安全设备

1、防火墙

作用：
防火墙是位于两个（或多个）网络间，实现网络间访问或控制的一组组件集合之硬件或软件。隔离网络，制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流

类型：

1）网络层（数据包过滤型）防火墙

2）应用层防火墙

3）代理服务防火墙

局限性：
防火墙是根据合法网址和服务端口过滤数据包的，但是对合法的具有破坏性的数据包没有防护功能，防火墙必须部署在流量的必经之路上，防火墙的效能会影响网络的效能。

2、WAF应用防火墙

为什么需要WAF？

WAF的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗，并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统（简称WAF）

什么是WAF？

WAF是一种基础的安全保护模块，通过特征提取和分块检索技术进行特征匹配，主要针对HTTP访问的Web程序保护。

WAF部署在web应用程序前面，在用户请求到达web服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。

通过检查HTTP流量，可以防止源自web应用程序的安全漏洞（SQL注入漏洞，xss跨站脚本，文件包含或安全配置错误）的攻击

与传统防火墙的区别？

WAF区别于常规防火墙，因为WAF能够过滤特定web应用程序的内容，而常规防火墙则充当服务器之间的安全门。

WAF不是全能的，它不是一个最终的安全解决方案，而是它们与其他网络周边安全解决方案（网络防火墙和入侵防御系统）一起使用，以提供全面的防御策略

小总结：

范围：
应用层防护软件

作用：
通过特征提取和分块检索技术进行模式匹配来达到过滤，分析，校验网络请求包的目的，在保证正常网络应用功能的同时，隔绝或阻断无效或者非法的攻击请求

可防：（源自应用程序的安全漏洞）

​ SQL注入漏洞，跨站脚本XSS，文件包含和安全配置错误等漏洞

特点：
区别于传统防火墙，可以防护特定的应用程序，传统防火墙只能在服务器直接作用

缺点：

1）特定的防护手段可被绕过或者无效化，必须同攻击手段一起升级进步，否则将失去效用。

2）需要和入侵检查系统等安全设备联合使用，且防护程度和网络的性能成反相关

3、snort IDS入侵检测系统

什么是IDS？

IDS的英文是“instrusion detection systems”的缩写，中文意思是入侵检测系统，专业上是就是按照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图，攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

跟防火墙对比？

加入防火墙是一栋大楼的门锁，那么IDS 就是这栋大楼的监视系统。一旦小偷爬窗进入大楼，或者内部人员有越界行为，只有实时监视系统才能发现情况并发出警报。

不同于防火墙，IDS入侵检测系统就是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。

部署位置选择：

对IDS的部署唯一要求：IDS应挂在所有所关注流量都必须流经的链路上。在这里，所关注的流量指的是：来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

位置一般在（尽可能靠近攻击源）：

• 服务区区域的交换机上

• Internet接入路由器之后的第一台交换机上

• 重点保护网段的局域网交换机上

  防火墙和IDS可以分开操作，IDS是个临控系统，可以自行选择合适的，或是符合需求的，比如发现规则或监控不完善，可以更改设置及规则，或是重新设置。

工作流程

（1）信息收集：信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息四个方面

（2）数据分析：数据分析是入侵检测的核心。它首先构建分析器，把收集到的信息经过预处理，建立一个行为分析引擎或模型，然后向模型中植入时间数据，在知识库中保存植入数据的模型。数据分析一般通过模式匹配、、统计分析和完整性分析三种手段进行。前俩种方法用于实时入侵检测，而完整性分析则用于事后分析。可用五种统计模型进行数据分析：操作模型、方差、多元模型、马尔科夫过程模型、时间序列分析。统计分析的最大优点就是可以学习用户的使用习惯。

（3）实时记录、报警或有限度反击

入侵检测系统在发现入侵后及时做出响应，包括切断网络连接、记录事件和报警等。响应一般分为主动响应（阻止攻击或影响进而改变攻击的进程）和被动响应（报告和记录所检测出的问题）俩类型。主动响应由用户驱动或系统本身自动执行，可对入侵者采取行动（如断开连接）、修正系统环境或收集有用的信息；被动响应则包括告警和通知、简单网络管理协议（SNMP）陷阱和插件等。另外，还可以按策略配置响应，可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。

小总结：

范围：
网络层防护软件

作用：（识别攻击行为并且报警）

​ 积极主动的防护措施，按照一定的安全策略，通过软件、硬件对网络，系统的运行进行实时的监控，尽可能地发现网络攻击行为，积极主动的出来攻击，保证网络资源的机密性、完整性和可用性。

特点：

• 是一个积极主动的监听设备。

• 无需有流量经过，可以实时镜像流量过去给它分析监控

• 不影响网络的性能

• 部署位置尽可能的靠近攻击源或者受保护资源（服务器区域交换机，互联网接入路由后第一个交换机，重点保护源交换机）

缺点：

• 误报率高

• 没有主动防御能力，仅仅是监控或者少量的反制能力

• 不能解析加密的数据流

4、IPS入侵防御系统（入侵检测和入侵防御）

什么是入侵预防系统？

入侵预防系统又称为入侵侦测与预防系统，是计算机网络安全设施，是对放病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络和网络设备的网络数据传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。

为什么存在传统防火墙和IDS时，还会出现IPS？

虽然防火墙可以根据IP-Addresses或者服务器端口（Ports）过滤数据包。但是，它对利用合法网址和端口而从事的破坏活动则无能为力。因为，防火墙极少深入数据包检测内容。

在ISO/OSI网络层次模型中，防火墙主要在第二到第四层起作用，它的作用在第四层到第七层一般很微弱。而除病毒软件主要在第五层到第七层起作用。为了弥补防火墙和除病毒软件二者在第四层和第五层之间留下的空挡，入侵检测系统投入使用。

IPS如何工作？

入侵预防系统专门深入网络数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。除此之外，更重要的是，大多数入侵预防系统同时结合考虑应用程序或网络传输层的异常情况，来辅助识别人入侵和攻击。比如，用户或用户程序违法安全条例，数据包在不应该出现的时段出现、操作系统或应用程序弱点的空子正在被利用等现象。入侵预防系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于已知病毒特征。

应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分减低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用，在必要时，它还可以为追究攻击者的形势责任而提高法律上有效的证据。

与IDS相比，IPS的优势

同时具备检测和防御功能，IPS不仅能检测攻击还能阻止攻击，做到检测和防御兼顾，而且是在入口处就开始检测，而不是等到进入内部网络后再检测，这样，检测效率和内网的安全性都大大提高。

可检测到IDS检测不到的攻击行为IPS是在应用层的内容检测基础上加上主动响应和过滤功能，弥补传统的防火墙+IDS方案不能完成的更多内容检查的不足，填补了网络安全产品基于内容的安全检查的恐怖。

IPS是一种失效即阻断机制当IPS被攻击失效后，它会阻断网络连接，就像防火墙一样，使被保护资源与外界隔断。

小总结：

范围：

作用：（实时监控网络行为，中断或者调整隔离网络非法行为，比IDS具有防御能力）

​ 是计算机网络安全设备，是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。

必要性：
传统防火墙作用在2-4层，对以下的防护作用很小（四层以上需要拆数据包，而拆数据包会影响速率），病毒软件工作在5-7层，这样中间4-5层属于空挡，所以IPS是作为病毒软件和防火墙的补充，作用于4-5层

特点：
比IDS不仅可以防护还具有反制，组织攻击的能力，防护兼备

缺点：
IPS的防护方式一般以阻断受保护源和外界的联系为主，这样带来的一个弊端就是，网络资源被保护了，但是同时该网络资源的对外提供的服务也被阻断了或者削弱了，这就导致了一种敌我俩伤的局面，而有些服务一旦停止，对运营者来说将是一笔不小的损失。

5、SOC安全运营中心

作用：（不是一个防护产品而是一个防护系统）

SOC全程是 Security Operations Center，是一个以IT资产为基础，以业务信息系统为核心，以客户体验为指引，从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台，使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态度的度量与评估、安全运维流程的标准化、例行化和常态化，最终实现业务信息系统的持续安全运营。

特点：
既有产品又有服务，需要运营、流程以及人工的有机结合，是一个综合的技术支持平台。他将安全看成一个动态的过程（敌人的攻击手段在变，漏洞在更新，我方的防火手段，业务产品，人员调度等都在变动）态势感知的根基就是安全运营中心

态势感知：
态势感知是一种基于环境的、动态的、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。

态势感知特点：（大数据称为态势感知的主要驱动力，足够的数据分析）

检测：提供网络安全持续监控能力，及时发现各种攻击威胁与异常，特别是针对性攻击。

分析、响应建立威胁可视化及分析能力，对威胁的影响范围、攻击路径、目的、手段进行快速研判，目的是有效的安全决策和响应。

预测、预防：建立风险通报和威胁预警机制，全面掌握攻击者目的、技战术、攻击工具等信息

防御：利用掌握的攻击者相关目的、技战术、攻击工具等情报，完善防御体系。

6、漏洞扫描器

作用：
检查计算机或者网络上可能存在的漏洞点，脆弱点等，它是一类自动检测本地或远程主机安全弱点的程序，能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。

原理：
根据漏洞库，发送数据包检测目标是否具有漏洞库中的漏洞，根据对方的反馈来判断漏洞，系统，端口和服务等等。

意义：
提前发现漏洞，预先修复，减少漏洞造成的损失

分类：

• 端口扫描器：Nmap

• 网络漏洞扫描器：Nessus，Qualys，SAINT

• web应用安全扫描器：Burp Suite，OWASP　ZAP

• 数据库安全扫描器

• 基于主机的漏洞扫描器

• ERP安全扫描器

• 单一漏洞扫描器

7、DDOS防护

什么是DDoS攻击？

DDoS攻击就是分布式的拒绝服务攻击，DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的，随着计算机与网络技术的发展，DoS攻击的困难程度加大了。于是就产生了DDoS攻击，它的原理就很简单：计算机与网络的处理能力加大了10倍，用一台攻击机来攻击不再能起作用，那么DDoS就是利用更多的傀儡机来发起进攻，以比从前更大的规模来进攻受害者。

在这里补充两点：第一就是DDOS攻击不仅能攻击计算机，还能攻击路由器，因为路由器是一台特殊类型的计算机；第二是网速决定攻击的好和快，比如说，如果你一个被限制网速的环境下，它们的攻击效果不是很明显，但是快的网速相比之下更加具有攻击效果

DDOS分布式拒绝服务攻击：消耗带宽，消耗资源

通过大量的合法请求消耗或者占用目标的网络资源，使之不能正常工作或者瘫痪

防护手段：

1）入侵检测

2）流量过滤

3）多重严重

常见：

1）扩大带宽

2）流量清洗或者封IP

8、CDN

CDN的全称是Content Delivery Network，即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台和负载均衡、内容分发、调度等功能模块，是用户和就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。

二、WAF如何布置

​ Web应用安全网关简称WAF（Web Application Firewall）为您的网站或者APP业务提供一站式安全防护。WAF可以有效识别web业务流量的恶意特折，在对流量进行清洗和过滤后，将正常、安全的流量返回给服务器，避免网站服务器被恶意入侵导致服务器性能异常等问题，保障网站的业务安全和数据安全。

WAF一般部署在Web服务器之前，用来保护Web应用。

WAF能做什么？

• WAF可以过滤HTTP/HTTPS协议流量，防护Web攻击。

• WAF可以对Web应用进行安全审计

• WAF可以防止CC攻击

• 应用交付

WAF的主要功能：

WAF主要是通过内置的很多安全规则来进行防御。

可防护常见的SQL注入、XSS、网页篡改、中间件漏洞等OWASP TOP10攻击行。

当发现攻击后，可将IP进行锁定，IP锁定之后将无法访问网站业务。

也支持防止CC攻击，采用集中度和速率双重检测算法。

WAF不能做什么？

• WAF不能过滤其他协议流量，如FTP、PoP3协议

• WAF不能实现传统防护墙功能，如地址映射

• WAF不能防止网络层的DDoS攻击

• 防病毒