一、信息安全产品
美国的信息安全标准分类:NIST SP800
信息安全产品9类:鉴别、访问控制、入侵检测、防火墙、公钥基础设施、恶意程序代码防护、漏洞扫描、取证、介质清理或擦除
国内有些产品在国外不流行,如上网行为管理
国外有些产品在国内不流行或被集成:垃圾邮件防火墙
中国公安部分类:
信息安全等级保护7类:操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别
中国军用标准分类6类:物理安全产品、平台安全产品、网络安全产品、数据安全产品、用户安全产品、管理安全产品
按用途分类
安全网关类:防火墙、UTM、网闸、抗DDOS墙、负载均衡、VPN、上网行为管理
评估工具类:漏洞扫描系统、网络分析系统
威胁管理类:入侵检测系统(IDS)、入侵防御系统(IPS)、WEB应用防火墙、网络防毒墙、杀毒软件
应用监管类:堡垒机、审计系统、DB防火墙、终端安全管理系统、Mail防火墙、安全运维平台(SOC)、IT运维管理平台
安全保密类:加密机、三合一、身份认证系统、文件加密系统
二、防火墙-Firewall-FW
网络层安全防护设备,本质是软件硬件相结合,用于边界安全的访问控制、安全域的划分。
下一代防火墙 Nest Generation Firswall 应用层防火墙(不仅仅是web应用),覆盖三层和七层,能根据应用协议和应用内容进行允许或阻断。会有一些垃圾邮件、防病毒之类的功能。
理论上策略配置一对:由外而内、由内而外
状态检测:状态检测防火墙不只考察单独数据包,而是以连接为基础,将属于一个连接的包合并观察。
防火墙的三种模式:
透明模式:直接穿透,用户无感知
单臂模式:旁挂在路由器上,逻辑上使数据包在fw上走一圈再回路由器。
路由模式:边界防护时常见,数据包必须穿过fw,代替实现路由功能,实现静态动态IP分配
防火墙常见模块(包括了一些下一代防火墙的功能):
接口目前网络连接情况
NAT:映射策略
路由:路由功能
VPN(IPSec方式、SSL方式、LTP方式)
Web认证
802.1x
链路负载均衡
安全策略:允许和拒绝,总有管理员喜欢permit all
攻击防护
ARP防护:MAC和IP绑定
会话数限制
URL过滤
网络关键字过滤
邮件过滤
日志查看
日志配置
日志服务器
三、统一威胁管理-Unified threat managemeng-UTM
UTM功能一般比较多,综合了防火墙、IPS、防病毒网关、防垃圾邮件、绿色上网、VPN等功能,但是导致了功能开的多的时候,一台UTM处理这么多内容容易出现性能不足。
所以大单位往往选择购买单独设备,而不是用一台UTM包揽。
部署方式:透明模式、路由模式、旁挂模式
常见模块:
基本配置
防火墙功能
路由功能
流量监测
主动防御
负载均衡
入侵防护
反垃圾邮件
旁路检测
抗拒绝服务
上网行为管理
会话限制
VPN
IPV6
统一认证(准入):协同终端软件
CA认证:导入某证书,才能解包这个网站的HTTPS数据包
有的会有漏洞扫描功能
日志服务器
四、网闸-GAP
安全隔离网闸,带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
网闸是链路层设备,和交换机同样。
不能算物理隔离,但等保2.0目前并不严格要求内外网物理隔离(保密单位会要求?)。
物理隔离,必须保证两个网络完全分离,任何设备不能在中间串联。
与主要起访问控制的防火墙(非第二代)相比,应用数据过滤检查、病毒木马检查的功能强一些,防止泄密。
网闸有两个主板,两排接口,以固态开关读写介质以连接两个独立主机系统(内网主机和外网主机)。两个主机系统间不存在通信的物理连接、逻辑连接、信息传输协议、信息传输命令,只有数据文件的无协议摆渡。
一台部署在内外网边界的网闸:
内网-接口-网闸内网单元缓冲区-网闸两单元交换区-网闸外网单元缓冲区-接口-外网
在没有数据交换需求时,内网与网闸内网主机,外网与网闸外网主机默认断开。
内网向网闸请求数据交换,交换区、外网接口切断,内网接口处进行数据输入。
读取结束后,内外网接口均关闭,交换区内进行无协议传输。
其他区域关闭,网闸外网主机重新开启连接,向外网目标服务器发送数据。
安全性比防火墙高,因为只存在文件摆渡,协议、命令、连接均不能通过。
主要功能:安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证、入侵检测
五、抗DDOS防火墙(云服务商的流量清洗也使用)
针对Dos攻击的安全设备,补上FW、Waf、IPS的短板。
放在边界最外侧。
部署方式:
串联,直接清洗
旁挂,引流清洗后把正常的流量回注
由外而内的攻击,由内而外的攻击,都会消耗客户的网络资源,都要进行检测。
也可能存在内部之间的Ddos攻击。
(启明星辰的天清异常流量管理与抗拒绝服务系统)
特殊的,抗CC攻击,有的设备可以在检测到过多访问时,提问。如中国首都是哪,之类,进行人机判断。
有的会有针对DNS服务器的保护措施。
六、负载均衡
负载均衡
负载均衡分为链路负载和应用负载(服务器负载)
将同一个任务分摊到多个操作单元进行,例如Web服务器、FTP服务器、企业关键应用服务器等,从而共同完成工作任务。
提供一种廉价有效的方式扩展网络设备和服务器的带宽、增加吞吐量、加强数据处理能力、提高网络灵活性和可用性。实现资源有效利用,分担压力,避免资源分布不均。
负载均衡的算法:
依序:每个服务器,轮流承担压力
比重:不同承载能力的服务器分配不同的包
流量比例
使用者端
应用类别
联机数量
服务类别
自动分配
部署方式:
路由模式:服务器将负载均衡LAN口设置为网关,所有流量经过(WAN和LAN属于不同网络)。部署灵活,大部分使用这个。
桥接模式:串行不改变现有网络结构,WAN、LAN、服务器在同一逻辑网络。
服务直接返回模式(DSR):不使用LAN,全部连在WAN上。相应客户端的不是负载均衡的IP,而是服务器自己的IP地址。适合吞吐量大特别是内容分发的网络应用。
有的负载均衡也有些防火墙功能。
七、VPN虚拟专用网络
在公用网络上建立专用网络,进行加密通讯。VPN网关通过对数据包进行加密以及数据包目标地址转换来实现远程访问。
按隧道协议分类:PPTP、L2TP、IPSec、SSL。
常用的两类VPN:SSLVPN(B/S架构浏览器打开,HTTPS为基础,不需要装客户端)、IPSec(基于IPSec协议,需要客户端)
VPN工作原理
1.VPN网段采用双网卡,外网卡接入internet,内网卡接入专用网
2.公网终端A对内网终端B发出访问请求,目标地址为B的内部IP地址
3.外网的VPN网关接收到A的请求,发现属于B的内部地址,则封装该数据包。同时VPN网关生成一个新的VPN数据包,并将封装后的原数据包作为VPN包的负载,发到内网VPN网段地址。
4.内网VPN网段检查发现该数据包来自外网VPN网关,则判断为VPN数据包,进行解包。将VPN包的包头分离,再将数据包还原为原始数据包。
5.内网VPN网关将还原后的包发给目标终端B,数据包已还原,因此目标IP依然是B的内网地址。而在B看来,收到的包和A直接发过来的一样。
6.返回过程相同。
部署方式:一般部署在边界上
单臂模式(旁挂在交换机)
路由模式
透明模式
八、上网行为管理
帮助互联网用户控制和管理对互联网的使用,包括网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。
在国外有侵犯隐私的质疑,主要在国内。
主要功能:上网人员管理、终端接入管理(类似准入?)、邮件管理、网页发帖管理、上网应用管理、流量管理(禁掉视频、下载之类)、行为分析。
部署在网络出口边界。
部署方式:
网关模式
网桥模式
透明模式
九、入侵检测系统IDS
IDS分为四个组件:
事件产生器:从整个计算环境中获得事件,并向其他部分提供此事件。
事件分析器:分析数据并产生结果。
相应单元:对分析结果作出反应,做出报警、切断链接、改变文件属性的动作。
事件数据库:存放中间和最终数据。
部署方式:
旁路部署:核心交换机上开放镜像端口,流量镜像分析
十、入侵防御系统IPS
检测+防御
IPS不能像IDS一样在旁路部署,必须串行,会对网络造成影响,如造成网络延迟,IPS故障也会对网络可用性造成威胁。
因此部分单位不会采购IPS。
IPS也有bypass功能:
软件bypass,当IPS系统死机,自动启动软件bypass,不再检测拦截数据包,直接通过。
硬件bypass,物理层硬件故障,两个口之间可以直接通过数据包。即使设备断电也不会影响数据通过。
防火墙一般在二到四层,在上面几乎没有。
防病毒软件一般在五到七层。
IPS在网络层、传输层、应用层等多个层上工作。
IPS比IRS更高级,不仅依赖于特征检测-阻断,也会有行为分析的效果,更加智能。
单机入侵防御系统(HIPS):类似于单机防火墙,用的很少
网络入侵防御系统(NIPS):广义的IPS。
十一、Web应用防火墙WAF
解决传统防火墙无法处理的应用层web安全问题,检测和阻断web应用程序面临的安全风险。
Waf可能包括Web防护、网页保护(防篡改)、负载均衡、应用和交付(直接部署为应用的服务器)。
waf具有四方面功能:
审计功能:截获HTTP数据
访问控制功能:控制对Web的访问
架构/网络设计功能:当运行在反向代理模式时
Web应用加固功能:保护web应用安全性
事前主动防御
事中智能响应:阻断,防止扩散,告警
事后行为审计
部署在服务器区域前端,针对Web应用进行防护
部署方式:
网桥模式:前后不同网段
透明模式:透明桥
代理模式:作为web应用服务器的代理,文件都放在waf上,攻击都针对waf
支持双bypass,保证串行的可用性
十二、网络防毒墙
主要用于防护网络层的病毒
部署在网络出口。
部署模式:
透明模式
旁路模式(只检测不能阻断)
一般功能:
分析检测阻止双向流量中的病毒
间谍软件回传阻止
防钓鱼
过滤下载中的病毒
快速定位内部威胁终端
十三、堡垒机(运维审计系统)
核心系统运维,安全审计管控,内置rdp、ssh、telnet等各类协议。
功能:
单点登录:服务器、数据库、网络设备、安全设备等一系列授权账号进行自动化密码更改,实现单点登录
账号管理:账号集中管理,且可以设置特殊自动逸账户角色如审计员、运维操作员、设备管理员等。
身份认证:提供统一认证接口对用户进行认证,支持动态口令、静态密码、硬件KEY、生物特征等,可与第三方认证服务器结合进行认证。
资源授权:提供基于用户、目标设备、时间、协议类型、IP、行为等要素的操作授权。
访问控制:不同用户不同资源策略。
操作审计:全程操作审计,违规行为事中控制。
部署方式:
切断用户直接访问资源的路径,所有用户都能访问到堡垒机且堡垒机能访问所有资源,位置灵活。
串行、旁挂、放在服务器区都可以。
十四、审计系统
网络审计:针对网络协议进行审计记录
数据库审计:记录数据库操作并支持回放
综合审计:综合以上两者
记录、审计、告警、回放
部署方式:核心交换机的镜像流量,旁路部署,不对网络造成影响
十五、数据库防火墙
部署方式:串联部署在数据库服务器前,必须通过数据库防火墙才能管理和访问数据库。
数据库安全技术:数据库防火墙,数据库漏扫,数据库加密,数据库脱敏,数据库安全审计系统等。
数据库安全风险:脱库,刷库,撞库。
攻击手段:SQL注入。
功能:对内部用户的恶意行为(不同权限用户所能执行的语句不同)和外部攻击进行主动监控、识别、告警、阻挡。
1.屏蔽直接访问数据库的通道
2.二次认证(数据库防火墙和数据库两次认证)
3.攻击保护
4.连接监控(实时监控数据库连接,可断开可以连接)
5.安全审计
6.审计探针(可作为数据库审计系统的探针)
7.精细化权限控制
8.精确SQL语法分析
9.自动SQL学习(主动监控和分析行为安全性)
10.透明部署
十六、垃圾邮件防火墙(垃圾邮件网关、防垃圾邮件系统)
抵御垃圾邮件钓鱼邮件、病毒邮件、欺诈邮件等。
SMTP本身是一个简化的邮件递交协议,缺乏必要的身份认证,可以伪造发信人特征(swak),导致垃圾邮件泛滥。还缺少必要的行为控制,不能有效甄别垃圾邮件发送行为(较短时间内发送大量邮件)。
SMTP协议中包含VRFY、EXPN等协议,黑客可利用这些命令获取存在漏洞的邮件系统的系统账号等信息。
邮件防火墙可以过滤垃圾邮件,屏蔽不安全协议,擦除发送邮件中包含的冗余路由信息,组织开放式中继。
部署方式:
串行部署在服务器前端,或部署为服务器模式也可以当
十七、终端安全管理系统
主要功能:包含了准入控制,U盘监管、非法外联监控、打印审计、刻录审计、文件监管、进程监管、系统服务监管、IPMAC 绑定、程序安装监管、硬件监管(禁用USB)、补丁分发、网络连接监管等。
实现作用:
1.高效的终端管理,监管、告警、定位、资产管理。
2.可信软件统一分发。
3.主动防御
4.终端接入控制(认证接入、带宽控制)
5.远程维护和管理
6.终端行为审计
7.终端设备控制(USB、光驱、打印机、各类串口)
部署:一般结合准入控制硬件和其他准入控制设施
需要安装服务端、控制台、客户端
联软的UniAccess就是终端安全管理产品
十八、安全管理平台SOC(安全运维平台):日志审计系统
部署方式:
部署在服务器区域内,安装服务端、控制台、采集引擎,终端上安装插件,网络设备、安全设备上配置SNMP协议用于发送信息。
十九、IT运维管理平台
对网络、服务器、应用、安全设备、网络设备、终端、机房基础环境进行统一监控和管理。
实现内存、CPU占用、带宽占用等资源管理功能。
部署在服务器区域内,安装服务端、控制台、采集引擎,终端上安装插件,网络设备、安全设备上配置SNMP协议用于发送信息。
二十、加密机
在广域网或城域网两个节点间,实现点对点加密的信息技术设备。
加密机和主机之间使用TCP/IP通信,所以加密机对主机和操作系统类型没有任何要求。
根据加密协议的层次,可以分为链路加密机、网络加密机、应用层加密机。
加密机支持国际上常用的多种密码算法:
公钥算法:SM2、RSA、DSA等
对称算法:SM4、SM1、RC4、DES、3DES等
单项散列:SM3、SHA1、MD5等
一般部署位置:
发送节点-交换机-路由器-加密机-城域网-加密机(进行解密)-路由器-交换机-目的节点
可能实现的功能:
1.密钥管理,密钥产生,密钥分发,密钥分散
2.数据加解密
3.数据完整性保护
4.摘要
二十一、三合一系统
全称涉密计算机移动存储介质保密管理系统(单向导入、涉密U盘、非法外联),由软硬件两部分组成。
单向导入:
单向导入盒:三个口,一个普通U盘,两个涉密U盘,两种口规格不同。以及一个口连接计算机。
涉密U盘。
红色U盘,USB口和普通U盘不同。以导入盒为中介,连接移动介质和计算机。
非法外联:
软件,安装后监控网络和移动介质情况,并可禁止通过网络、移动介质等外联行为。
但是可以使用打印机、刻录光盘等数据流出行为,所以一般也有审计工具。
部署方式:
非法外联软件为CS架构,需要客户端和服务器端。
单向导入盒需要终端装驱动。
二十二、数据泄密防护DLP(数据丢失防护、信息泄露防护)
数据泄露途径:
1.使用状态下的泄密:操作失误导致泄露,打印剪切复制粘贴另存为重命名等操作泄露。
2.存储泄露:数据中心服务器数据库的数据被随意下载和共享,离职人员通过移动介质带走,移动笔记本被盗维修丢失时泄露。
3.传输泄露:通过邮件QQ微信等传输泄露,通过网络监听行为窃取篡改数据。
DLP功能:
1.服务器器加密维护,由硬件或软件,对上传服务器的文档自动中止传输解密,下载文档进行中止传输并加密。
2.局域网中的敏感文档中止传输并强迫加密。
3.文档外发监管,在发送到系统外的文档/移动介质被打开时,需要认证。
4.离线脱机办公管理,出差时笔记本需要离线,则可以配置其中数据的安全管理。
5.笔记本电脑管理,磁盘加密。
6.内网端口管理和移动设备管理,自动中止和加密
7.文档自动备份
8.日志审计
防止文件流出,防止文件明文传输