「网络」网络安全必须知道的19个知识分享

一、防火墙(Firewall)

定义:都知道防火墙是干什么用的,但我觉得需要特别提醒一下,防火墙抵御的是外部的攻击,并不能对内部的病毒 ( 如ARP病毒 ) 或攻击没什么太大作用。

功能 :

防火墙的功能主要是两个网络之间做边界防护, 企业中更多使用的是企业内网与互联网的 NAT、包过滤规则、端口映射等功能。生产网与办公网中做逻辑隔离使用, 主要功能是包过滤规则的使用。

部署方式 : 网关模式、透明模式。

网关模式是现在用的最多的模式,可以替代路由器并提供更多的功能,适用于各种类型企业透明部署是在不改变现有网络结构的情况下,将防火墙以透明网桥的模式串联到企业的网络中间, 通过包过滤规则进行访问控制,做安全域的划分。

至于什么时候使用网关模式或者使用透明模式, 需要根据自身需要决定, 没有绝对的部署方式。需不需要将服务器部署在 DMZ区,取决于服务器的数量、 重要性,总之怎么部署都是用户自己的选择。

高可用性 : 为了保证网络可靠性,现在设备都支持主-主、主- 备等各种部署。

二、防毒墙

定义 : 相对于防火墙来说,一般都具有防火墙的功能,防御的对象更具有针对性,那就是病毒。

功能 : 同防火墙,并增加病毒特征库,对数据进行与病毒特征库进行比对,进行查杀病毒。

部署方式 : 同防火墙,大多数时候使用透明模式部署在防火墙或路由器后或部署在服务器之前,进行病毒防范与查杀。

三、入侵防御 (IPS)

定义 : 相对于防火墙来说,一般都具有防火墙的功能,防御的对象更具有针对性, 那就是攻击。防火墙是通过对五元组进行控制,达到包过滤的效果,而入侵防御 IPS,则是将数据包进行检测(深度包检测 DPI)对蠕虫、病毒、木马、拒绝服务等攻击进行查杀。

功能 : 同防火墙,并增加 IPS 特征库,对攻击行为进行防御。

部署方式 : 同防毒墙。

特别说明一下 : 防火墙允许符合规则的数据包进行传输,对数据包中是否有病毒代码或攻击代码并不进行检查,而防毒墙和入侵防御则通过更深的对数据包的检查弥补了这一点。

四、统一威胁安全网关 (UTM)

定义 : 简单的理解, 把威胁都统一了,其实就是把上面三个设备整合到一起了。

功能 : 同时具备防火墙、 防毒墙、入侵防护三个设备的功能。

部署方式 : 因为可以代替防火墙功能, 所以部署方式同防火墙。

现在大多数厂商,防病毒和入侵防护已经作为防火墙的模块来用,在不考虑硬件性能以及费用的情况下,开启了防病毒模块和入侵防护模块的防火墙,和UTM其实是一样的。

至于为什么网络中同时会出现 UTM和防火墙、防病毒、入侵检测同时出现。

第一,实际需要,在服务器区前部署防毒墙,防护外网病毒的同时,也可以检测和防护内网用户对服务器的攻击。

第二,花钱,大家都懂的。总之还是那句话,设备部署还是看用户。

 

 

6c145a582d694611ab096f86d93f0aa8.png

 

五、IPSec VPN

把IPSEC VPN放到网络安全防护里,其实是因为大多数情况下,IPSEC VPN的使用都是通过上述设备来做的,而且通过加密隧道访问网络,本身也是对网络的一种安全防护。

定义 : 采用 IPSec 协议来实现远程接入的一种 VPN技术。

功能 : 通过使用 IPSEC VPN使客户端或一个网络与另外一个网络连接起来,多数用在分支机构与总部连接。

部署方式 : 网关模式、旁路模式。

鉴于网关类设备基本都具备 IPSEC VPN功能,所以很多情况下都是直接在网关设备上启用 IPSEC VPN功能,也有个别情况新购买IPSEC VPN设备,在对现有网络没有影响的情况下进行旁路部署,部署后需要对 IPSEC VPN设备放通安全规则,做端口映射等等。

也可以使用 windows server 部署 VPN。相比硬件设备,自己部署没有什么花费,但 IPSEC VPN受操作系统影响,相比硬件设备稳定性会差一些。

4631e7596ca84fc58d327d5494a5cb75.png

以上设备常见厂家:

Juniper Check Point Fortinet(飞塔)思科 天融信 山石网科 启明星辰 深信服 绿盟 网御星云 网御神州 华赛 梭子鱼 迪普 H3C。

六、网闸

定义 : 全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。

功能 : 主要是在两个网络之间做隔离并需要数据交换,网闸是具有中国特色的产品。

部署方式 : 两套网络之间。

防火一般在两套网络之间做逻辑隔离,而网闸符合相关要求,可以做物理隔离,阻断网络中 tcp 等协议,使用私有协议进行数据交换,一般企业用的比较少,在对网络要求稍微高一些的单位会用到网闸。

七、SSL VPN

定义 : 采用 SSL协议的一种 VPN技术,相比 IPSEC VPN使用起来要更加方便,毕竟 SSL VPN使用浏览器即可使用。

功能 : 随着移动办公的快速发展,SSL VPN的使用也越来越多,除了移动办公使用,通过浏览器登录SSL VPN连接到其他网络也十分方便,IPSEC VPN更倾向网络接入,而 SSL VPN更倾向对应用发布。

部署 : SSL VPN的部署一般采用旁路部署方式,在不改变用户网络的状况下实现移动办公等功能。

八、WAF (Web Application Firewall) web 应用防护系统

定义 : 名称就可以看出,WAF的防护方面是 web应用,说白了防护的对象是网站及 B/S 结构的各类系统。

功能 : 针对 HTTP/HTTPS协议进行分析,对 SQL注入攻击、XSS攻击 Web攻击进行防护,并具备基于 URL 的访问控制;HTTP协议合规;Web敏感信息防护;文件上传下载控制;Web 表单关键字过滤。网页挂马防护,Webshell 防护以及 web应用交付等功能。

部署 : 通常部署在 web 应用服务器前进行防护。

IPS 也能检测出部分web攻击,但没有WAF针对性强,所以根据防护对象不同选用不同设备,效果更好 。

2bad482c65904b2fa67df2ad7c7173ff.png 

九、网络安全审计

定义 : 审计网络方面的相关内容。

功能 : 针对互联网行为提供有效的行为审计、 内容审计、行为报警、行为控制及相关审计功能。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。

部署 : 采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。

十、数据库安全审计

定义 : 数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为。

功能 : 审计对数据库的各类操作,精确到每一条 SQL命令,并有强大的报表功能。

部署 : 采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。

十一、日志审计

定义 : 集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。

功能 : 通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全部署 : 旁路模式部署。通常由设备发送日志到审计设备, 或在服务器中安装代理,由代理发送日志到审计设备。

十二、运维安全审计 ( 堡垒机 )

定义 : 在一个特定的网络环境下,为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。

功能 : 主要是针对运维人员维护过程的全面跟踪、控制、记录、回放,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。

部署 : 旁路模式部署。使用防火墙对服务器访问权限进行限制,只能通过堡垒机对网络设备 / 服务器 / 数据库等系统操作。

可以看出审计产品最终的目的都是审计,只不过是审计的内容不同而已,根据不同需求选择不同的审计产品,一旦出现攻击、非法操作、违规操作、误操作等行为,对事后处理提供有利证据。

十三、入侵检测( IDS)

定义 : 对入侵攻击行为进行检测。

功能 : 通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

部署 : 采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到入侵检测设备。

入侵检测虽然是入侵攻击行为检测,但监控的同时也对攻击和异常数据进行了审计,所以把入侵检测系统也放到了审计里一起介绍。入侵检测系统是等保三级中必配设备。

1facc6c0cff14a47a7ad7016ee884ed3.png

 

十四、上网行为管理

定义 : 顾名思义,就是对上网行为进行管理。

功能 : 对上网用户进行流量管理、上网行为日志进行审计、对应用软件或站点进行阻止或流量限制、关键字过滤等。

部署 : 网关部署、透明部署、旁路部署。

网关部署 : 中小型企业网络较为简单,可使用上网行为管理作为网关,代替路由器或防火墙并同时具备上网行为管理功能。

透明部署 : 大多数情况下,企业会选择透明部署模式,将设备部署在网关与核心交换之间,对上网数据进行管理。

旁路部署 : 仅需要上网行为管理审计功能时,也可选择旁路部署模式,在核心交换机上配置镜像口将数据发送给上网行为管理。

个人觉得上网行为管理应该属于网络优化类产品,流控功能是最重要的功能,随着技术的发展,微信认证、防便携式 wifi 等功能不断完善使之成为了网工的最爱。

十五、负载均衡

定义 : 将网络或应用多个工作分摊进行并同时完成,一般分为链路负载和应用负载 ( 服务器负载 )

功能 : 确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群 , 扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。

部署 : 旁路模式、网关模式、代理模式。

旁路模式 : 通常使用负载均衡进行应用负载时,旁路部署在相关应用服务器交换机上,进行应用负载。

网关模式 : 通常使用链路负载时,使用网关模式部署。

随着各种业务的增加,负载均衡的使用也变得广泛, web应用负载,数据库负载都是比较常见的服务器负载。鉴于国内运营商比较恶心,互联互通问题较为严重,使用链路负载的用户也比越来越多。

十六、漏洞扫描

定义 : 漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测, 发现可利用的漏洞的一种安全检测(渗透攻击)行为。

功能 : 根据自身漏洞库对目标进行脆弱性检测,并生产相关报告,提供漏洞修复意见等。一般企业使用漏洞扫描较少,主要是大型网络及等、分保检测机构使用较多。

部署 : 旁路部署, 通常旁路部署在核心交换机上,与检测目标网络可达即可。

十七、异常流量清洗

对异常流量的牵引、DDoS流量清洗、P2P带宽控制、流量回注,也是现有针对 DDOS攻击防护的主要设备。

部署 : 旁路部署。

十八、VPN

定义:VPN ( Virtual Private Network )虚拟专用网络 ,简单的讲就是因为一些特定的需求, 在网络与网络之间, 或终端与网络之间建立虚拟的专用网络,通过加密隧道进行数据传输 ( 当然也有不加密的 ) ,因其部署方便且具有一定的安全保障,被广泛运用到各个网络环境中。

分类:常见的 VPN有 L2TP VPN 、PPTP、VPN、IPSEC、VPN、SSL、VPN以及 MPLS VPN。

部署:主要采用网关模式和旁路模式部署两种。

使用专业VPN硬件设备建立VPN时多为旁路部署模式,对现有网络不需要改动,即使 VPN设备出现问题也不会影响现有网络。使用防火墙 / 路由器自带VPN功能建立 VPN时, 随其硬件部署模式部署。

实现方式:

1. 通过使用专业 VPN软件来建立 VPN

优点 : 投入较少,部署比较灵活。

缺点 : 稳定性受服务器硬件、操作系统等因素影响。

2. 通过使用服务器自行架设 VPN服务器建立 VPN,windows 服务器为主

优点 : 投入较少,部署比较灵活, windows 系统自带。

缺点 : 稳定性受服务器硬件、操作系统等因素影响,需自行配置。

3. 通过使用防火墙 / 路由器设备自带 VPN功能建立 VPN

优点 : 投入较少,稳定性好。

缺点 : 因使用现有设备自带 VPN模块,对 VPN访问量较大的需求不建议使用,以免出现设备性能不足影响防火墙 / 路由器使用。作为现有设备的自带模块,无法满足用户特殊要求。部署方式相对固定。

4. 通过使用专业的 VPN硬件设备建立 VPN

优点 : 产品成熟适用于各种 VPN场景应用,功能强大,性能稳定。

缺点 : 比较花钱,硬件设备需要花钱, 用户授权需要花钱, 反正啥都需要花钱。

十九、MPLS

VPN 运营商使用较多,使用场景多为总部与分支机构之间。

其他 VPN因部署方便,成本较低成为现在使用最为广泛的 VPN。

L2TP VPN与 PPTP VPN因使用的隧道协议都属于二层协议,所以也称为二层 VPN。IPSEC VPN则采用 IPSec 协议,属于三层 VPN。

SSL VPN是以 HTTPS协议为基础 VPN技术,使用维护简单安全,成为 VPN技术中的佼佼者。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/37068.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Vue2-收集表单数据、过滤器、内置指令与自定义指令、Vue生命周期

🥔:我徒越万重山 千帆过 万木自逢春 更多Vue知识请点击——Vue.js VUE2-Day4 收集表单数据1、不同标签的value属性2、v-model的三个修饰符 过滤器内置指令与自定义指令1、内置指令2、自定义指令定义语法(1)函数式(2&am…

文献综述|NLP领域后门攻击、检测与防御

前言:在信息安全中后门攻击(Backdoor Attack)是指绕过安全控制而获取对程序或系统访问权的方法。而随着深度学习以及各种神经网络模型的广泛应用,神经网络中存在的后门问题也引起了研究人员的广泛关注。神经网络后门攻击就是使网络…

Android AOSP源码编译——AOSP整编(二)

切换到源码目录下执行下面命令 1、初始化环境 . build/envsetup.sh //清除缓存 make clobber2、选择编译目标 lunchAOSP 预制了很多 Product。这里为了简单我们先不用真机,而是选择模拟器的方式,对于 x86_64 模拟器,我们选择的是 aosp_x86…

深度学习笔记(kaggle课程《Intro to Deep Learning》)

一、什么是深度学习? 深度学习是一种机器学习方法,通过构建和训练深层神经网络来处理和理解数据。它模仿人脑神经系统的工作方式,通过多层次的神经网络结构来学习和提取数据的特征。深度学习在图像识别、语音识别、自然语言处理等领域取得了…

Opencv将数据保存到xml、yaml / 从xml、yaml读取数据

Opencv将数据保存到xml、yaml / 从xml、yaml读取数据 Opencv提供了读写xml、yaml的类实现: 本文重点参考:https://blog.csdn.net/cd_yourheart/article/details/122705776?spm1001.2014.3001.5506,并将给出文件读写的具体使用实例。 1. 官…

C++多线程场景中的变量提前释放导致栈内存异常

多线程场景中的栈内存异常 在子线程中尝试使用当前函数的资源&#xff0c;是非常危险的&#xff0c;但是C支持这么做。因此C这么做可能会造成栈内存异常。 正常代码 #include <iostream> #include <thread> #include <windows.h>// 线程函数&#xff0c;用…

【分布式存储】数据存储和检索~LSM

在数据库领域&#xff0c;B树拥有无可撼动的地位&#xff0c;但是B树的缺点就是在写多读少的场景下&#xff0c;需要进行大量随机的磁盘IO读写&#xff0c;而这个性能是最差的。并且在删除和添加数据的时候&#xff0c;会造成整个树进行递归的合并、分裂&#xff0c;数据在磁盘…

【JVM】类装载的执行过程

文章目录 类装载的执行过程1.加载2.验证3.准备4.解析5.初始化6.使用7.卸载 类装载的执行过程 类装载总共分为7个过程&#xff0c;分别是 加载&#xff0c;验证&#xff0c;准备、解析、初始化、使用、卸载 1.加载 将类的字节码文件加载到内存(元空间&#xff09;中。这一步会…

16.3.1 【Linux】程序的观察

既然程序这么重要&#xff0c;那么我们如何查阅系统上面正在运行当中的程序呢&#xff1f;利用静态的 ps 或者是动态的 top&#xff0c;还能以 pstree 来查阅程序树之间的关系。 ps &#xff1a;将某个时间点的程序运行情况撷取下来 仅观察自己的 bash 相关程序&#xff1a; p…

Keburnetes 存储卷 volumes

K8S 的 存储卷 volumes emptyDir 可实现Pod中的容器之间共享目录数据&#xff0c;但emptyDir存储卷没有持久化数据的能力&#xff0c;存储卷会随着Pod生命周期结束而一起删除 &#xff08;一个pod中创建了docker1 docker2两个容器&#xff0c;他们都挂载这个emptyDir&#xff0…

Gradle依赖管理:编译时和运行时依赖的区别

&#x1f337;&#x1f341; 博主猫头虎 带您 Go to New World.✨&#x1f341; &#x1f984; 博客首页——猫头虎的博客&#x1f390; &#x1f433;《面试题大全专栏》 文章图文并茂&#x1f995;生动形象&#x1f996;简单易学&#xff01;欢迎大家来踩踩~&#x1f33a; &a…

【LeetCode】《LeetCode 101》第十一章:妙用数据结构

文章目录 11.1 C STL11.2 数组448. 找到所有数组中消失的数字&#xff08;简单&#xff09;48. 旋转图像&#xff08;中等&#xff09;74. 搜索二维矩阵&#xff08;中等&#xff09;240. 搜索二维矩阵 II&#xff08;中等&#xff09;769. 最多能完成排序的块&#xff08;中等…

ROSpider机器人评测报告

ROSpider机器人评测报告 最近入手了一款ROSpider六足仿生机器人&#xff0c;ROSpider是一款基于ROS 操作系统开发的智能视觉六足机器人。 外观 外观上ROSpider六足机器人如同名字一样有六只机械腿&#xff0c;整体来看像一只六腿的蜘蛛。腿上的关节处用了明亮的橙黄色很是显…

Redis使用Lua脚本和Redisson来保证库存扣减中的原子性和一致性

文章目录 前言1.使用SpringBoot Redis 原生实现方式2.使用redisson方式实现3. 使用RedisLua脚本实现3.1 lua脚本代码逻辑 3.2 与SpringBoot集成 4. Lua脚本方式和Redisson的方式对比5. 源码地址6. Redis从入门到精通系列文章7. 参考文档 前言 背景&#xff1a;最近有社群技术交…

C++——函数重载及底层原理

函数重载的定义 函数重载&#xff1a; 是函数的一种特殊情况&#xff0c;C允许在同一作用域重声明几个功能类似的同名函数&#xff0c;这些同名函数的形参列表&#xff08;参数个数或者类型&#xff0c;类型的顺序&#xff09;不同&#xff0c;常用来处理实现功能类似数据结构…

春秋云镜 CVE-2021-41947

春秋云镜 CVE-2021-41947 Subrion CMS v4.2.1 存在sql注入 靶标介绍 Subrion CMS v4.2.1 存在sql注入。 启动场景 漏洞利用 exp http://localhost/panel/visual-mode.json?getaccess&typeblocks UNION ALL SELECT username, password FROM sbr421_members -- -&o…

【需求输出】流程图输出

文章目录 1、什么是流程图2、绘制流程图的工具和基本要素3、流程图的分类和应用场景4、如何根据具体场景输出流程图 1、什么是流程图 2、绘制流程图的工具和基本要素 3、流程图的分类和应用场景 4、如何根据具体场景输出流程图

Dubbo1-架构的演变

分布式系统上的相关概念 项目&#xff1a;传统项目、互联网项目 传统项目&#xff1a; 一般为公司内部使用&#xff0c;或者小群体小范围的使用&#xff0c;一般不要求性能&#xff0c;美观&#xff0c;并发等 互联网项目的特点&#xff1a; 1.用户多 2.流量大&#xff0c;并…

用python来爬取某鱼的商品信息(2/2)

目录 上一篇文章 本章内容 设置浏览器为运行结束后不关闭&#xff08;可选&#xff09; 定位到搜索框的xpath地址 执行动作 获取cookie 保存为json文件 修改cookie的sameSite值并且导入cookie 导入cookie&#xff08;出错&#xff09; 导入cookie&#xff08;修改后&…

Android Ble蓝牙App(五)数据操作

Ble蓝牙App&#xff08;五&#xff09;数据操作 前言正文一、操作内容处理二、读取数据① 概念② 实操 三、写入数据① 概念② 实操 四、打开通知一、概念二、实操三、收到数据 五、源码 前言 关于低功耗蓝牙的服务、特性、属性、描述符都已经讲清楚了&#xff0c;而下面就是使…