攻击与防御

防火墙技术

所谓防火墙指的是一个由软件和硬件设备组合而成，在内部网和外部网之间，专用网与公共网之间的界面上构造的保护屏障是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与intranet之间建立一个安全网关（Security Gateway）,从而保护内部网络免受非法用户的侵入。

防火墙主要由服务访问规则、验证工具、包过滤、和应用网关4部分组成。

包过滤型防火墙

• 包是网络上数据信息流动的基本单位，它是由数据负载和协议头两个部分组成
• 包过滤是基于协议头内容进行过滤的
• 特点

1. 他是最快的防火墙，操作处于网络层与传输层，只粗略检查头部
2. 因为端点之间可以通过防火墙直接连接，一旦防火墙允许某一连接，就会允许外部计算机直接连接到防火墙后目标，从而暴露了内部网络

应用代理防火墙

• 应用代理防火墙的原理是较大程度上隔绝两端的直接通信，所有的通信都要由应用层代理转发，访问者不允许与服务器建立直接的TCP链接，应用层的协议会话过程必须符合代理的安全策略要求。
• 应用层网关针对特别的应用服务协议来却低估数据过滤逻辑。这种技术参与到一个TCP连接的全过程，在应用层建立协议过滤和转发功能，故叫应用层网关。
• 特点

1. 花费更多的时间处理，可疑行为不放过
2. 安全性高
3. 不完全透明的支持服务与应用，同一种代理只提供一种服务
4. 大量消耗CPU

电路级网关型防火墙

坚实两主机的握手服务，仅转发，复制。

• 在IP层代理各种高级会话，具有隐藏内部网络信息的能力，且透明性高
• 对会话建立后传输的具体内容不再做进一步分析，因此安全性降低
• 电路级网关建立两个TCP连接，确定那些连接时允许的
• 和包过滤防火墙一样都是依靠特定的逻辑来判断是否运行数据包通过，但并不检测包中内容
• 又同应用级代理防火墙一样，不允许内外计算机直接建立连接

状态检测型防火墙

状态包检测模式增加了更多的饱和报之间的安全上下文检查，以达到与应用级代理防火墙相似的安全性。

特点：

• 查看完前面包后，把它记载状态信息库中，来确定对后面包采取的动作
• 抵御SYN 洪水攻击：如果接收到的TCP第一次握手数据速率没有超过设定值，就组织TCP第一次握手数据通过
• 抵御TCP端口扫描：如果发现某个IP向另一个IP的多个端口不断发送TCP报文段的速率超过设定值，就阻止该IP段的TCP报文段

优点：

• 工作在协议栈的较底层，通过防火墙的所有数据包堵在网络层与数据层处理，因此减少了开销，提高了效率。
• 一个连接在防火墙中建立起来，就不再其进行更多处理，系统就可以处理其他连接，执行效率得到进一步提高

 

入侵检测技术

• 入侵检测（Intrusion Detection）是对入侵行为的检测，它通过收集和分析网络行为，安全日志，审计数据，其他网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
• 实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。
• 入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。

技术发展：

入侵检测系统类型

• 基于主机的入侵检测系统（HIDS）

HIDS全称是Host-based Intrusion Detection System,即基于主机型入侵检测系统，作为计算机系统的监视器和分析器，他并不作用与外部皆苦，而是专注于系统内部，监视系统全部或部分的动态的行为以及整个计算机系统的状态

• 基于网络的入侵检测系统（NIDS）

Network IDS，主要用于检测Hacker或Cracker通过网络进行的入侵活动，NIDS的运行方式有两种，一种是在目标主机上运行以监测其本身的通信信息，另一种是在一台单独的机器上运行以检测所有网络设备的通信信息，比如Hub，路由器

• 分布式入侵检测系统

分布式入侵检测系统能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，一般是分布式结构，由多个部件构成，主要部件有：网络引擎、主机代理、存储系统、分析系统、响应系统、控制台

入侵检测产品选择要点：

系统价格、特征库升级与维护费用、网络入侵监测系统的最大可处理流量、考虑产品被躲避绕过的可能性、产品的可伸缩性、运行与维护系统的开销、产品支持的入侵特征数、有那些应急方案、是否通过了国家权威机构的测评

 

IDS ：入侵检测系统

IPS ：入侵防御系统

“IPS（Intrusion Prevention System , 入侵防御系统）对于初始者来说，IPS位于防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。

假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

 

 

安全审计技术

概述

• 计算机网络安全审计（Audit）指按照一定的安全策略，利用记录，系统活动和用户活动等信息检查，审查和校验操作时间的环境及活动，从而发现系统漏洞，入侵行为或改善系统性能的过程 ，也是审查评估系统安全风险并采取相应措施的一个过程
• 级别上分三种类型

1. 系统级审计：针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查
2. 应用级审计：针对应用程序的活动信息，如打开和关闭数据文件，读取，编辑，删除记录或字段的等特定操作，以及打印报告等
3. 用户级审计：用户级审计主要是审计用户的操作活动信息，如用户直接启动的所有命令，用户所有的鉴别和认证操作，用户所访问的文件和资源等信息

网络安全审计产品类型：

主机审计、设备审计、网络审计、数据库审计、终端审计、用户行为审计

网络安全审计产品功能：

• 信息采集功能：通过某种手段获取需要审计的数据：日志、网络数据包、SSID等
• 信息分析功能：对数据进行分析、审计、这是审计产品的核心，审计效果好坏由此体现出来
• 信息存储功能：对于采集的原始数据，以及审计后的信息都要进行保存、备查。并可以作为取证的依据
• 信息展示功能：包括展示界面，统计分析报表功能，报警响应功能，设备联动功能等等（直观体现）

网络安全审计技术

• 基于神经网络：一个神经网络知识根据单元和他们的权值间用连接编码成网络结构。网络通过改变但愿转台，改变连接权值，加入一个连接或者移去他们来指示一个事件异常
• 基于专家系统：DIDS和CMDS都是采用早期的这种模型，优点是把系统的控制推理从问题解决的描述中分离出去
• 基于代理：代理可以被看做网络中执行某项特定的监视任务的软件实体，通常分布在网络的主机上，其中监视器是关键模块
• 基于免疫系统：通过识别异常或者以前未出现的特征来确定入侵，其本质就是“自我/非自我”的决定能力
• 基于数据挖掘：从大量的日志行为记录数据中抽象出有利于进行判断和比较的特征模型，并可由用户判断该网络行为的性质

安全监控技术

概念：通过实时监控网络或主机活动，监视分析用户和系统的行为，审计系统配置和漏洞，评估敏感系统的数据完整性，试别攻击行为，对异常行为进行统计和跟踪，识别跟踪违反安全的行为。

功能：

1. 访问控制-加强用户访问系统资源及服务时的安全控制，防止非法用户的入侵及合法用户的非法访问
2. 系统监控-实时监控系统的运行状态，包括运行进程、系统设备、系统资源和网络服务等，判断在线用户的行为，禁止其非法操作
3. 系统审计-对用户的行为及系统进行跟踪 

内容：

• 主机应用监控-对主机中的进程、服务和应用程序窗口进行控制
• 主机外设监视-对受控主机的USB端口、串行端口、并行端口等外设接口，以及USB盘、软驱、光驱等控制
• 网络连接监控-实现对非法主机的接入隔离和对合法主机网络行为的管控

一方面对非法接入的主机进行识别、报警和隔离；另一方面实现对合法主机网络访问行为的监控，包括网络地址端口控制、网络URL控制、邮件控制、拨号连接控制、网络共享控制以及网络邻居控制等。

网络安全架构

概述

• 网络安全架构体系是一项复杂工程，需要把安全组织体系、安全技术体系和安全管理体系等手段进行有机融合，构建一体化的整体安全屏障，针对网络安全防护，比较经典的PDRR模型、P2DR模型、IATD框架和黄金标准框架
• 企业的网络安全架构所设计的方面很多，进行企业安全建设中最主要的几部分分别为：团队建设、网络安全体系建设、安全架构规划等

安全团队架构（po图）

安全域划分

• 安全域的目的是将一组安全等级相同的计算机划入同一个安全域，对安全域内的计算机设置相同的网络边界，在网络边界上以最小权限开放对其他安全域的NACL（网络访问控制策略），使得安全域内这组计算机暴露的风险最小化。在发生攻击或者蠕虫病毒等侵害时能将威胁最大化的隔离，减少域外对域内系统的影响。
• 实现方法是采用防火墙部署在边界处来实现，通过防火墙策略控制允许那些IP访问此域，不允许那些访问；允许此域访问那些IP/网段，不允许那些
• 一般将应用、服务器、数据库等归入最高安全域；办公网为中级安全域

 

安全设备部署

基础防火墙FE/NGFW类

主要是可实现基本包过滤策略的防火墙，主要实现限制IP:port的访问、

IDS类部署

• 此类产品基本上以旁路为主，特点是不阻断任何网络访问，主要以提供报告和事后监督为主，少量的类似产品还提供TCP阻断等功能，但少有使用。

IPS类部署

• 跟IDS一样，也要定义N中已知的攻击模式，并主要通过模式匹配去阻断非法访问，致命缺点就是不能主动的学习攻击方式，对于模式库中不能试别出来，默认策略是允许访问的

WAF部署模式

• 根据WAF工作方式以及原理不同可以分为四种工作模式透明代理模式、反向代理模式、路由代理模式和及端口镜像模式。前三种模式也被统称为在线模式，通常需要将WAF串行部署在WEB服务器前端，用于检测并阻断异常流量。端口镜像模式也称为离线模式，部署也相对简单，只需要将WAF旁路接在WEB服务器上游的交换机上，用于只检测异常流量。

虚拟专用网络技术

VPN概念：

• 虚拟专用网络被定义为通过一个公用网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全，稳定的隧道。
• VPN依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术，在虚拟专用网络中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路。
• VPN是对企业内部网的扩展。

功能: 加密数据、信息验证和身份识别、提供访问控制、地址管理、密钥管理、多协议支持

技术：隧道技术、加解密技术、密钥管理技术、身份认证技术

VPN我认为可以说是一个基于安全和隐私为基础考虑的网络隧道，两个隧道口（自己的IP和目标IP是不变的），当然多次跳转节点的例外。所以自己的数据在隧道中别人是看不到的，而且是专用的，隧道可以理解为在地下，就像现实中的隧道绕过大山一样，有些可以绕过GFW（咳咳~）、企业可以绕过外网限制，让员工访问公司内网正常办公。

有什么不对的，欢迎大家指正，小白努力中........