傻瓜式网络安全套装有:1. WAF 应用防火墙;2. IDS 入侵检测系统;3. IPS 入侵防御系统;4. SOC 安全运营中心;5. SIEM 信息安全和事件管理。其中,WAF 应用防火墙通过特征提取和分块检索技术模式匹配来达到过滤分析校验网络请求包的目的。
一、傻瓜式网络安全套装
1. WAF 应用防火墙
范围:应用层防护软件
作用:
通过特征提取和分块检索技术进行模式匹配来达到过滤,分析,校验网络请求包的目的,在保证正常网络应用功能的同时,隔绝或者阻断无效或者非法的攻击请求。
可防:(源自应用程序的安全漏洞)
SQL注入漏洞,跨站脚本XSS,文件包含和安全配置错误等漏洞
特点:区别与传统防火墙,可以防护特定的应用程序,传统防火墙只能在服务器之间作用
缺点:
1) 特定的防护手段可以被绕过或者无效化,必须同攻击手段一起升级进步,否则将失去效用。
2) 需要和入侵检测系统等安全设备联合使用,且防护程度和网络的性能成反相关。
2. IDS 入侵检测系统
范围:网络层防护软件
作用:(识别攻击行为并且报警)
积极主动的防护措施,按照一定的安全策略,通过软件,硬件对网络,系统的运行进行实时的监控,尽可能地发现网络攻击行为,积极主动的处理攻击,保证网络资源的机密性,完整性和可用性。
特点:
1) 是一个积极主动的监听设备。
2) 无需有流量经过,可以实时镜像流量过去给它分析监控就好。
3) 不影响网络的性能。
4) 部署位置尽可能靠近攻击源或者受保护资源(服务器区域交换机,互联网接入路由后名列前茅个交换机,重点保护源交换机)
缺点:
1) 误报率高
2) 没有主动防御能力,仅仅是监控或者少量的反制能力
3) 不能解析加密的数据流
3. IPS 入侵防御系统
作用:(实时监控网络行为,中断或者调整隔离网络非法行为,比IDS具有防御能力)
是计算机网络安全设施,是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。
必要性:
传统防火墙作用在2-4层,对4层以上的防护作用很小(4层以上需要拆数据包,而拆数据包会影响速率),病毒软件工作在5-7层,这样中间4-5层属于空挡,所以IPS是作为病毒软件和防火墙的补充,作用在4-5层
特点:
比IDS不仅可以防护还具有了反制,组织攻击的能力,防攻兼备
缺点:
IPS的防护方式一般以阻断受保护源和外界的联系为主,这样带来的一个弊端就是,网络资源被保护了,但是同时该网络资源的对外提供的服务也被阻断了或者削弱了,这就导致了一种敌我两伤的局面,而有些服务一旦停止,对运营者来说将是一笔不小的损失。
4. SOC 安全运营中心
作用:
SOC,全称是Security Operations Center,是一个以IT资产为基础,以业务信息系统为核心,以客户体验为指引,从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台,使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化,最终实现业务信息系统的持续安全运营
特点:
既有产品又有服务,需要运营,流程以及人工的有机结合,是一个综合的技术支持平台。他将安全看成一个动态的过程(敌人的攻击手段在变,漏洞在更新,我方的防火手段,业务产品,人员调度等都在变动,没有一个系统可以一劳永逸的抵御所有攻击,只有“魔”,“道”维持一个相对的平衡才是安全)态势感知的根基就是安全运营中心
5. SIEM 信息安全和事件管理
作用:
SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录
SIEM技术较早是从日志管理发展起来的。它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应,与安全信息管理(SIM)——收集、分析并报告日志数据,结合了起来。(从各种安全设备,主机日志等收集数据,然后分析这些数据)
SIEM目前被视为是SOC安全运营中心的基础(大数据—SIEM审计分析—驱动安全运营中心)
缺点:
对数据的检测并非完全准确,存在大量的误报,需要高质量的大量数据支持
延伸阅读:
二、网络安全渗透高级工具
1.Nessus:较好的UNIX漏洞扫描工具
Nessus 是较好的免费网络漏洞扫描器,它可以运行于几乎所有的UNIX平台之上。它不止永久升级,还免费提供多达11000种插件(但需要注册并接受EULA-acceptance–终端用户授权协议)。它的主要功能是远程或本地(已授权的)安全检查,客户端/服务器架构,GTK(Linux下的一种图形界面)图形界面,内置脚本语言编译器,可以用其编写自定义插件,或用来阅读别人写的插件。Nessus已经开发完成(now closed source),其现阶段仍然免费,除非您想获得最新的插件。
2.Wireshark:网络嗅探工具
Wireshark (2006年夏天之前叫做 Ethereal)是一款非常棒的Unix和Windows上的开源网络协议分析器。它可以实时检测网络通讯数据,也可以检测其抓取的网络通讯数据快照文件。可以通过图形界面浏览这些数据,可以查看网络通讯数据包中每一层的详细内容。Wireshark拥有许多强大的特性:包含有强显示过滤器语言(rich display filter language)和查看TCP会话重构流的能力;它更支持上百种协议和媒体类型; 拥有一个类似tcpdump(一个Linux下的网络协议分析工具)的名为tethereal的的命令行版本。不得不说一句,Ethereal已经饱受许多可远程利用的漏洞折磨,所以请经常对其进行升级,并在不安一些平台络或敌方网络(例如安全会议的网络)中谨慎使用之。
3.Snort:一款广受欢迎的开源IDS
一款广受欢迎的开源IDS(Intrusion Detection System)(**检测系统)工具
这款小型的**检测和预防系统擅长于通讯分析和IP数据包登录(packet logging)。Snort除了能够进行协议分析、内容搜索和包含其它许多预处理程序,还可以检测上千种蠕虫病毒、漏洞、端口扫描以及其它可疑行为检测。Snort使用一种简单的基于规则的语言来描述网络通讯,以及判断对于网络数据是放行还是拦截,其检测引擎是模块化的。 用于分析Snort警报的网页形式的引擎 Basic Analysis and Security Engine (BASE)可免费获得。
开源的Snort为个人、小企业、集团用户提供良好的服务。其母公司SourceFire提供丰富的企业级特性和定期升级以丰富其产品线。提供(必须注册)5天免费的规则试用,您也可以在Bleeding Edge Snort找到很多免费规则。
4.Netcat:网络瑞士军刀
这个简单的小工具可以读和写经过TCP或UDP网络连接的数据。它被设计成一个可靠的可以被其它程序或脚本直接和简单使用的后台工具。同时,它也是一个功能多样的网络调试和检查工具,因为它可以生成几乎所有您想要的网络连接,包括通过端口绑定来接受输入连接。Netcat较早由Hobbit在1995年发布,但在其广为流传的情况下并没有得到很好的维护。现在nc110.tgz已经很难找了。这个简单易用的工具促使了很多人写出了很多其它Netcat应用,其中有很多功能都是原版本没有的。其中最有趣的是Socat,它将Netcat扩展成可以支持多种其它socket类型,SSL加密,SOCKS代理,以及其它扩展的更强大的工具。它也在本列表中得到了自己的位置(第71位)。还有Chris Gibson’s Ncat,能够提供更多对便携设备的支持。其它基于Netcat的工具还有OpenBSD’s nc,Cryptcat,Netcat6,PNetcat,SBD,又叫做GNU Netcat。
以上就是关于网络安全的内容希望对大家有帮助。
