力工具。

IPS也分為主機IPS和網(wǎng)絡IPS，網(wǎng)絡IPS也叫做NIPS，可以監(jiān)控網(wǎng)絡上的可疑流量并作出反應對其加以阻止。阻止的內(nèi)容包括丟棄不想要的數(shù)據(jù)包或重置連接。NIPS可以根據(jù)特定內(nèi)容規(guī)范流量。

網(wǎng)絡監(jiān)控系統(tǒng)的類型

IDS和IPS主要依靠以下幾種方法來甄別該流量是否是告警流量：

基于簽名：主要是針對已知病毒，通過已知特征來辨別是否為告警流量。

基于異常：是通過異常行為來判斷是否為告警流量，如本不該執(zhí)行遠程連接的計算機卻執(zhí)行此操作，則視為異常行為；但此監(jiān)控系統(tǒng)需要預先配置可接受的事件的基線，如果沒有設置不能執(zhí)行遠程，那么當計算機執(zhí)行遠程也不會產(chǎn)生告警信息。

基于行為：確定實體的表現(xiàn)方式，并將未來的行為方式與此進行比較，檢測未來的行為方式是否偏離了常態(tài)，記錄了對被監(jiān)控實體做出應對的預期模式。

啟發(fā)式（人工智能）：確定實體在特定環(huán)境中的行為方式，可能會推斷出實體是否會對環(huán)境構成威脅。

SIEM

SIEM（安全信息和事件管理），是一種安全解決方案，對網(wǎng)絡硬件和應用程序生成的安全警報提供實時或接近實時的分析。幫助管理員及時發(fā)現(xiàn)潛在的攻擊。
主要功能：

它可以為IDS/IPS提供更深入的了解，減少誤報，漏報等情況；

它通常會從所有類型的聯(lián)網(wǎng)系統(tǒng)日志中提取安全數(shù)據(jù)，用來匯總確保了所有相關日志都會被包含在內(nèi)以便提供一種整體視角。同時關聯(lián)確保了相關事件被放在合適的環(huán)境中。

其他功能：

自動警報；

時間同步，所有類型的聯(lián)網(wǎng)服務器與SIEM時間同步；

刪除重復事件，減少安全員處理數(shù)據(jù)的困難度；

一次寫入多次讀取，保護SIEM的日志安全，防止黑客刪除。

DLP

DLP（數(shù)據(jù)丟失/泄露防御），一種軟件解決方案，可以檢測（尤其是由內(nèi)往外的檢測）和防止敏感信息被盜或以其他方式落入不法之徒手中。它主要通過監(jiān)控數(shù)據(jù)，阻止未授權的破壞，移動或復制。

例如：

網(wǎng)絡層面：檢測通過電子郵件發(fā)送的機密文件并阻止傳輸；

主機層面：可以完全阻止USB端口或阻止特定文件被寫入USB驅動中，防止用戶將敏感數(shù)據(jù)復制到USB驅動中并離開場地。

安全網(wǎng)關

安全網(wǎng)關是用來控制流量，確保入站和出站的網(wǎng)絡流量應用控制措施。

郵件網(wǎng)關也是安全網(wǎng)關的一種，它內(nèi)置垃圾郵件過濾器，拒絕攜帶已知垃圾郵件內(nèi)容的入站電子郵件消息；可以結合DLP方案阻止數(shù)據(jù)泄露到網(wǎng)絡外部。當數(shù)據(jù)離開網(wǎng)絡時，通過加密手段確保數(shù)據(jù)的機密性和完整性。

統(tǒng)一威脅管理

統(tǒng)一威脅管理（UTM），將各種安全技術集中到一臺設施中的系統(tǒng)。通常包括一個單獨的控制臺，從中可以進行防御管理。主要是解決離散系統(tǒng)的成本和復雜性問題而創(chuàng)建的，在一定程度上簡化安全流程并使得對防御的管理變得簡便。
當然也有缺點：容易形成單點故障；而且每增加一個功能模塊會增加負載。

編輯：黃飛

?