一、Firewall（防火墻）

　　1.1、定義：是一個有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡(luò)的安全保護。

　　1.2、主要功能：1.過濾進、出網(wǎng)絡(luò)的數(shù)據(jù)??2.防止不安全的協(xié)議和服務(wù)?3.管理進、出網(wǎng)絡(luò)的訪問行為??4.記錄通過防火墻的信息內(nèi)容?5.對網(wǎng)絡(luò)攻擊進行檢測與警告??6.防止外部對內(nèi)部網(wǎng)絡(luò)信息的獲取??7.提供與外部連接的集中管理

　　1.3、主要類型：

　　　?。?）網(wǎng)絡(luò)層防火墻??基于源地址和目的地址、應(yīng)用、協(xié)議以及每個IP包的端口來作出通過與否的判斷。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認規(guī)則，一般情況下，默認規(guī)則就是要求防火墻丟棄該包，其次，通過定義基于TCP或UDP數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。?

　　　　（2）應(yīng)用層防火墻??針對特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。

　　1.4、主動被動

　　傳統(tǒng)防火墻是主動安全的概念，因為默認情況下是關(guān)閉所有的訪問，然后再通過定制策略去開放允許開放的訪問。

　　1.5、下一代防火墻（NGFW）

　　主要是應(yīng)對應(yīng)用層威脅的高性能防火墻。可以做到智能化主動防御、應(yīng)用層數(shù)據(jù)防泄漏、應(yīng)用層洞察與控制、威脅防護等特性。??下一代防火墻在一臺設(shè)備里面集成了傳統(tǒng)防火墻、IPS、應(yīng)用識別、內(nèi)容過濾等功能既降低了整體網(wǎng)絡(luò)安全系統(tǒng)的采購?fù)度?，又減去了多臺設(shè)備接入網(wǎng)絡(luò)帶來的部署成本，還通過應(yīng)用識別和用戶管理等技術(shù)降低了管理人員的維護和管理成本。

　　1.6、使用方式

　　防火墻部署于單位或企業(yè)內(nèi)部網(wǎng)絡(luò)的出口位置。

　　1.7、局限性：1.不能防止源于內(nèi)部的攻擊，不提供對內(nèi)部的保護?2.不能防病毒?3.不能根據(jù)網(wǎng)絡(luò)被惡意使用和攻擊的情況動態(tài)調(diào)整自己的策略?4.本身的防攻擊能力不夠，容易成為被攻擊的首要目標

?文章來源地址http://www.zghlxwxcb.cn/news/detail-743435.html

二、IDS（入侵檢測系統(tǒng)）

　　2.1、定義：通過從網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵節(jié)點收集并分析信息，監(jiān)控網(wǎng)絡(luò)中是否有違反安全策略的行為或者是否存在入侵行為。入侵?檢測系統(tǒng)通常包含3個必要的功能組件：信息來源、分析引擎和響應(yīng)組件。

　　2.2、工作原理

　　　　（1）信息收集收集包括收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。入侵檢測利用的信息一般來自：系統(tǒng)和網(wǎng)絡(luò)日志文件、非正常的目錄和文件改變、非正常的程序執(zhí)行這三個方面。

　　　　（2）信號分析對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，是通過模式匹配、統(tǒng)計分析和完整性分析這三種手段進行分析的。前兩種用于實時入侵檢測，完整性分析用于事后分析。

　　　　（3）告警與響應(yīng)根據(jù)入侵性質(zhì)和類型，做出相應(yīng)的告警與響應(yīng)。

　　2.3、主要功能

　　它能夠提供安全審計、監(jiān)視、攻擊識別和反攻擊等多項功能，對內(nèi)部攻擊、外部攻擊和誤操作進行實時監(jiān)控，在網(wǎng)絡(luò)安全技術(shù)中起到了不可替代的作用。

　　　　2.3.1、實時監(jiān)測：實時地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報文，發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文。

　　　　2.3.2、安全審計：對系統(tǒng)記錄的網(wǎng)絡(luò)事件進行統(tǒng)計分析，發(fā)現(xiàn)異?，F(xiàn)象，得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)。

　　　　2.3.3、主動響應(yīng)：主動切斷連接或與防火墻聯(lián)動，調(diào)用其他程序處理。

　　2.4、主要類型

　　　　2.4.1、基于主機的入侵檢測系統(tǒng)(HIDS)：基于主機的入侵檢測系統(tǒng)是早期的入侵檢測系統(tǒng)結(jié)構(gòu)，通常是軟件型的，直接安裝在需要保護的主機上。其檢測的目標主要是主機系統(tǒng)和系統(tǒng)本地用戶，檢測原理是根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件。這種檢測方式的優(yōu)點主要有：信息更詳細、誤報率要低、部署靈活。這種方式的缺點主要有：會降低應(yīng)用系統(tǒng)的性能；依賴于服務(wù)器原有的日志與監(jiān)視能力；代價較大；不能對網(wǎng)絡(luò)進行監(jiān)測；需安裝多個針對不同系統(tǒng)的檢測系統(tǒng)。

　　　　2.4.2、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS)：基于網(wǎng)絡(luò)的入侵檢測方式是目前一種比較主流的監(jiān)測方式，這類檢測系統(tǒng)需要有一臺專門的檢測設(shè)備。檢測設(shè)備放置在比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，它對所監(jiān)測的網(wǎng)絡(luò)上每一個數(shù)據(jù)包或可疑的數(shù)據(jù)包進行特征分析，如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測系統(tǒng)就會發(fā)出警報，甚至直接切斷網(wǎng)絡(luò)連接。這種檢測技術(shù)的優(yōu)點主要有：能夠檢測那些來自網(wǎng)絡(luò)的攻擊和超過授權(quán)的非法訪問，不需要改變服務(wù)器等主機的配置，也不會影響主機性能，風(fēng)險低配置簡單。其缺點主要是：成本高、檢測范圍受局限；大量計算，影響系統(tǒng)性能；大量分析數(shù)據(jù)流，影響系統(tǒng)性能；對加密的會話過程處理較難；網(wǎng)絡(luò)流速高時可能會丟失許多封包，容易讓入侵者有機可乘；無法檢測加密的封包；對于直接對主機的入侵無法檢測出。

　　2.5 、主動被動

　　入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。絕大多數(shù)IDS系統(tǒng)都是被動的,也就是說，在攻擊實際發(fā)生之前，它們往往無法預(yù)先發(fā)出警報。

　　2.6、使用方式

　　作為防火墻后的第二道防線，適合以旁路接入方式部署在具有重要業(yè)務(wù)系統(tǒng)或內(nèi)部網(wǎng)絡(luò)安全性、保密性較高的網(wǎng)絡(luò)出口處。

　　2.7、局限性

　　　?。?）誤報率高：主要表現(xiàn)為把良性流量誤認為惡性流量進行誤報，還有些IDS產(chǎn)品會對用戶不關(guān)心事件的進行誤報。

　　　　（2）產(chǎn)品適應(yīng)能力差：傳統(tǒng)的IDS產(chǎn)品在開發(fā)時沒有考慮特定網(wǎng)絡(luò)環(huán)境下的需求，適應(yīng)能力差。入侵檢測產(chǎn)品要能適應(yīng)當(dāng)前網(wǎng)絡(luò)技術(shù)和設(shè)備的發(fā)展進行動態(tài)調(diào)整，以適應(yīng)不同環(huán)境的需求。

　　　?。?）大型網(wǎng)絡(luò)管理能力差：首先，要確保新的產(chǎn)品體系結(jié)構(gòu)能夠支持數(shù)?以百計的IDS傳感器；其次，要能夠處理傳感器產(chǎn)生的告警事件；最后還要解決攻擊特征庫的建立，配置以及更新問題。

　　　?。?）缺少防御功能：大多數(shù)IDS產(chǎn)品缺乏主動防御功能。

　　　?。?）處理性能差：目前的百兆、千兆IDS產(chǎn)品性能指標與實際要求還存在很大的差距。

?

三、IPS（入侵防御系統(tǒng)）

　　3.1、定義：能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計算機網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。

　　3.2、主要功能

　　　?。?）入侵防護：實時、主動攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、Dos等惡意流量，保護企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機。

　　　　（2）Web安全：基于互聯(lián)網(wǎng)Web站點的掛馬檢測結(jié)果，結(jié)合URL信譽評價技術(shù)，保護用戶在訪問被植入木馬等惡意代碼的網(wǎng)站時不受侵害，及時、有效地第一時間攔截Web威脅。

　　　　（3）流量控制：阻斷一切非授權(quán)用戶流量，管理合法網(wǎng)絡(luò)資源的利用，有效保證關(guān)鍵應(yīng)用全天候暢通無阻，通過保護關(guān)鍵應(yīng)用帶寬來不斷提升企業(yè)IT產(chǎn)出率和收益率。

　　　　（4）上網(wǎng)監(jiān)管：全面監(jiān)測和管理IM即時通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻，以及在線炒股等網(wǎng)絡(luò)行為，協(xié)助企業(yè)辨識和限制非授權(quán)網(wǎng)絡(luò)流量，更好地執(zhí)行企業(yè)的安全策略。

　　3.3、技術(shù)特征

　　　　（1）嵌入式運行：只有以嵌入模式運行的?IPS設(shè)備才能夠?qū)崿F(xiàn)實時的安全防護，實時阻攔所有可疑的數(shù)據(jù)包，并對該數(shù)據(jù)流的剩余部分進行攔截。

　　　　（2）深入分析和控制：IPS必須具有深入分析能力，以確定哪些惡意流量已經(jīng)被攔截，根據(jù)攻擊類型、策略等來確定哪些流量應(yīng)該被攔截。

　　　　（3）入侵特征庫：高質(zhì)量的入侵特征庫是IPS高效運行的必要條件，IPS還應(yīng)該定期升級入侵特征庫，并快速應(yīng)用到所有傳感器。

　　　　（4）高效處理能力：IPS必須具有高效處理數(shù)據(jù)包的能力，對整個網(wǎng)絡(luò)性能的影響保持在最低水平。

　　3.3、主要類型

　　　　（1）基于特征的IPS：這是許多IPS解決方案中最常用的方法。把特征添加到設(shè)備中，可識別當(dāng)前最常見的攻擊。也被稱為模式匹配IPS。特征庫可以添加、調(diào)整和更新，以應(yīng)對新的攻擊。

　　　　（2）基于異常的IPS：也被稱為基于行規(guī)的IPS?；诋惓５姆椒梢杂媒y(tǒng)計異常檢測和非統(tǒng)計異常檢測。

　　　　（3）基于策略的IPS：它更關(guān)心的是是否執(zhí)行組織的安保策略。如果檢測的活動違反了組織的安保策略就觸發(fā)報警。使用這種方法的IPS，要把安全策略寫入設(shè)備之中。

　　　　（4）基于協(xié)議分析的IPS：它與基于特征的方法類似。大多數(shù)情況檢查常見的特征，但基于協(xié)議分析的方法可以做更深入的數(shù)據(jù)包檢查，能更靈活地發(fā)現(xiàn)某些類型的攻擊。

　　3.4、主動被動

　　IPS傾向于提供主動防護，其設(shè)計宗旨是預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。

　　3.5、使用方式

　　串聯(lián)部署在具有重要業(yè)務(wù)系統(tǒng)或內(nèi)部網(wǎng)絡(luò)安全性、保密性較高的網(wǎng)絡(luò)出口處。

?

四、WAF（Web應(yīng)用防火墻）

　　4.1、 定義：?通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護的一種設(shè)備。

　　4.2、產(chǎn)生背景

　　當(dāng)WEB應(yīng)用越來越為豐富的同時，WEB?服務(wù)器以其強大的計算能力、處理性能及蘊含的較高價值逐漸成為主要攻擊目標。SQL注入、網(wǎng)頁篡改、網(wǎng)頁掛馬等安全事件，頻繁發(fā)生。企業(yè)等用戶一般采用防火墻作為安全保障體系的第一道防線。但是，在現(xiàn)實中，他們存在這樣那樣的問題，由此產(chǎn)生了WAF（Web應(yīng)用防護系統(tǒng)）。與傳統(tǒng)防火墻不同，WAF工作在應(yīng)用層，基于對Web應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF對來自Web應(yīng)用程序客戶端的各類請求進行內(nèi)容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類網(wǎng)站站點進行有效防護。

　　4.3、主要功能

　　（1）審計設(shè)備：用來截獲所以HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會話。

　　（2）訪問控制設(shè)備：用來控制對Web應(yīng)用的訪問，既包括主動安全模式也包括被動安全模式。

　　（3）架構(gòu)/網(wǎng)絡(luò)設(shè)計工具：當(dāng)運行在反向代理模式，他們被用來分配職能，集中控制，虛擬基礎(chǔ)結(jié)構(gòu)等。

　　（4）WEB應(yīng)用加固工具：這些功能增強被保護Web應(yīng)用的安全性，它不僅能夠屏蔽WEB應(yīng)用固有弱點，而且?能夠保護WEB應(yīng)用編程錯誤導(dǎo)致的安全隱患。主要包括防攻擊、防漏洞、防暗鏈、防爬蟲、防掛馬、抗DDos等

　　4.4、使用方式

　　與IPS設(shè)備部署方式類似，以串聯(lián)部署在web服務(wù)器等關(guān)鍵設(shè)備的網(wǎng)絡(luò)出口處。

?

五、安全審計系統(tǒng)

　　5.1、定義：網(wǎng)絡(luò)安全審計系統(tǒng)針對互聯(lián)網(wǎng)行為提供有效的行為審計、內(nèi)容審計、行為報警、行為控制及相關(guān)審計功能。從管理層面提供互聯(lián)網(wǎng)的有效監(jiān)督，預(yù)防、制止數(shù)據(jù)泄密。滿足用戶對互聯(lián)網(wǎng)行為審計備案及安全保護措施的要求，提供完整的上網(wǎng)記錄，便于信息追蹤、系統(tǒng)安全管理和風(fēng)險防范。

　　5.2、主要類型：根據(jù)被審計的對象（主機、設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)庫、業(yè)務(wù)、終端、用戶）劃分，安全審計可以分為：

　　　　（1）主機審計：審計針對主機的各種操作和行為。

　　　　（2）設(shè)備審計：對網(wǎng)絡(luò)設(shè)備、安全設(shè)備等各種設(shè)備的操作和行為進行審計網(wǎng)絡(luò)審計：對網(wǎng)絡(luò)中各種訪問、操作的審計，例如telnet操作、FTP?操作，等等。

　　　　（3）數(shù)據(jù)庫審計：對數(shù)據(jù)庫行為和操作、甚至操作的內(nèi)容進行審計業(yè)務(wù)審計：對業(yè)務(wù)操作、行為、內(nèi)容的審計。

　　　　（4）終端審計：對終端設(shè)備（PC、打印機）等的操作和行為進行審計，包括預(yù)配置審計。

　　　　（5）用戶行為審計：對企業(yè)和組織的人進行審計，包括上網(wǎng)行為審計、運維操作審計有的審計產(chǎn)品針對上述一種對象進行審計，還有的產(chǎn)品綜合上述多種審計對象。

　　5.3、主要功能

　　　?。?）采集多種類型的日志數(shù)據(jù)，防火墻系統(tǒng)日志，入侵檢測系統(tǒng)日志，網(wǎng)絡(luò)交換及路由設(shè)備的日志，各種服務(wù)和應(yīng)用系統(tǒng)日志。

　　　?。?）日志管理多種日志格式的統(tǒng)一管理。自動將其收集到的各種日志格式轉(zhuǎn)換為統(tǒng)一的日志格式，便于對各種復(fù)雜日志信息的統(tǒng)一管理與處理。

　　　?。?）日志查詢支持以多種方式查詢網(wǎng)絡(luò)中的日志記錄信息，以報表的形式顯示。

　　　?。?）入侵檢測使用多種內(nèi)置的相關(guān)性規(guī)則，對分布在網(wǎng)絡(luò)中的設(shè)備產(chǎn)生的日志及報警信息進行相關(guān)性分析，從而檢測出單個系統(tǒng)難以發(fā)現(xiàn)的安全事件。

　　　?。?）自動生成安全分析報告根據(jù)日志數(shù)據(jù)庫記錄的日志數(shù)據(jù)，分析網(wǎng)絡(luò)或系統(tǒng)的安全性，并輸出安全性分析報告。報告的輸出可以根據(jù)預(yù)先定義的條件自動地產(chǎn)生、提交給管理員。

　　　　（6）網(wǎng)絡(luò)狀態(tài)實時監(jiān)視可以監(jiān)視運行有代理的特定設(shè)備的狀態(tài)、網(wǎng)絡(luò)設(shè)備、日志內(nèi)容、網(wǎng)絡(luò)行為等情況。

　　　?。?）事件響應(yīng)機制當(dāng)審計系統(tǒng)檢測到安全事件時候，可以采用相關(guān)的響應(yīng)方式報警。

　　　　（8）集中管理審計系統(tǒng)通過提供一個統(tǒng)一的集中管理平臺，實現(xiàn)對日志代理、安全審計中心、日志數(shù)據(jù)庫的集中管理。

　　5.4、使用方式

　　　　安全審計產(chǎn)品在網(wǎng)絡(luò)中的部署方式主要為旁路部署。

?

六、漏洞掃描設(shè)備

　　6.1、定義：基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為。

　　6.2 主要功能：

　　可以對網(wǎng)站、系統(tǒng)、數(shù)據(jù)庫、端口、應(yīng)用軟件等一些網(wǎng)絡(luò)設(shè)備應(yīng)用進行智能識別掃描檢測，并對其檢測出的漏洞進行報警提示管理人員進行修復(fù)，同時可以對漏洞修復(fù)情況進行監(jiān)督并自動定時對漏洞進行審計提高漏洞修復(fù)效率。

　?。?）定期的網(wǎng)絡(luò)安全自我檢測、評估安全檢測可幫助客戶最大可能的消除安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進行修補，有效的利用已有系統(tǒng)，提高網(wǎng)絡(luò)的運行效率。

　?。?）安裝新軟件、啟動新服務(wù)后的檢查由于漏洞和安全隱患的形式多種多樣，安裝新軟件和啟動新服務(wù)都有可能使原來隱藏的漏洞暴露出來，因此進行這些操作之后應(yīng)該重新掃描系統(tǒng)，才能使安全得到保障。

　?。?）網(wǎng)絡(luò)承擔(dān)重要任務(wù)前的安全性測試

?

到了這里，關(guān)于網(wǎng)絡(luò)安全設(shè)備工作原理的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！