公司动态

网络安全整体解决方案介绍(理论)

2017-01-26

    以前一个注重安全的公司,企业,都会给自己买个防火墙,用来防止DDOS攻击,抵御黑客扫描等等,随着黑客技术,网络协议的发展,渐渐的这些公司企业发现这样的网络安全措施并不完善,有时候光靠一个防火墙只能做到一部分的广域网安全防护,因为一个城堡总是从内部开始瓦解的。所以现在很多企业单位都在提倡网络安全整体解决方案

    这里我提一下国外的公司企业安全意识比我们国内的一些公司好,这不得不说是一个悲哀。对于一个黑客来说我始终认为,如果不了解各种网络产品,网络技术,协议的话不得不说那就是一个失败者。一个黑客攻击需要有攻击前的准备,攻击中的随机应变,攻击后的心得,扫尾。如果你单单只是用某一种技术,某一个工具去入侵去渗透,你或许有可能会成功,但是那只是小鱼,没什么可以炫耀的。

         对于一名从事网络安全的人来说,网络必须有一个整体、动态的安全概念。一个好的安全方案不仅仅要考虑到技术,还要考虑到策略和管理。技术是关键,策略是核心,管理是保证。这对于一些黑客来说不得不说是一个挑战。因为常常你在入侵防火墙之后随着而来的就是各种设备例如IDS/IPS.数据库审计,行为审计等等一些列的设备。下面我来介绍一些常规安全产品和策略思路。这个拓扑图大家可以先熟悉一下,然后我在来讲解各个设备的应用。



    防火墙:大家经常听到的一个词语,也是最基本的一个企业安全设备。一些比较知名的防火墙国外的有juniper,飞塔,hilstone等。国内的有天融信,网御神州,锐捷等。传统的防火墙主要是用来做数据包过滤,DDOS,SYN等常规攻击,扫描的防御,这类防火墙内置了数据包处理技术专门用来抵御DDOS,SYN流量攻击。并且对于内外网数据包交互做筛选和控制。例如安全人员通过策略实现内部数据流出只允许其使用80,443,25,110等常规端口对于其他端口流出做阻止。碰上这种情况就很无奈了,黑客的远程控制软件,扫描软件都是基于TCP/UDP端口的,有时候他们使用非常规端口,这样就会导致,哪怕是客户端中木马了,黑客也是无法控制的,因为他根本不允许你的远程控制端口的数据包流出。而对于流入的数据包,会有筛选,像现在应用级防火墙(UTM防火墙)他在对流入数据包在筛选的同时还会对数据包拆包分析,如果监测到数据包有攻击特征,就会丢弃掉。还有一种防火墙是最头疼的了,那就是代理型防火墙,他指的是客户处理连接请求的程序,当代理服务器得到一个客户的连接意图时,它将核实客户请求,并用特定的安全化代理应用程序来处理连接请求,将处理后的请求传递到真实的服务器上,然后接受服务器应答,并进一步处理后,将答复交给发送请求的客户。这样在我们在使用远程控制软件,溢出软件,都造成了极大的困扰,因为你的数据包永远也无法直接传到被攻击者那边,只有经过代理防火墙筛选合格后才能到达。
     
    网闸这个词或者设备或许大家都没听过,而且这个设备一般企业是不会用到的,除非金融证券公司。这个设备在单位,安全部门用的比较多,如果遇上这种设备哪基本上后面的入侵都没戏了。我们来看下百度上的解释:网闸(GAP)全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。简答的理解就是:当数据包通过防火墙进入时,防火墙将数据包交给网闸,然后网闸接收到数据包之后,断开防火墙和网闸之间的线路连接,同时,启用网闸和下级网络设备的连接,最终将数据包传输至下层设备。如果有数据包要返回出去,那么下层设备发送数据包给网闸,网闸接收完成后,网闸断开与下层设备的连接,同时启用网闸和防火墙之间的线路,最终将数据包发送至防火墙,也就是说,数据包在经过网闸的时候他永远只会有一端线路联通。

    内网行为审计设备:这里可以说是上网行为管理设备,禁止内部员工,服务器,访问/连接非法应用程序,网站URL,等等,同时对内网访问外部的网页,应用程序做审计,同时可以做到小部分防火墙功能,例如arp包防护,数据包阻止等。
 
    IDS/IPS:入侵检测/入侵保护系统,这类设备常规做镜像流量也就是说,所有设备的流入流出流量都会在这类设备中做分析,阻止。并且通过对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。IPS:能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
 
    数据分析服务器:通过专业的数据包处理技术(例如:数据包去包头,数据包切片,数据包时间戳,数据包打标签等),将所有的数据流做分类,分析,个人觉得这种设备是最恐怖的,因为行为审计功能还能让一些黑客去假装一些正常操作来欺骗管理员,但是数据包是无法欺骗的,因为你始终要对外传输自己的控制协议,数据端口等等。。

    三层交换机:中大型企业一定会有的一种设备,用来做数据包转发,隔离广播风暴,ACL安全控制,等等。。作用非常大,在这里通常可以限制某些地址禁止访问业务服务器,从这里就做服务器安全的第一次筛选。保证安全用户能够正常访问业务服务器。

    防火墙/身份认证服务器:防火墙作用和前面一样的,但是这里加了一个身份认证,也就是说,我通过种种条件筛选通过之后,我这里还必须要输入账户口令,USBKEY,RSA令牌,短信认证等等。这就像我们的网银,在使用的时候有rsa令牌保证金额安全。
   
    数据库行为审计:这类设备就是用来记录你在访问业务系统的时候,在这些业务系统中对数据做什么增删改查等等行为操作,并且对异常操作进行email,短信,语言报警等等。
 
    其实网络环境中还有很多很多种安全设备/软件,例如黑客最喜欢的渗透入侵。对付这种方式的话我们会使用WAF,也就是网站应用级入侵防御系统,他会对你上传的图片,sql/mysql/oracle注入语句,网站文件,进行分析,检测,还原。对异常事件同样进行报警。所以说,黑客不单单是通过一件工具,一种协议就能完成攻击的,只有多样化的配套使用,才能成功。

     文章来源:简云科技(https://www.jianyunkeji.com)