學生們去中睿天下面試,進行第二輪海選,其中問到了安全設備的東西,學生從網上CSDN站轉發了一篇文章,覺得不錯,分享出來
現在市場上的主流網絡安全產品可以分為以下幾個大類:
1.基礎防火墻FW/NGFW類
主要是可實現基本包過濾策略的防火墻,這類是有硬件處理、軟件處理等,其主要功能實現是限制對IP:port的訪問。基本上的實現都是默認情況下關閉所有的通過型訪問,只開放允許訪問的策略。FW可以攔截低層攻擊行為,但對應用層的深層攻擊行為無能為力。
FW部署位置一般為外聯出口或者區域性出口位置,對內外流量進行安全隔離。部署方式常見如下
2.IDS類
此類產品基本上以旁路為主,特點是不阻斷任何網絡訪問,主要以提供報告和事后監督為主,少量的類似產品還提供TCP阻斷等功能,但少有使用。
3.IPS類
解決了IDS無法阻斷的問題,基本上以在線模式為主,系統提供多個端口,以透明模式工作。在一些傳統防火墻的新產品中也提供了類似功能,其特點是可以分析到數據包的內容,解決傳統防火墻只能工作在4層以下的問題。和IDS一樣,IPS也要像防病毒系統定義N種已知的攻擊模式,并主要通過模式匹配去阻斷非法訪問,致命缺點在于不能主動的學習攻擊方式,對于模式庫中不能識別出來的攻擊,默認策略是允許
訪問的!
IPS類設備,常被串接在主干路上,對內外網異常流量進行監控處理,部署位置常見如下
4.UTM類安全設備
是以上三者的結合體,按照IDC提出“統一威脅管理”的概念來看,UTM是將防病毒、入侵檢測和防火墻安全設備劃歸到一起“統一管理”的新類別。
IDC將防病毒、防火墻和入侵檢測等概念融合到被稱為統一威脅管理的新類別中,該概念引起了業界的廣泛重視,并推動了以整合式安全設備為代表的市場細分的誕生。由IDC提出的UTM是指由硬件、軟件和網絡技術組成的具有專門用途的設備,它主要提供一項或多項安全功能,將多種安全特性集成于一個硬設備里,構成一個標準的統一管理平臺。
由于性能要求出眾,導致造價一般比較高,目前一般只有大型企業會有使用。
UTM的優點主要有以下幾條
1.整合所帶來的成本降低(一身兼多職嘛!)
2.降低信息安全工作強度 (減輕管理員負擔)
3.降低技術復雜度
UTM也不能一勞永逸的解決所有安全問題,總結下來,有如下缺點
1.網關防御的弊端
網關防御在防范外部威脅的時候非常有效,但是在面對內部威脅的時候就無法發揮作用了。有很多資料表明造成組織信息資產損失的威脅大部分來自于組織內部,所以以網關型防御為主的UTM設備目前尚不是解決安全問題的萬靈藥。
2.過度集成帶來的風險
3.性能和穩定性
5.主動安全類
和前面的產品均不同,主動安全產品的特點是協議針對性非常強,比如WAF就是專門負責HTTP協議的安全處理,DAF就是專門負責數據庫Sql 查詢類的安全處理。在主動安全產品中通常會處理到應用級的訪問流程。對于不認識的業務訪問全部隔離(以下以WAF為重點說明這一類安全設備)。
WAF:Web應用防護系統(Web Application Firewall, 簡稱:WAF)代表了一類新興的信息安全技術,用以解決諸如防火墻一類傳統設備束手無策的Web應用安全問題。與傳統防火墻不同,WAF工作在應用層,因此對Web應用防護具有先天的技術優勢。基于對Web應用業務和邏輯的深刻理解,WAF對來自Web應用程序客戶端的各類請求進行內容檢測和驗證,確保其安全性與合法性,對非法的請求予以實時阻斷,從而對各類網站站點進行有效防護。
5.1 WAF部署位置
通常情況下,WAF放在企業對外提供網站服務的DMZ區域或者放在數據中心服務區域,也可以與防火墻或IPS等網關設備串聯在一起(這種情況較少)。總之,決定WAF部署位置的是WEB服務器的位置。因為WEB服務器是WAF所保護的對象。部署時當然要使WAF盡量靠近WEB服務器。
5.2 WAF部署模式及優缺點
透明代理模式、反向代理模式、路由代理模式及端口鏡像模式。前三種模式也被統稱為在線模式,通常需要將WAF串行部署在WEB服務器前端,用于檢測并阻斷異常流量。端口鏡像模式也稱為離線模式,部署也相對簡單,只需要將WAF旁路接在WEB服務器上游的交換機上,用于只檢測異常流量。
部署模式1 透明代理模式(也稱網橋代理模式)
透明代理模式的工作原理是,當WEB客戶端對服務器有連接請求時,TCP連接請求被WAF截取和監控。WAF偷偷的代理了WEB客戶端和服務器之間的會話,將會話分成了兩段,并基于橋模式進行轉發。從WEB客戶端的角度看,WEB客戶端仍然是直接訪問服務器,感知不到WAF的存在;從WAF工作轉發原理看和透明網橋轉發一樣,因而稱之為透明代理模式,又稱之為透明橋模式。
這種部署模式對網絡的改動最小,可以實現零配置部署。另外通過WAF的硬件Bypass功能在設備出現故障或者掉電時可以不影響原有網絡流量,只是WAF自身功能失效。缺點是網絡的所有流量(HTTP和非HTTP)都經過WAF對WAF的處理性能有一定要求,采用該工作模式無法實現服務器負載均衡功能。
部署模式2 反向代理模式
反向代理模式是指將真實服務器的地址映射到反向代理服務器上。此時代理服務器對外就表現為一個真實服務器。由于客戶端訪問的就是WAF,因此在WAF無需像其它模式(如透明和路由代理模式)一樣需要采用特殊處理去劫持客戶端與服務器的會話然后為其做透明代理。當代理服務器收到HTTP的請求報文后,將該請求轉發給其對應的真實服務器。后臺服務器接收到請求后將響應先發送給WAF設備,由WAF設備再將應答發送給客戶端。這個過程和前面介紹的透明代理其工作原理類似,唯一區別就是透明代理客戶端發出的請求的目的地址就直接是后臺的服務器,所以透明代理工作方式不需要在WAF上配置IP映射關系。
這種部署模式需要對網絡進行改動,配置相對復雜,除了要配置WAF設備自身的地址和路由外,還需要在WAF上配置后臺真實WEB服務器的地址和虛地址的映射關系。另外如果原來服務器地址就是全局地址的話(沒經過NAT轉換)那么通常還需要改變原有服務器的IP地址以及改變原有服務器的DNS解析地址。采用該模式的優點是可以在WAF上同時實現負載均衡。
部署模式3 路由代理模式
路由代理模式,它與網橋透明代理的唯一區別就是該代理工作在路由轉發模式而非網橋模式,其它工作原理都一樣。由于工作在路由(網關)模式因此需要為WAF的轉發接口配置IP地址以及路由。
這種部署模式需要對網絡進行簡單改動,要設置該設備內網口和外網口的IP地址以及對應的路由。工作在路由代理模式時,可以直接作為WEB服務器的網關,但是存在單點故障問題,同時也要負責轉發所有的流量。該種工作模式也不支持服務器負載均衡功能。
部署模式4 端口鏡像模式
端口鏡像模式工作時,WAF只對HTTP流量進行監控和報警,不進行攔截阻斷。該模式需要使用交換機的端口鏡像功能,也就是將交換機端口上的HTTP流量鏡像一份給WAF。對于WAF而言,流量只進不出。
這種部署模式不需要對網絡進行改動,但是它僅對流量進行分析和告警記錄,并不會對惡意的流量進行攔截和阻斷,適合于剛開始部署WAF時,用于收集和了解服務器被訪問和被攻擊的信息,為后續在線部署提供優化配置參考。這種部署工作模式,對原有網絡不會有任何影響。
已有8166人參加
