最近有点偷懒,写的不多,不过接下来,计划每两天不少于一篇,直到这个春节假期结束吧。
我也不谙此道,所以,只能从我了解的地方解答,我想技术交流,首先要懂技术,但是技术太宽泛了,作为安全人士,那么就了解一下作为企业园区常见的那些安全设备有哪些,都是干什么的吧。那么我们就按照等保合规要求去说说常见的安全设备吧,OK,lets go!
1、入侵检测
刚写下这几个字,我就有点想百度了,我不知道自己口语话的表达方式会否影响专业性。还是自己讲吧,一般来说呢,入侵检测,就是IDS,采用旁路的方式,旁路一般指的就是采用镜像检测的方式,不改变网络结构,相对应的还有就是串接,可以粗暴的理解为把一根网线剪短了,然后中间加一个设备进行过滤。有些人打比方说或安全设备多,就像糖葫芦一样,就是如此,那根钎子可以理解为光纤或者网线,然后那些山楂可以是负载均衡,防火墙,IDS,WAF等等。呀,扯远了。入侵检测设备可以有多个口,接入多个镜像流量。当然还要有个管理口(几乎所有的安全设备都需要一个管理口,就是给管理员WEB方式登录使用的),这个管理口,不是说一定要公网IP地址,公网地址一般都要花钱的,所以内网地址就可以了,只要网络可达。
个人觉得,态势感知等设备,其实都是从入侵检测逐步演进过来的,只不过功能更加全面,其基本原理都是对流量进行分析,查找其中的攻击事件,攻击行为,就是对入侵的迹象进行查找,并给出相应的提示和警告。所有的行为都是通过网络进行的,也就是只要你做了,理论上,在流量里都会留下痕迹的,就看有没有水平去在流量把这些攻击行为识别出来。 我们说IDS有两个重要指标,误报率和漏报率。误报率:报了100个攻击事件,结果95个都是假的。漏报率:有3个真正的入侵行为事件没有识别出来。
说到IDS,还有对应的IPS,IDS是入侵检测,IPS是入侵防御。要防御,就是要有动作,有响应。那么怎么才能响应呢,摄像头只能检测发现问题,要有动作的话,必须有一定的权限,比如门卫,它可以不让你进入小区,但是摄像头是做不到的。IPS一般是串接在网络中,所以它可以做到。因为所有数据都要经过它,它牛B,它就可以阻断你继续前进的步伐。IDS只能看着。
每个安全厂商都有一个标志性的产品,如果没记错,启明就是做IDS出身的。现在大部分安全厂商都能做这个,开源界里有个很著名的Snort,也是轻量级的IDS的代表。
2、防火墙
竟然把防火墙放在了第二个,可能是心里默认各个企业都有了这个产品了。Firewall。FW。防火墙,毫无疑问,必须串接在网络中,不然没有意义了,就是糖葫芦里的第一个山楂,或者就理解为小区里把门的吧,一般呢,防火墙这个门卫,会有双向检测,就是外面来的人进入小区,要检查,正常的放行,但是有些一下子短时间来了很多,明显是搞事情的,就拒绝进入(还记得在那个图书馆里和你提过的DDOS吗)。还有一种就是外出的,比如小区的人要出去,有时也会要检测,如果你是要出去干坏事,那么sorry,不可以出去。一般情况,防火墙主要检查外来的,对内部出去的,不太做过多检测,这个也取决于防火墙的性能哈。也就是一个重要指标,并发量。就是外面同时来了10个人要进的小区,门卫是否有能力即刻处理好,而不用过多排队等待。多说一下,木马,你肯定知道,一般都是黑客在外面发号施令,控制小区内的人做事情,但是防火墙可能会干掉黑客发过来的信号,但是早就有了反弹木马,就是小区里的人主动去联系黑客,要求被安排。。。那么门卫可能默认小区里的都是正常的,于是一些安全问题就会发生。
网上找了一个图,如下它的位置有些不同,最顶端放了一个抗DDOS系统,这个也可以理解成一个专业的防火墙,这种设备做的事情单一,但是对性能要求很高。一些黑客要搞定你内网网络,就是向你网络发送大流量,几个G的流量,普通设备一下就挂了,然后服务就中断了。
防火墙是必备的,因为它是串接在网络中,如果单台设备,就可能会产生所谓的单点故障,就是一个坏了,影响下方串接的所有业务,所以这种核心的设备,建议都采用HA,就是高可用的方式,貌似我和你说过的,还提过心跳检测,记得否。防火墙会和很多安全设备进行联动,比如入侵检测设备,WAF设备等,那些设备如果不是串接在网络中,就很难实时准确高效的进行攻击阻断,他们可以把发现的问题IP,反馈给翻过墙,防火墙可以搞定。联动就类似,居委会大妈发现了可以人员,然后告诉们门卫,门卫是退役军人转业,干起来更专业。那么防火墙是怎么阻断的呢,简单说一下吧。还记得提过网络流量里都是一些数据包,数据包有源IP,源MAC,目的IP,目的MAC,还有载荷就是传输的数据。防火墙呢,有很多策略,比如黑白名单,黑名单上记录的就是一些恶意IP等,流量来了,它一看,LL,在黑名单上,就不让LL进小区。然后呢如果是白名单,比如LJ,然后啥也不查了,直接放进小区。如果都不在黑白名单,就看行为,行为呢就是短时间内表现出来的迹象,和正常人不一样。还有些呢,看数据,就是检查进小区的人携带的包裹,里面是否有管制类的东西,比如一些具有攻击性的武器。哎呀,忽然觉得,我这个举的例子真棒。前面提到的联动,可以简单理解为那些其他的设备(比如小区里巡逻的大妈),反馈给门卫的黑名单。防火墙的大厂家很多了,山石,天融信,checkpoint,这个都是硬件。
3、上网行为管理。
本没有想到这个,但是图里有,顺带一提吧。这个设备应该也是必要的,因为上级有各种要求,比如关于日志留档备查。还有就是各种日常管理统计。简答提几点吧。比如网络中到底是哪些业务占用了有限的带宽,影响正常工作。可以通过行为管理发现,然后做一些流量控制的设置,比如给网页访问留多少带宽,下载带宽最高是多少等。既然是上网行为管理,所以对园区里的用户什么时间,什么身份,访问了哪些页面等都会有记录。这个也是要求,一旦问题,精确定位查找。大概就这样吧。
