6-1 安全产品&防火墙(完)

分类

按安全事件发生顺序

• 事前预防：在安全事件发生之前，发现信息系统本身存在安全隐患，修复、避免等方式进行加固，防止被利用
• 事中防护：在安全事件发生前时，实时发现非法者的攻击行为，并及时阻断，保证信息系统的安全
• 事后补偿：在安全事件发生后，追查非法者的攻击方式、ip等入侵证据，便于信息系统的加固和追责

按安全的功能

• 合规及安全管理类：用于安全检查、发现网络设备、主机、服务器中存在的漏洞和不合规的配置
• 攻防类：用于保护系统中的网络设备、主机、服务器、应用等稳定运行，阻止黑客攻击
• 安全审计类：对网络异常行为的管理和监测，如网络连接和访问的合法性进行控制、监测网络攻击事件等，便于追责

等级保护

信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护

扫描器

• 原理：自动化漏洞扫描

• 常见扫描器及工具

安全基线核查（BVS）

概念

安全的最低标准

核查内容

• 操作系统：Windows、Linux、(AIX、Unix、Solaris)
• 数据库：SQL Server、Oracle、MYSQL、DB2
• 网络设备：Cisco、华为、中兴、H3C
• 应用中间件：IIS、Apache、Tomcat
• 虚拟化设备：VMware等

常见产品

• 绿盟安全配置核查系统（NSFOCUS BVS）：NSFOCUS BVS 可以部署应用在小规模网络安全运维环境中，另外，针对需要携带设备到现场的监督检查使用要求，提供了便携式工业硬件的 BVS NX3-P 型号。使用NSFOCUS BVS，通过简单部署即可完成业务系统安全配置检查工作
• 天融信基线管理系统TopTBM
• 神州泰岳Ultra-BMS 安全基线管理系统：Ultra-BMS用于协助企业建立构建核心重要IT资源的安全配置基线，以及实现企业IT资产资源的“安全基线快照”，建立和动态监控管理，同时并基于强大自动化工具属性，也是提供企业入网安全辅导、入网安全验收、日常安全巡检管理等的重要场景，实现动态监控管理及综合安全管控能力重要自动化工具。Ultra-BMS 是帮助企业开展综合安全合规管理的利器

防火墙

概念

• 又称防护墙，三层设备，保护一个区域免受来自另一个区域的网络攻击和网络入侵行为
• 发展历史：
  • 包过滤(访问控制)
  • 应用代理(代理技术)
  • 状态检测(会话机制)
  • UTM(多功能叠加)
  • 下一代防火墙NGFW(DP技术，基于用户+应用+内容进行修改)

防火墙 & 路由器

• 防火墙本质是控制，而路由器本质是转发

特征

• 逻辑区域过滤器
• 隐藏内网网络架构
• 自身安全保障
• 主动防御攻击

分类

• 按形态：
  • 硬件防火墙
  • 软件防火墙
• 按保护对象
  • 单机防火墙：保护单独设备
  • 网络防火墙：保护一个网络设备组成的范围
• 按访问控制方式
  • 包过滤防火墙
    • 只检测IP、TCP报头
    • 缺点：无法关联数据包之间的关系；无法适应多通道协议；通常不检查应用层数据
  • 代理防火墙
    • 缺点：处理速度慢，升级困难
  • 状态检测防火墙
    • 安全策略检查；记录会话信息（源IP，目的IP，TCP）
    • 优势：处理后续包速度快；安全性高

防火墙组网方式

• 二层以太网接口：对网络拓扑透明；不需要更改组网

• 三层以太网接口：支持更多安全特性；对网络拓扑有影响(需要考虑部署和网段，如果部署在出口路由的外部，必须用三层)

安全区域

• 概念 ：为了在防火墙上区分不同网络，引入了安全区域。安全区域即是一个或多个接口所连接的网络，是区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的路线

• 区域分类：

  • 缺省安全区域：非受信任区域untrust、非军事化区域DMZ、受信区域Trust、本地区域Local(防火墙自己接口)
  • 用户自定义安全区域：User zone1、User zone2

• 将接口划分到安全区域来确定不同网络，华为防火墙一个接口只能接入到一个安全区域

  • 可以存在两个具有相同安全级别的安全区域
  • 不允许存在同一物理接口分属于两个不同的安全区域
  • 不同接口可以属于同一安全区域

• 安全区域方向：

  • 入方向（inbound：数据由低安全级别的安全区域向高安全级别的安全区域传输的方向）
  • 出方向（outbound：数据由高安全级别的安全区域向低安全级别的安全区域传输的方向）

• 安全区域的受信任程度和安全级别：

安全区域配置

• 给防火墙的两端配IP，主机和服务器的网关就是防火墙的接口地址
  

• 防火墙一般禁用ping，需要手动开启

• 配置安全区域，将接口加入到安全区域中（设置priority是自动添加的）。此时主机和服务器之间依然是不通的，因为安全区域只是建立了防火墙内部的通道，还需要啥合之安全策略来做关卡

安全策略

• 包过滤技术：核心技术市访问控制列表；根据设置好的静态规则而来判断是否允许通过。缺省包过滤默认是拒绝的

• 安全策略：按一定规则控制设备对安全区域间的流量继续宁转发和内容安全一体化检测的策略

• 配置安全策略，主机就可以ping到服务器。再定义策略是从untrust到trust区域的，就可以反向ping通

• 状态检测和会话机制：当一个报文访问服务器，经过防火墙时，防火墙允许报文通过，并且建立会话，记录下pc发出的报文信息，包含地址和端口。当服务器回应时防火墙就会将回应报文和会话进行对比，信息匹配就会允许，后续的报文都会直接允许

• 会话表项的五元组信息：协议；源地址；源端口；目的地址；目的端口。只要这五元组相同的报文都会被认为是同一条流。动态生成的，但不是永远存在，因为存在老化时间

• 内容安全一体化检测：

• UTM：入侵防御---->反病毒---->URL过滤

• 下一代防火墙-NGFW：一体化检测。即先匹配安全策略，再决定是否允许，禁止就阻拦，允许就进行下一步，根据检测配置文件检测报文

• 多通道协议——FTP：即通信过程中会占用两个以上端口的协议主动模式，PORT，端口号是具体值；被动模式，PASV，端口号是任意的

• ASPF & Server-map表：利用ASPF或NAT Server功能，可以创建Server-map表，该表就是在某些特殊应用在通信过程中临时协商端口号等信息时，自动获取应用层数据相关信息并创建的会话表项，但不是当前连接信息，而是对当前连接分析后对即将到来报文的预测。

• 防火墙收到报文先匹配会话表，如果没有命中就匹配server-map表，如果命中就不受安全策略控制，最后为server-map表中的数据创建会话表

NAT——地址转换

• 只对报文的源地址进行转换

• 分类

  • 不带端口转换的地址池方式（No-PAT）：内部私网用户共享地址池中的IP地址。地址转换的同时不进行端口转换，适用于某些服务需要使用特定的源端口，不允许进行源端口转换的场景
    

  • 带端口转换的地址池方式（NAPT）：一般适用于私网用户较多的大中型网络环境，多个私网用户可以共同使用一个公网IP地址，根据端口区分不同用户

攻击防范

• DDos攻击：分布式拒绝服务式攻击，攻击者控制僵尸主机向目标发送大量攻击报文

  • 分为流量式攻击（SYN Flood、UDP Flood、ICMP Flood）和应用层攻击（HTTP Flood、HTTPS Flood、DNS Flood ）
  • NGFW(下一代防火墙)可以防范SYN Flood、UDP Flood等常见的DDoS攻击

• 单包攻击（Dos攻击）：

  • 扫描类攻击主要包括IP地址扫描和端口扫描，IP地址扫描是指攻击者发送目的地址不断变化的IP报文（TCP/UDP/ICMP）来发现网络上存在的主机和网络，从而准确的发现潜在的攻击目标。端口扫描是指通过扫描TCP和UDP的端口，检测被攻击者的操作系统和潜在服务。攻击者通过扫描窥探就能大致了解目标系统提供的服务种类和潜在的安全漏洞，为进一步侵入系统做好准备
  • 畸形报文类攻击是指通过向目标系统发送有缺陷的IP报文，使得目标系统在处理这样的IP报文时发生错误，或者造成系统崩溃，影响目标系统的正常运行。主要的畸形报文攻击有Ping of Death、Teardrop等
  • 特殊报文类攻击是指攻击者利用一些合法的报文对网络进行侦察，这些报文都是合法的应用类型，只是正常网络很少用到。主要的特殊报文攻击有超大ICMP报文控制、Tracert和时间戳选项IP报文控制等
    

应用行为控制

• 常用于企业内部对内网用户的上网（HTTP）行为和FTP行为进行管理。
• 特性功能
  • HTTP：浏览网页控制、POST外发内容控制大小、HTTP代理控制、上传下载文件控制
  • FTP：上传下载文件控制、删除文件控制

常见产品

安恒明御下一代防火墙

思科下一代防火墙Firepower 4100 系列

华为下一代防火墙USG6600系列

深信服下一代防火墙

入侵防护系统（IDS & IPS）

• 可以监视网络或吉安市网络资料传输行为，可及时中断、调整或隔离一些不正常的网络行为
• IDS：入侵检测系统
• IPS：入侵防御系统
• 常见产品：绿盟入侵防护系统（NIPS）、天融信入侵防御系统TopIDP、启明星辰天清、迪普入侵防护系统、网神

web应用防火墙（WAF）

• 又称应用级入侵防御系统。通过执行一系列针对HTTP/HTTPS的安全策略来提供保护
• web应用：外部业务系统：门户、搜索、电商、网银、游戏…；内部业务系统：教育、绩效…；内部职能系统：OA系统、ERP…

软WAF

安全狗、悬镜、阿里云云盾

硬WAF

绿盟科技web应用防火墙（WAF）；天融信WEB防火墙(TOP-WAF)；安恒明御web应用防火墙；迪普web应用防火墙；网神web用防火墙

防篡改产品

明御®安恒网站卫士网页防篡改

天融信网页防篡改系统：系统主要功能是通过文件底层驱动技术对Web站点目录提供全方位的保护，防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏

抗拒绝服务攻击

• 分布式拒绝服务攻击（DDos），借助于客户/服务器技术，将多个计算机联合起来对一个或多个目标进行访问，造成服务的瘫痪
• 产品：绿盟抗拒绝服务系统；中新金盾抗拒绝服务系统

上网行为管理

• 上网行为管理是指帮助互联网用户控制和管理对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析
• 产品：深信服上网行为管理AC；360网康上网行为管理 ICG
• 企业网：
  • 在数据中心部署上网行为管理，对进入数据中心的流量进行行为和内容审计，防止泄密事件发生。
  • 开启应用控制和网页过滤策略，限制访问和使用工作无关的网络应用。
  • 开启防共享接入功能，研发区网络全面禁止共享接入。
  • 基于网站、应用、用户、时间等多维度统计报表，让管理者对网络使用情况一目了然
• 校园网
  • 通过论坛发帖审计功能，完整记录发帖信息，方便学校管理员及时定位发帖人和发帖时间。
  • 与原有计费系统实现联动，实现IP、主机名等信息与学号相对应，为后续行为管控和日志查询提供便利。
  • 通过流量管理策略控制或阻断P2P等流量，保障其他应用的网络带宽。
  • 通过三权分立功能，使日志查询、策略建立、策略审核权限分开，不同管理员通过U-Key方式登录设备，查询各自权限下的数据。
  • 开启防共享接入功能，对账号可接入的终端数量进行限制，防止私接行为

VPN

• 在公用网络上建立专用网络，进行加密通讯。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问
• 产品：深信服SSL VPN；山石网科VPN

数据库审计

• （简称DBAudit），采用旁路模式部署。能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数据资产安全
• 产品：深信服数据库安全审计系统DAS；天融信数据库审计TopAudit-DB；安恒明御®数据库审计与风险控制系统

堡垒机

• 在一个特定网络下，为保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、记录、分析、处理的一种技术手段。即IT运维系统
• 产品：绿盟科技堡垒机（SAS-H）；天融信堡垒主机（TA-SAG）；启明星辰天玥（堡垒机）；江南科友HAC堡垒机齐治堡垒机帕拉迪堡垒机

网闸

使用多种带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备，不以协议进行信息交换，只以数据文件形式传递，这样相当于隔离，也就更安全。支支持静态数据的交换，如静态WEB页面、邮件文件等

态势感知

是一个检测、预警、响应处置的大数据安全分析平台，以全流量分析为核心，结合很多技术，再损失之前及时发现

技术手段。即IT运维系统

• 产品：绿盟科技堡垒机（SAS-H）；天融信堡垒主机（TA-SAG）；启明星辰天玥（堡垒机）；江南科友HAC堡垒机齐治堡垒机帕拉迪堡垒机

网闸

使用多种带有多种控制功能的固态开关读写介质，连接两个独立主机系统的信息安全设备，不以协议进行信息交换，只以数据文件形式传递，这样相当于隔离，也就更安全。支支持静态数据的交换，如静态WEB页面、邮件文件等

态势感知

是一个检测、预警、响应处置的大数据安全分析平台，以全流量分析为核心，结合很多技术，再损失之前及时发现