网络安全设备(网络安全管理软件)

1.防火墙

定义

防火墙是指由软件和硬件设备组成的，构建在内网和外网、专网和公网接口上的保护屏障。它可以监控、限制和改变穿越防火墙的数据流，尽可能地从外部屏蔽网络的信息、结构和运行，从而实现网络的安全保护。

强函数

1.过滤进出网络的数据。

2.防止不安全的协议和服务

3.管理网络内外的访问行为。

4.记录通过防火墙的信息内容。

5.检测网络攻击并发出警告。

6.防止外部访问内部网络信息。

7.提供外部连接的集中管理。

主要类型

1.网络层防火墙

一般是根据每个IP包的源地址和目的地址、应用、协议、端口来决定是否通过。检查防火墙的每条规则，直到数据包中的信息与某条规则匹配。如果不符合任何规则，防火墙将使用默认规则。通常，默认规则是要求防火墙丢弃数据包。其次，通过定义基于TCP或UDP的数据包的端口号，防火墙可以确定是否允许建立特定的连接，如Telnet和FTP连接。

2.应用层防火墙

对于一种特殊的网络应用服务协议，即数据过滤协议，它可以分析数据包并形成相关报告。

主动被动

传统防火墙是主动安全的概念；

因为默认情况下，所有访问都是关闭的，然后通过定制的策略允许开放访问。

下一代防火墙

(NGFW)

它主要是一种全面应对应用层威胁的高性能防火墙。可以实现智能主动防御、应用层数据防泄露、应用层洞察与控制、威胁防护等功能。
下一代防火墙将传统防火墙、IPS、应用识别、内容过滤等功能集成在一台设备中，不仅降低了整体网络安全系统的采购投入，降低了多台设备接入网络带来的部署成本，还通过应用识别和用户管理技术降低了管理者的维护管理成本。

使用方式

防火墙部署在公司或企业内部网络的出口处。

限制

1、不能防止来自内部的攻击，不提供内部保护。

2、防不了病毒。

3.不能根据网络的恶意利用和攻击来动态调整策略。

自身的抗攻击能力不够，很容易成为被攻击的首要目标。

2、IDS（入侵检测系统）

定义

入侵检测是收集和分析网络系统中几个关键节点的信息，监测网络中是否存在违反安全策略的行为或入侵行为。入侵检测系统通常包含三个必要的功能组件:信息源、分析引擎和响应组件。

操作原理

1.信息收集
信息收集包括系统、网络、数据以及用户活动状态和行为的收集。入侵检测使用的信息一般来自三个方面:系统和网络日志文件、异常的目录和文件变化、异常的程序执行。
2。信号分析
通过模式匹配、统计分析和完整性分析等手段，对收集到的系统、网络、数据以及用户活动的状态和行为等信息进行分析。前两种用于实时入侵检测，完整性分析用于事后分析。

3.警报和响应

根据入侵的性质和类型，做出相应的报警和响应。

强函数

它可以提供安全审计、监控、攻击识别和反攻击等多种功能，实时监控内部攻击、外部攻击和误操作，在网络安全技术中具有不可替代的作用。

1.实时监控:实时监控和分析网络中的所有数据报文，实时发现和处理捕获的数据报文；

2.安全审计:对系统记录的网络事件进行统计分析，发现异常现象，得到系统的安全状态，找出需要的证据。

3.主动应对:主动切断与防火墙的连接或链接，调用其他程序进行处理。

主要类型

1.基于主机的入侵检测系统(HIDS):基于主机的入侵检测系统是一种早期的入侵检测系统结构，通常为软件类型，直接安装在要保护的主机上。其检测目标主要是主机系统和系统的本地用户。检测原理是根据主机的审计数据和系统日志发现可疑事件。
这种检测方式的优点是:信息更详细，误报率低，部署灵活。这种方法的缺点主要包括:会降低应用系统的性能；依靠服务器原有的日志记录和监控功能；成本高；无法监控网络；需要为不同的系统安装多个检测系统。

2.基于网络的入侵检测系统(NIDS):基于网络的入侵检测是目前主流的监控方式，这种检测系统需要专门的检测设备。检测设备放在重要的网段，不断的监控网段内的各种数据包，而不是只监控单个主机。它分析被监控网络上每个数据包或可疑数据包的特征。如果数据包符合产品的一些内置规则，入侵检测系统会报警甚至直接切断网络连接。目前，大多数入侵检测产品都是基于网络的。
这种检测技术的优点是:可以检测来自网络的攻击和超越授权的非法访问；不需要改变服务器等主机的配置，主机的性能不会受到影响；低风险；配置简单。其缺点是:成本高，探测范围有限；大量计算，影响系统性能；分析大量数据流，影响系统性能；难以处理加密的会话过程；当网络流量较高时，可能会丢失很多数据包，容易被入侵者利用；无法检测加密的数据包；无法检测到对主机的直接入侵。

主动被动

入侵检测系统(IDS)是一种实时监控网络传输，发现可疑传输时发出警报或采取主动措施的网络安全设备。大多数IDS系统都是被动的。也就是说，在攻击实际发生之前，他们往往无法提前发出警告。

使用方式

作为防火墙后的第二道防线，适合以旁路接入方式部署在重要业务系统或内部网络安全保密的网络出口处。

限制

1.误报率高:主要表现为将良性流量误认为恶性流量进行误报。还有一些IDS产品会对用户不关心的事件进行误报。

2.产品适应性差:传统IDS产品由于在开发时没有考虑具体网络环境的需求，所以适应性差。入侵检测产品应该能够适应当前网络技术和设备的发展，并动态调整以满足不同环境的需求。

3.大规模网络管理能力差:一是保证新产品架构能支持上百个IDS传感器；其次，要能够处理传感器产生的报警事件；最后，我们需要解决攻击特征库的建立、配置和更新问题。

4.缺乏防御功能:大部分IDS产品缺乏主动防御功能。

5.处理性能差:目前百兆和千兆IDS产品的性能指标与实际要求还有较大差距。

3.IPS(入侵防御系统)的定义

入侵防御系统是一种能够监控网络或网络设备的网络数据传输行为，并能立即中断、调整或隔离某些异常或有害的网络数据传输行为的计算机网络安全设备。

生成背景

1.串联部署的防火墙可以拦截低级别的攻击，但对应用层的深层次攻击却无能为力。

2.旁路部署的IDS可以及时发现穿透防火墙的深度攻击，是防火墙的有益补充，可惜不能实时阻断。

3.IDS和防火墙联动:IDS用来发现，防火墙用来拦截。但至今没有统一的接口规范，越来越频繁的“即时攻击”(一个会话就能达到攻击效果，如SQL注入、溢出攻击等。)，这使得IDS-防火墙联动在实际应用中的作用变得微不足道。

入侵检测系统(IDS)是一种以风险管理为核心的安全产品，对可能是入侵的异常数据进行检测和报警，将网络中的实时情况告知用户，并提供相应的解决方案和处理方法。

入侵防御系统(IPS)是一种专注于风险控制的安全产品。对明确判断为攻击并将对网络和数据造成危害的恶意行为进行检测和防御，减少或降低用户应对异常情况的资源支出。

IDS和IPS的关系不是替代和互斥，而是相互合作:在IDS没有部署的时候，我们只能凭感觉来判断应该在哪里部署什么样的安全产品。通过IDS的广泛部署，可以了解当前网络的实时情况，进一步判断在哪里，使用什么样的安全产品(IPS等。)应该是根据这种情况部署的。

功能

1.入侵防御:实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、Dos等恶意流量。，保护企业信息系统和网络架构不受侵害，防止操作系统和应用程序被破坏或宕机。

2.Web安全:基于对互联网网站挂马的检测结果，结合URL信誉评估技术，可以保护用户在访问木马等恶意代码网站时免受侵害，及时有效地拦截Web威胁。

3.流量控制:阻断所有非授权用户的流量，管理合法网络资源的利用，有效保证关键应用始终畅通无阻，通过保护关键应用的带宽，不断提高企业的IT产出率和盈利能力。

4.互联网监管:全面监控和管理IM即时通讯、P2P下载、网络游戏、网络视频、网络股票交易等网络行为，协助企业识别和限制未经授权的网络流量，从而更好地实施企业安全策略。

技术特征

嵌入式运行:只有运行在嵌入式模式下的IPS设备才能实现实时安全防护，实时拦截所有可疑数据包，拦截其余数据流。

深度分析和控制:IPS必须具备深度分析能力，以确定拦截了哪些恶意流量，并根据攻击类型、策略等来拦截哪些流量。

入侵特征数据库:高质量的入侵特征数据库是IPS高效运行的必要条件。IPS还应定期升级入侵特征数据库，并将其快速应用于所有传感器。

高效处理能力:IPS必须具备高效处理数据包的能力，并且将对整个网络性能的影响保持在最低。

主要类型

1.基于功能的IPS

这是许多IPS解决方案中最常用的方法。为设备添加功能可以识别目前最常见的攻击。也称为模式匹配IPS。可以添加、调整和更新功能来应对新的攻击。

2.基于异常的IPS

也叫基于行规的IPS。基于异常的方法可以包括统计异常检测和非统计异常检测。

3.基于策略的IPS:

它更关心的是是否执行组织的安全策略。如果检测到的活动违反了组织的安全策略，将会触发警报。使用这种方法的IPS应该将安全策略写入设备。

4.基于协议分析的入侵防御系统

它类似于基于特征的方法。大多数情况下检查共同的特征，但基于协议分析的方法可以做更深入的包检查，更灵活地发现某些类型的攻击。

主动被动

IPS倾向于提供主动保护，其设计目的是提前拦截入侵活动和侵略性的网络流量，以避免其损失，而不是简单地在恶意流量传输时或传输后发出警报。

使用方式

串联部署在重要业务系统或内网安全、保密性高的网点。

4.漏洞扫描设备定义

漏洞扫描是指一种基于漏洞数据库的安全检测(渗透攻击)行为，通过扫描等手段检测指定远程或本地计算机系统的安全漏洞，发现可利用的漏洞。

强函数

可以智能识别、扫描、检测一些网络设备应用如网站、系统、数据库、端口、应用软件等。，并对检测到的漏洞发出警报，以提示管理人员修复它们。同时可以监控漏洞修复的情况，定期自动审计漏洞，提高漏洞修复的效率。

1、定期进行网络安全自检、评估

安全检测可以帮助客户尽可能消除安全隐患，尽早发现安全漏洞并修复，有效利用现有系统，提高网络运行效率。

2.安装新软件和启动新服务后检查

由于各种形式的漏洞和安全风险，安装新软件和启动新服务可能会暴露之前隐藏的漏洞。因此，在这些操作之后，应该再次扫描系统以确保安全性。

3.网络承担重要任务前的安全测试。

4.网络安全事故后的分析与调查

网络安全事故发生后，通过网络漏洞扫描/网络评估系统的分析，可以确定网络的漏洞，有助于弥补漏洞，提供尽可能多的信息，便于调查攻击来源。

5.重大网络安全事故前的准备

重大网络安全事件前的网络漏洞扫描/网络评估系统可以帮助用户及时发现网络中的隐患和漏洞，帮助用户及时弥补漏洞。

主要技术

1.主机扫描:

确定目标网络上的主机是否在线。

2.端口扫描:

发现远程主机的开放端口和服务。

3.操作系统识别技术:

根据信息和协议栈区分操作系统。

4.漏洞检测数据采集技术:

根据网络、系统和数据库进行扫描。

5.智能端口识别、多业务检测、安全优化扫描和系统渗透扫描。

6.各种数据库自动检查技术、数据库实例发现技术；

主要类型

1.基于网络的扫描程序:基于网络的扫描程序通过网络扫描远程计算机中的漏洞。价格相对便宜；在运行过程中，不需要目标系统的管理员参与，检测过程中不需要在目标系统上安装任何东西；易于维护。

2.面向主机的扫描程序:基于主机的扫描程序在目标系统上安装代理或服务，以便它可以访问所有文件和进程，这也使基于主机的扫描程序能够扫描更多的漏洞。

3.数据库扫描器:数据库泄漏扫描可以检测自身的漏洞，如DBMS漏洞、默认配置、权限提升漏洞、缓冲区溢出、补丁未升级等。

使用方式

1.独立部署:

网络中只部署了一台扫描设备，连接到网络并且配置正确就可以正常使用。其工作范围通常包括用户企业的整个网络地址。用户可以从任何地址登录到扫描系统，并发布扫描和评估任务。检验任务的地址必须在分配给该用户的产品和授权范围内。

2.多级部署:

对于一些大规模、分布式的网络用户，推荐分布式部署。在大规模网络中，使用多个扫描系统协同工作，可以在系统间共享和汇总数据，便于用户对分布式网络进行集中管理。

优点和缺点

1.优势

有利于及早发现问题，从根本上解决安全隐患。

2.缺乏

仅扫描已知的安全问题；准确性和指导性有待提高。

5.安全隔离门的定义

隔离网关是利用具有多种控制功能的固态开关读写介质连接两个独立网络系统的信息安全设备。由于物理隔离网关所连接的两个独立的网络系统之间没有物理连接、逻辑连接、信息传输命令和信息传输协议，因此没有按照协议的报文转发，只有数据文件的无协议“摆渡”，对固态存储介质只有“读”和“写”两个命令。因此，物理隔离网关将所有具有潜在攻击的连接进行物理隔离和阻断，使“黑客”无法入侵、攻击或破坏，从而实现真正的安全。

功能微型组件

隔离栅的功能模块有:

隔离、内核保护、协议转换、病毒查杀、访问控制、安全审计、身份认证。

强函数

1.阻断网络的直接物理连接:物理隔离网关在任何时候只能连接到不可信网络和可信网络中的一个，不能同时连接到两个网络；

2.阻断网络的逻辑连接:物理隔离网关不依赖于操作系统，不支持TCP/IP协议。在两个网络的信息交换中，必须剥离TCP/IP协议，通过P2P的非TCP/IP连接方式转发原始数据，从存储介质中“写入”和“读取”数据。

3.安全审查:物理隔离网关具有安全审查的功能，即在网络将原始数据“写入”物理隔离网关之前，根据需要检查原始数据的安全性，排除可能的病毒代码和恶意攻击代码等。

4.原始数据无害:物理隔离网关转发的原始数据不具有攻击或危害网络安全的特征。就像txt文本不会有病毒，不会执行命令等等。

5.管控功能:建立完善的日志系统。

6.根据需要建立数据特征库:在应用初始化阶段，结合应用需求，提取应用数据的特征，形成用户专属的数据特征库，作为运行时数据验证的依据。当用户请求时，提取用户的应用数据，并将提取的数据特征与原始数据特征数据库进行比较。符合原始特征数据库的数据请求进入请求队列，不符合要求的返回给用户进行数据筛选。

7.提供按需定制安全策略和传输策略的功能:用户可以自行设置数据传输策略，如:传输单位(基于数据或任务)、传输间隔、传输方向、传输时间、启动时间等。

8.支持定期/实时文件交换；支持单向/双向文件交换；支持数字签名、内容过滤、病毒检查等功能。

操作原理

隔离栅的组成:

隔离网关是为了实现两个相互隔离的网络之间的数据交换。通用网关模型设计通常分为三个基本部分:

1.内网处理单元:包括内网接口单元和内网数据缓冲区。接口的一部分负责与内部网的连接，并终止内部网用户的网络连接。对数据进行病毒检测、防火墙、入侵防御等安全测试后，剥离“纯数据”，为交换做准备，同时也完成了来自内网的用户身份确认，确保数据的安全通道；数据缓冲区用于存储和调度剥离的数据，并负责与隔离交换单元的数据交换。

2.外部网络处理单元:其功能与内部网络处理单元相同，但处理外部网络连接。

3.隔离交换控制单元(隔离硬件):是闸门隔离控制的摆渡控制，控制交换通道的开启和关闭。控制单元包含一个数据交换区，是数据交换中的摆渡船。目前控制交换通道的技术有两种，轮渡切换和通道控制。摆渡开关是一个电子转换开关，随时连接数据交换区与内外网，在空之间形成间隙，实现物理隔离。通道模式是改变内外网之间的通信方式，中断内外网之间的直接连接，利用私有通信手段形成内外网之间的物理隔离。单元内有一个数据交换区，作为交换数据的中转站。

其中，三家单位都要求其软件的操作系统是安全的，即采用非通用操作系统或修改后的专用操作系统。一般是Unix BSD或Linux，或者其他嵌入式操作系统等的安全简化版本。，但需要删除底层不必要的协议和服务，对使用的协议进行优化和改造，增加安全特性，同时提高效率。

如果针对网络七层协议，安全隔离网关在硬件链路层断开。

差异比较

1.与物理隔离卡的区别

安全隔离网关和物理隔离卡的主要区别在于，安全隔离网关可以实现两网之间自动、安全、适度的信息交换，而物理隔离卡只能提供一台电脑在两网之间切换，需要人工操作。大多数隔离卡也需要系统重启才能切换硬盘。

2、网络交换信息的区别。

隔离网关在网络间没有链路层连接的情况下进行网络间安全适度的信息交换。隔离网关直接处理网络间的应用层数据，通过存储转发的方式交换应用数据，同时对应用数据进行各种安全检查。路由器和交换机保持链路层的畅通，直接转发链路层以上的IP包等网络层数据，不考虑网络安全和数据安全的问题。

3.与防火墙的区别

通常，防火墙通过在转发IP数据包的同时处理IP数据包来控制TCP会话，但不检查应用程序数据的内容。这种工作方式无法防止泄密，也无法防止病毒和黑客程序的攻击。

使用方式

1.分类网络和非分类网络之间

2.局域网和互联网之间(内联网和外联网之间)

3.在办公网络和商业网络之间

4.在商业网络和互联网之间

侵权请私聊公众号删文