众元教育2020-0603班-下一代防火墙技术分享

引入:为什么有了AF还需要下一代防火墙?

众元教育2020-0603班-下一代防火墙技术分享_第1张图片

  • IT业务逐渐变得复杂,安全边界慢慢消失;

  • 攻击更加复杂,更加隐蔽,更加高明;

  • 静态的防御渐渐失效。
    众元教育2020-0603班-下一代防火墙技术分享_第2张图片

  • 传统安全产品部署方式是将防火墙、IPS、WAF、AV等串在一起,这样成本高,管理困难,效率低。

UTM(统一威胁管理)
众元教育2020-0603班-下一代防火墙技术分享_第3张图片

  • 只是物理上将设备集合在一起,降低了单点故障概率,消除了设备间的兼容性问题、节省空间成本、简化部署。
  • 但实际工作却还是独立的,存在重复解析,多次拆包多次检测,应用层性能低。
    → 成本高 : 环境 、 空间 、 重复采购;
    → 管理难 : 多 设 备 , 多厂商 、 安全风险无 法分析;
    → 效率低 : 重复解析 、单点故障;

新一代防火墙

  • 新一代的防火墙,具有完整的安全架构,强悍的Web安全防护能力;
    众元教育2020-0603班-下一代防火墙技术分享_第4张图片

  • 智能的攻击行为分析,有效检测APT攻击和僵尸网络;

  • 基于应用的安全监测,直观呈现业务安全风险;

  • 先进的云安全技术,快速发现并阻断新型威胁等。


部署模式

众元教育2020-0603班-下一代防火墙技术分享_第5张图片

路由模式:

  • 路由功能加防火墙功能,对原拓扑改变最大。

透明模式:

  • 交换机功能加防火墙功能,不支持路由功能,对原拓扑改变较小。

虚拟网线模式:

  • 网线加防火墙功能,特殊透明模式,只适合防火墙只有一个出口和一个入口的场景。

混合模式:

  • 给内网用户提供路由模式同时给服务器区提供透明模式。

旁路模式:

  • 仅支持安全审计功能,仅针对tcp的威胁具备终端能力。

应对方法

  • 对威胁的应对方法主要分两个方面:安全可视,持续检测。

众元教育2020-0603班-下一代防火墙技术分享_第6张图片

安全可视

  • 安全可视主要有产品对业务可视,可以深度化的识别数据;客户对攻击可视,将配置过程图形化、防御动态图形化、日志图形化。

实现的方法:

  • 用户可视,通过对用户的身份、终端类型、接入方式、情景位置来实现;
  • 行为可视,通过数据包、流量日志、应用、内容来实现;
  • 业务可视,通过情景位置、软件系统、漏洞、数据来实现。

持续检测

  • 安全保护应用从被动应对转变为主动保护,那么持续检测就是最有效的手段。

终端安全检测和防御技术

  • 终端存在的风险:敏感信息被窃取;被黑客当跳板攻击内网未发布的服务;被抓成肉鸡组成僵尸网络,造成公司网络堵塞、业务受影响;形成僵尸网络等。

控制策略

  • 应用控制可以对应用/服务的访问做双向控制,NGAF存在一条默认拒绝所有服务/应用的控制策略。

  • 基于应用的控制:查看一段报文后,判断数据流属于什么应用,该应用是否合法,然后进行拦截动作的判断。
    优点:识别更加精确。

  • 基于服务的控制:通过匹配数据包的五元组来判断该服务是否为合法服务,对于任何包可以立即进行拦截动作判断。
    优点:检测效率比较高、资源消耗较小。

  • 基于Web的控制:针对符合设定条件的访问网页数据进行过滤,包括URL过滤、文件过滤,根据HTTP的不同动作进行区分,也可以针对HTTPS
    URL进行过滤。


网关杀毒

  • 杀毒方式主要针对特征库进行匹配,有两种方式:
  • 代理扫描方式,将数据流缓存下来进行特征识别;
    病毒识别能力强,但速度慢,延迟高;
  • 流扫描方式,直接对数据流进行特征识别;
    速度快,延迟低,但无法识别加压加壳的病毒。

服务器安全检测和防护

服务器存在的风险:

  • 不必要的访问;外网发起IP或端口扫描、DDOS攻击等;
  • 根据软件版本的已知漏洞进行,口令暴力破解,SQL注入,XSS跨站脚本攻击等;
  • 扫描网站开放的端口以及弱密码;
  • 网站被攻击者篡改等。

DoS攻击和防御技术

  • DoS,拒绝服务攻击,常用来是服务器或网络瘫痪;
  • DDoS,分布式拒绝服务攻击,源ip来自不同用户的Dos攻击。

目的是为了消耗带宽,消耗服务器资源,引发服务器宕机。

有多种类型:如ICMP,UDP,DNS洪水攻击,发送大量所属协议的数据包到达占据服务端带宽;

  • SYN洪水攻击,利用TCP三次握手,大量发起请求包占用服务端资源,使服务器资源耗尽或TCP请求分配资源耗尽;
  • 畸形数据包攻击,发送畸形的攻击数据引发系统错误的分配大量系统资源,使主机处于挂机状态或宕机。
  • CC攻击,控制主机发大量数据包给服务器造成服务器资源耗尽,主要用来攻击页面。
  • 慢速攻击,CC的变种,对开放了HTTP访问的HTTP服务器建立连接后,发起速度非常低的包,维持连接不断开,占满可用连接,导致拒绝服务。

防护方式:

  • 通过代理来实现拒绝数据包的通过。

IPS入侵检测和防御检测

众元教育2020-0603班-下一代防火墙技术分享_第7张图片

IPS:入侵防御系统

  • 对网络、系统的运行状况进行监视并可发现组织各种攻击企图、攻击行为,通过特征识别,丢弃实时的攻击数据。

常见入侵手段:

  • worm蠕虫,网络设备、服务器漏洞,后门、木马、间谍软件等。

IPS防护原理:

  • 通过对数据包应用层里的数据内容进行威胁特征检查,并与IPS规则库进行比对,如果匹配则拒绝该数据包,从而实现应用层IPS的防护。

IPS防护方式:

  • 保护服务端和客户端(一般为病毒、密码),保护服务器软件(应用服务器提供的应用),保护客户端软件(OS、IE等)。

WEB攻击检测和防御技术

  • Web应用防火墙,主要对http请求和响应报文中的数据进行检查和过滤,用于保护Web服务器不受攻击,而导致软件服务中断或被远程控制。
  • 常见攻击手段:SQL注入,XSS攻击,网页木马,网站扫描等;

网页防篡改技术

背景:

  • Web系统越来越重要,存在安全隐患遭到各种攻击,对网站内网进行篡改可能导致经济、名誉、政治上的损失。

解决方案:

  • 文件保护系统+下一代防火墙紧密结合,文件监控+二次认证功能紧密联动。
  • 文件保护系统采用最先进的文件过滤驱动技术。
  • 文件监控系统会发现并阻止非管理员对web内容的修改,并留下日志记录。

二次认证:

  • 管理员登陆时,要求管理员的账户口令还会要求管理员邮箱,通过发送验证码给邮箱,管理员使用验证码进行二次认证来跳转到后台页面。
  • 黑客无法正常登录网站后台,除非它获取了管理员的邮箱地址,并且破解管理员邮箱后才可破解登录后台。

今天关于下一代防火墙技术分享到此未完待续,欢迎大家在评论区留言讨论。爱好学习网络知识的小伙伴们,一键三连,关注 虫博士ovo 学习网络就此不再迷路,谢谢大家。

你可能感兴趣的:(笔记)