網絡安全到底怎么學���?
其實入門這東西并不一定代表要學的特別透徹����,你看,搞弱電的總想著多學點網絡���,學網絡的總想著多看點開發,搞開發的又覺得安全不錯……這就是個輪回啊��。
這個行業要是深入學習���,真的可以學上個幾百年��,沒有容易學的東西,沉下心+堅持才是拿下一切的根本之道。
很多想了解網絡安全的打工人,大多數都沒學過安全技術和產品,編程可能從未接觸過����,也不必談經手過幾個項目了����。
學習網絡安全��,第一步并不是要把安全學的多深入����,而是要把基礎穩固����,學習之后的內容才能有效率。
“還是先打好基礎吧����,老弟�!”
今天��,我就和你分享一篇關于網絡安全的基礎知識���,希望能幫助到你����。
01 防火墻(Firewall)
定義:都知道防火墻是干什么用的�����,但我覺得需要特別提醒一下,防火墻抵御的是外部的攻擊�,并不能對內部的病毒 ( 如ARP病毒 ) 或攻擊沒什么太大作用�����。
功能 :
防火墻的功能主要是兩個網絡之間做邊界防護, 企業中更多使用的是企業內網與互聯網的 NAT�、包過濾規則��、端口映射等功能。生產網與辦公網中做邏輯隔離使用, 主要功能是包過濾規則的使用。
部署方式 : 網關模式����、透明模式
網關模式是現在用的最多的模式, 可以替代路由器并提供更多的功能,適用于各種類型企業透明部署是在不改變現有網絡結構的情況下,將防火墻以透明網橋的模式串聯到企業的網絡中間����, 通過包過濾規則進行訪問控制���,做安全域的劃分���。
至于什么時候使用網關模式或者使用透明模式�, 需要根據自身需要決定��, 沒有絕對的部署方式��。需不需要將服務器部署在 DMZ區,取決于服務器的數量、 重要性�����,總之怎么部署都是用戶自己的選擇��。
高可用性 : 為了保證網絡可靠性�����,現在設備都支持主-主���、主- 備等各種部署����。
02 防毒墻
定義 : 相對于防火墻來說,一般都具有防火墻的功能�, 防御的對象更具有針對性��,那就是病毒。
功能 : 同防火墻���, 并增加病毒特征庫, 對數據進行與病毒特征庫進行比對����,進行查殺病毒��。
部署方式 : 同防火墻,大多數時候使用透明模式部署在防火墻或路由器后或部署在服務器之前���,進行病毒防范與查殺
03 入侵防御 (IPS)
定義 : 相對于防火墻來說,一般都具有防火墻的功能����,防御的對象更具有針對性��, 那就是攻擊。防火墻是通過對五元組進行控制�,達到包過濾的效果�����, 而入侵防御 IPS,則是將數據包進行檢測 (深度包檢測 DPI)對蠕蟲�、病毒、木馬、拒絕服務等攻擊進行查殺���。
功能 : 同防火墻,并增加 IPS 特征庫����,對攻擊行為進行防御�����。
部署方式 : 同防毒墻。
特別說明一下 : 防火墻允許符合規則的數據包進行傳輸�,對數據包中是否有病毒代碼或攻擊代碼并不進行檢查����, 而防毒墻和入侵防御則通過更深的對數據包的檢查彌補了這一點�。
04 統一威脅安全網關 (UTM)
定義 : 簡單的理解, 把威脅都統一了�,其實就是把上面三個設備整合到一起了����。
功能 : 同時具備防火墻、 防毒墻���、入侵防護三個設備的功能。
部署方式 : 因為可以代替防火墻功能�����, 所以部署方式同防火墻���。
現在大多數廠商�����,防病毒和入侵防護已經作為防火墻的模塊來用,在不考慮硬件性能以及費用的情況下���, 開啟了防病毒模塊和入侵防護模塊的防火墻,和UTM其實是一樣的�。
至于為什么網絡中同時會出現 UTM和防火墻�、防病毒�����、入侵檢測同時出現����。
第一�����,實際需要����,在服務器區前部署防毒墻���, 防護外網病毒的同時��, 也可以檢測和防護內網用戶對服務器的攻擊��。
第二,花錢,大家都懂的��?�?傊€是那句話��,設備部署還是看用戶。
05 IPSEC VPN
把 IPSEC VPN放到網絡安全防護里���,其實是因為大多數情況下�, IPSEC VPN的使用都是通過上述設備來做的,而且通過加密隧道訪問網絡�����,本身也是對網絡的一種安全防護���。
定義 : 采用 IPSec 協議來實現遠程接入的一種 VPN技術����。
功能 : 通過使用 IPSEC VPN使客戶端或一個網絡與另外一個網絡連接起來,多數用在分支機構與總部連接����。
部署方式 : 網關模式�、旁路模式
鑒于網關類設備基本都具備 IPSEC VPN功能���,所以很多情況下都是直接在網關設備上啟用 IPSEC VPN功能����,也有個別情況新購買IPSEC VPN設備,在對現有網絡沒有影響的情況下進行旁路部署�,部署后需要對 IPSEC VPN設備放通安全規則�����,做端口映射等等���。
也可以使用 windows server 部署 VPN���。相比硬件設備���,自己部署沒有什么花費,但 IPSEC VPN受操作系統影響��,相比硬件設備穩定性會差一些�����。
以上設備常見廠家:
Juniper Check Point Fortinet (飛塔)思科 天融信 山石網科 啟明星辰 深信服 綠盟 網御星云 網御神州 華賽 梭子魚 迪普 H3C
06 網閘
定義 : 全稱安全隔離網閘�。安全隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接����, 并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。
功能 : 主要是在兩個網絡之間做隔離并需要數據交換�����,網閘是具有中國特色的產品���。
部署方式 : 兩套網絡之間
防火一般在兩套網絡之間做邏輯隔離��, 而網閘符合相關要求���,可以做物理隔離��,阻斷網絡中 tcp 等協議,使用私有協議進行數據交換�����,一般企業用的比較少�����, 在對網絡要求稍微高一些的單位會用到網閘 .
07 SSL VPN
定義 : 采用 SSL協議的一種 VPN技術�����,相比 IPSEC VPN使用起來要更加方便�,畢竟 SSL VPN使用瀏覽器即可使用。
功能 : 隨著移動辦公的快速發展����,SSL VPN的使用也越來越多�����,除了移動辦公使用,通過瀏覽器登錄SSL VPN連接到其他網絡也十分方便, IPSEC VPN更傾向網絡接入����,而 SSL VPN更傾向對應用發布
部署 : SSL VPN的部署一般采用旁路部署方式�����,在不改變用戶網絡的狀況下實現移動辦公等功能。
08 WAF (Web Application Firewall) web 應用防護系統
定義 : 名稱就可以看出, WAF的防護方面是 web應用��,說白了防護的對象是網站及 B/S 結構的各類系統�。
功能 : 針對 HTTP/HTTPS協議進行分析,對 SQL注入攻擊��、XSS攻擊 Web攻擊進行防護�����,并具備基于 URL 的訪問控制�����;HTTP協議合規��;Web敏感信息防護�����;文件上傳下載控制�;Web 表單關鍵字過濾�����。網頁掛馬防護�����, Webshell 防護以及 web應用交付等功能。
部署 : 通常部署在 web應用服務器前進行防護
IPS 也能檢測出部分web攻擊,但沒有WAF針對性強�,所以根據防護對象不同選用不同設備����,效果更好 �。
09 網絡安全審計
定義 : 審計網絡方面的相關內容
功能 : 針對互聯網行為提供有效的行為審計、 內容審計���、 行為報警、行為控制及相關審計功能。滿足用戶對互聯網行為審計備案及安全保護措施的要求,提供完整的上網記錄,便于信息追蹤��、系統安全管理和風險防范�����。
部署 : 采用旁路部署模式����,通過在核心交換機上設置鏡像口��,將鏡像數據發送到審計設備���。
10 數據庫安全審計
定義 : 數據庫安全審計系統主要用于監視并記錄對數據庫服務器的各類操作行為。
功能 : 審計對數據庫的各類操作����,精確到每一條 SQL命令���,并有強大的報表功能���。
部署 : 采用旁路部署模式��,通過在核心交換機上設置鏡像口,將鏡像數據發送到審計設備�����。
11 日志審計
定義 : 集中采集信息系統中的系統安全事件����、用戶訪問記錄、系統運行日志�、系統運行狀態等各類信息�,經過規范化�、過濾、歸并和告警分析等處理后�,以統一格式的日志形式進行集中存儲和管理����,結合豐富的日志統計匯總及關聯分析功能�����, 實現對信息系統日志的全面審計�����。
功能 : 通過對網絡設備��、安全設備����、主機和應用系統日志進行全面的標準化處理,及時發現各種安全威脅����、異常行為事件��,為管理人員提供全局的視角,確?�?蛻魳I務的不間斷運營安全部署 : 旁路模式部署�。通常由設備發送日志到審計設備, 或在服務器中安裝代理����,由代理發送日志到審計設備。
12 運維安全審計 ( 堡壘機 )
定義 : 在一個特定的網絡環境下�,為了保障網絡和數據不受來自內部合法用戶的不合規操作帶來的系統損壞和數據泄露����, 而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件�、網絡活動��,以便集中報警、記錄�、分析�、處理的一種技術手段�����。
功能 : 主要是針對運維人員維護過程的全面跟蹤��、 控制、記錄�、回放,以幫助內控工作事前規劃預防、事中實時監控��、違規行為響應�����、事后合規報告�、事故追蹤回放���。
部署 : 旁路模式部署����。使用防火墻對服務器訪問權限進行限制,只能通過堡壘機對網絡設備 / 服務器 / 數據庫等系統操作��。
可以看出審計產品最終的目的都是審計�����,只不過是審計的內容不同而已�����, 根據不同需求選擇不同的審計產品, 一旦出現攻擊、非法操作�����、違規操作���、誤操作等行為����,對事后處理提供有利證據。
13 入侵檢測( IDS)
定義 : 對入侵攻擊行為進行檢測
功能 : 通過對計算機網絡或計算機系統中若干關鍵點收集信息并對其進行分析, 從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象
部署 : 采用旁路部署模式,通過在核心交換機上設置鏡像口�,將鏡像數據發送到入侵檢測設備。
入侵檢測雖然是入侵攻擊行為檢測�, 但監控的同時也對攻擊和異常數據進行了審計���,所以把入侵檢測系統也放到了審計里一起介紹��。入侵檢測系統是等保三級中必配設備。
14 上網行為管理
定義 : 顧名思義,就是對上網行為進行管理
功能 : 對上網用戶進行流量管理、上網行為日志進行審計���、對應用軟件或站點進行阻止或流量限制、關鍵字過濾等
部署 : 網關部署�、透明部署����、旁路部署
網關部署 : 中小型企業網絡較為簡單,可使用上網行為管理作為網關, 代替路由器或防火墻并同時具備上網行為管理功能
透明部署 : 大多數情況下�,企業會選擇透明部署模式�,將設備部署在網關與核心交換之間���,對上網數據進行管理
旁路部署 : 僅需要上網行為管理審計功能時�,也可選擇旁路部署模式, 在核心交換機上配置鏡像口將數據發送給上網行為管理
個人覺得上網行為管理應該屬于網絡優化類產品, 流控功能是最重要的功能��,隨著技術的發展�����,微信認證���、防便攜式 wifi 等功能不斷完善使之成為了網工的最愛�����。
15 負載均衡
定義 : 將網絡或應用多個工作分攤進行并同時完成, 一般分為鏈路負載和應用負載 ( 服務器負載 )
功能 : 確保用戶的業務應用能夠快速、 安全、可靠地交付給內部員工和外部服務群 , 擴展網絡設備和服務器的帶寬�����、 增加吞吐量��、加強網絡數據處理能力、提高網絡的靈活性和可用性
部署 : 旁路模式����、網關模式��、代理模式
旁路模式 : 通常使用負載均衡進行應用負載時,旁路部署在相關應用服務器交換機上����,進行應用負載
網關模式 : 通常使用鏈路負載時���,使用網關模式部署
隨著各種業務的增加���,負載均衡的使用也變得廣泛��, web應用負載,數據庫負載都是比較常見的服務器負載����。鑒于國內運營商比較惡心�,互聯互通問題較為嚴重��,使用鏈路負載的用戶也比越來越多��。
16 漏洞掃描
定義 : 漏洞掃描是指基于漏洞數據庫, 通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測�����, 發現可利用的漏洞的一種安全檢測(滲透攻擊)行為�����。
功能 : 根據自身漏洞庫對目標進行脆弱性檢測, 并生產相關報告�,提供漏洞修復意見等��。一般企業使用漏洞掃描較少,主要是大型網絡及等��、分保檢測機構使用較多����。
部署 : 旁路部署, 通常旁路部署在核心交換機上����, 與檢測目標網絡可達即可��。
17 異常流量清洗
對異常流量的牽引、 DDoS流量清洗、 P2P帶寬控制、流量回注���,也是現有針對 DDOS攻擊防護的主要設備����。
部署 : 旁路部署
18 VPN
定義:VPN ( Virtual Private Network )虛擬專用網絡 ,簡單的講就是因為一些特定的需求��, 在網絡與網絡之間��, 或終端與網絡之間建立虛擬的專用網絡,通過加密隧道進行數據傳輸 ( 當然也有不加密的 ) �,因其部署方便且具有一定的安全保障��,被廣泛運用到各個網絡環境中。
分類:常見的 VPN有 L2TP VPN �����、PPTP�、VPN、IPSEC��、VPN�、SSL����、VPN以及 MPLS VPN。
部署:主要采用網關模式和旁路模式部署兩種�����。
使用專業VPN硬件設備建立VPN時多為旁路部署模式����, 對現有網絡不需要改動, 即使 VPN設備出現問題也不會影響現有網絡。使用防火墻 / 路由器自帶VPN功能建立 VPN時, 隨其硬件部署模式部署�。
實現方式:
1. 通過使用專業 VPN軟件來建立 VPN
優點 : 投入較少��,部署比較靈活
缺點 : 穩定性受服務器硬件、操作系統等因素影響
2. 通過使用服務器自行架設 VPN服務器建立 VPN,windows 服務器為主
優點 : 投入較少,部署比較靈活, windows 系統自帶
缺點 : 穩定性受服務器硬件�、操作系統等因素影響�����,需自行配置
3. 通過使用防火墻 / 路由器設備自帶 VPN功能建立 VPN
優點 : 投入較少,穩定性好
缺點 : 因使用現有設備自帶 VPN模塊,對 VPN訪問量較大的需求不建議使用,以免出現設備性能不足影響防火墻 / 路由器使用�。作為現有設備的自帶模塊�����,無法滿足用戶特殊要求。部署方式相對固定
4. 通過使用專業的 VPN硬件設備建立 VPN
優點 : 產品成熟適用于各種 VPN場景應用,功能強大,性能穩定����。
缺點 : 比較花錢�����,硬件設備需要花錢, 用戶授權需要花錢, 反正啥都需要花錢
19 MPLS
VPN 運營商使用較多����,使用場景多為總部與分支機構之間。
其他 VPN因部署方便����,成本較低成為現在使用最為廣泛的 VPN�。
L2TP VPN與 PPTP VPN因使用的隧道協議都屬于二層協議����,所以也稱為二層 VPN。IPSEC VPN則采用 IPSec 協議��,屬于三層 VPN����。
SSL VPN是以 HTTPS協議為基礎 VPN技術,使用維護簡單安全���,成為 VPN技術中的佼佼者。
該文章在 2023/7/31 12:07:28 編輯過
400 186 1886
