三类厂商

既做网络设备也做安全设备:华为,华三,迪普等

专业安全厂商:启明星辰,安恒,天融信,奇安信,绿盟,360 等

小众厂商:齐治 堡垒机,合众 数据交换平台

工控:四方,南瑞,科东等

安全产品相关性能指标

1. 整机吞吐量

能够处理一定包长数据的最大转发能力,一般默认采用大包衡量安全产品对报文的处理能力

2. 最大并发连接数

同时在线连接数

办公网络、大型网站等

3. 每秒新建连接数

单位时间内连接数

电商平台、在线视频直播平台等

防火墙

软件防火墙

硬件防火墙

作用:保护网络周边安全的关键设备,划分安全区域

基本功能:网络隔离,访问控制,NAT,VPN 等

一般作为区域之间的网关,或出口网关

安全区域:

1.trust 区域

信任区域 —— 连接内部局域网(办公网,私网)

优先级 85

2.untrust

非信任区域 —— 连接互联网

优先级 5

3.dmz 区域

非军事化区域 / 缓冲区 / 隔离区 —— 服务器区域

优先级 50

4.local 区域

防火墙本地区域 —— 所有从防火墙接口发出的流量都属于 local

优先级 100

```

防火墙分类

包过滤防火墙

ACL+ 路由器

```

早期防火墙,功能简单,配置繁琐(ACL)

进行逐包检测

效率低,性价比低

```

应用网关 / 代理防火墙

```

早期防火墙,针对应用层的防火墙

效率低,速度慢

```

状态检测防火墙

```

只检测首包

状态检测机制:如果首包通过,会生成一个会话表,后续的数据会根据会话表,直接通过,不会再经过路由表和策略表

提高防火墙效率

```

下一代防火墙

本质还是状态检测,新增付费模块(IPS IDS 等功能)

下一代防火墙和传统防火墙的区别

1. 下一代防火墙从多因素考虑安全(深度识别,如基于时间、位置、身份 ID、终端设备、业务识别等);传统防火墙基于网络层和传输层

2. 一体化安全策略(图形化,配置简单)

3. 智能安全策略,策略自动推荐,策略匹配统计,策略合规鉴别(是否有冗余策略、冲突策略等无效或不合规策略)

web 应用防火墙 -WAF

部署于网站服务器群的前端

提供抗扫描、防注入、防跨站脚本、防后门攻击等安全策略,提供网站安全防护的能力

1. 传统防火墙基于 IP 端口做防护;WAF 基于应用层的防护更专精

2.web 应用系统弱点多样性

3.WAF 具有事前预防,事中防护,事后补偿的能力

--- 确保网站业务的可用性,防止数据泄露和网页篡改,优化业务资源

应用层安全防护设备

网页保护:web 应用防火墙

视频安全保障:视频安全网关(如应用于公安、交通、安防等需要视频监控的领域)

数据库安全保障:数据库审计系统(数据安全)

IDS 入侵检测系统

入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力 (包括安全审计监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。

IDS 无法中断流量,对流量进行实时检测、识别、分析、告警,一般是旁路部署

基于主机的检测 (HIDS)

对于这一类的检测通常是通过主机系统的日志和管理员的设置来检测。

基于网络检洲 (NIDS)

网络入侵者通常利用网络的漏洞进入系统,如 TCP/IP 协议的三次握手,就给入侵者提供入侵系统的途径。通常将入侵检测系统放置在网关或防火墙后,用来捕获所有进出的数据包,实现对所有的数据包进行监视

基于内核的检测

基于内核的检测是从操作系统的内核收集数据,作为检测入侵或异常行为的依据。

IPS 入侵防御系统

入侵防御系统 (Intrusion-prevention system) 是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。串行部署于网络关键路径,确保用户业务不受影响的前提下,对已知、未知威胁进行精确识别和实时阻断,主动而有效得保护网络安全。

IPS 能够及时中断或隔离一些不正常的网络行为,对流量进行实时检测、分析、拦截,一般是透明(串行、路由)部署

分类

  • HIPS(基于主机的检测)

  • NIPS(基于主机的检测)

防火墙跟 IDS 和 IPS 的配合

防火墙偏向于边界安全管理,做边界隔离的产品

进入到内网的流量通过 IDS、IPS 检测、拦截

防病毒网关

一般透明部署

主要用来保护网络内 (通常是局域网) 进出数据的安全。

它的核心功能包括病毒杀除、关键字过滤 (例如色情、反动内容)、垃圾邮件阻止等

防病毒网关 VS 防火墙

部署模式

  • 透明部署;

  • 旁路部署 (检测、引流);

网闸(安全隔离设备)

网闸 (安全隔离与信息交换系统) 是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。因此,网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。

防火墙 --- 逻辑隔离

网闸 --- 物理隔离

数据摆渡 (单向通信)

一般用在绝密级和机密级网络

审计设备

审计产品主要分类

  • 网络行为审计

  • 日志审计系统

  • 数据库审计

  • 运维审计

  • 用户行为审计等

网络行为审计

网络审计按时间顺序产生网络事件记录,并检查、审查和检验每个事件的环境及活动的过程。网络审计是提高网络安全保密的重要手段。目的是通过书面方式提供相关责任人员的活动证据,帮助系统管理员确保系统及其资源免遭非法授权用户的侵害,有助于实现数据恢复。借助于适当的工具和规程网络审计可以发现违反安全策略的活动、影响运行效率的问题及程序中的错误。

产品功能:

  • 落实上网实名制

  • 访问、外发信息有记录

  • 敏感信息报警

  • 保障工作效率

  • 保障业务带宽等

部署方式:端口镜像(旁路部署)

日志审计系统

日志审计系统是用于全面收集 IT 系统中常见的安全设备、网络设备数据库、服务器、应用系统、主机等设备所产生的日志 (包括运行、告警、操作、消息、状态等) 并进行存储监控审计分析报警响应报告的系统。

系统组成:

  • 审计中心

  • 日志采集器

  • 日志代理

  • 日志存储服务器(主要)

基本功能:

  • 日志监控

  • 日志采集

  • 日志存储

  • 日志检索

  • 日志分析日志转发

  • 日志时间告警

  • 日志报表管理

关键技术:

范式化,将不同厂商、不同设备的日志统一通过解析文件对平台接受到的日志原始信息进行匹配,提取或补充字段对应到平台事件属性中,以便于后续的平台中进行数据分析

部署模式:

  • 单机部署

  • 分布式部署 (采集器、存储、代理)

  • 分级部署等

数据库审计系统

一般是旁路部署、分布式部署

数据库审计 (简称 DBAudit) 能够实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理(增、删、改、查), 对数据库遭受到的风险行为进行告警,对攻击行为进行阻断。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部数据库网络行为记录,提高数据资产安全。

核心功能:

数据发现与分类

  • 数据库发现

  • 数据库表发现

  • 数据库字段发现

  • 敏感数据发现

告警与防护

  • 非法用户告警

  • 异常业务告警由

  • 敏感内容访问告警

审计与追溯

  • 操作日志查询内容检索追溯申

  • 会话审计回放

  • 各种合规报告

分析与挖掘

  • 异常业务场景发现

  • 异常操作智能审计

  • 用户行为轨迹分析

两大功能:

  • 支持主流数据库,全面记录数据库访问行为,完成追踪溯源

  • 支持检测数据库漏洞扫描,提供漏洞扫描报告及解决建议

违规事件的事后溯源

数据库安全评估及违规行为实时预警

基于海量审计数据的合格安全挖掘分析

阻断攻击 保护数据库安全

核心:通过采集数据库流量(镜像口)进行解析还原,再通过规则和报表等分析手段,发现数据的违规行为

运维审计

用户行为审计等

其他安全产品

厂商:f5、迪普等

负载均衡

  1. 链路负载均衡

  2. 服务器负载均衡

  3. 全局负载均衡

功能:

  1. 拓展网络设备和服务器的带宽

  2. 增加吞吐量,加强网络处理能力

  3. 提高网络的灵活性和可用性

产品技术

  1. TCP 连接复用

  2. HTTP 压缩

  3. SSL 卸载