安全基础——常见网络安全产品

产品分类和发展趋势

安全产品：

• 端点安全：恶意软件防护、终端安全管理
• 网络安全：安全网关、入侵检测与防御、网络监控与审计
• 应用安全：web安全、数据库安全、邮件安全
• 数据安全：数据治理、文件管理与加密、数据备份与恢复
• 身份与访问管理：认证与权限管理、高级认证
• 安全管理：安全运营与事件响应、脆弱性评估与管理、治理、风险与合规

访问控制技术

访问控制技术

访问控制是明确什么角色的用户可以访问什么类型的资源。使用访问控制可以防止用户对计算资源、通信资源或信息资源等进行进行未授权访问，是一种越权使用资源的防御措施。未授权访问包括未经授权的使用、泄露、修改、销毁信息，以及发布指令等。

可在防火墙上配置访问控制策略。

访问控制基本概念

• 客体：规定需要保护的资源，又称为目标
• 主体：是一个主动的实体，规定可以访问该资源的实体（通常指用户或代表用户执行的程序），又称为发起者。
• 授权：主体经过系统鉴别后，根据主体的访问请求来决定对目标执行动作的权限。规定可对该资源执行的动作，如读、写、执行或拒绝访问

常见安全产品及相关概念

防火墙

定义

防火墙被设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间并且是唯一的出口，能根据安全策略控制(允许、拒绝、监测）网络的信息流，具有安全防护的能力。随着防火墙技术的不断发展，其功能越来越丰富。防火墙最基础的两大功能依旧是隔离和访问控制。隔离功能就是在不同信任级别的网络之间砌“墙”，而访问控制就是在墙上开“门”并派驻守卫，按照安全策略来进行检查和放行。
作用

1. 提供基础组网和访问控制
   防火墙能够满足基础组网和基本的攻击防御需求，可以实现网络连通并限制非法用户发起的内外攻击，如黑客、网络破坏者等，禁止存在安全脆弱性的服务和未授权的通信数据包进出网络。
2. 记录和监控网络访问
   防火墙可以收集关于系统网络所有进出信息并做出日志记录，通过防火墙可以很方便地监视网络的安全性，并在异常时给出报警。
3. 限制网络暴露面
   利用防火墙对内部网络的划分，可实现网络中网段的隔离，防止影响一个网段的问题通过整个网络传播，限制了局部重点或敏感网络安全问题对全局网络造成的影响，保护一个网段不受来自网络内部其他网段的攻击，从而保障网络内部敏感数据的安全。

为什么需要安全域
(1）随着网络系统规模逐渐扩大，结构越来越复杂，组网方式随意性增强，缺乏统一规划，扩展性差;
(2）网络区域之间的边界不清晰，互联互通没有统一控制规范；

(3) 业务系统各自为政，与外网之间存在多个出口，无法统一管理;
(4）安全防护策略不统一，安全防护手段部署原则不明确;
(5）对访问关键业务的不可信终端接入网络的情况块乏有效控制。针对这类问题，提出交全域这—概念，安全域是构建安全防御体系的基础
为什么是安全域
网络安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等要素的不同来划分的不同逻辑子网或网络，每一个安全域内部有相同的安全保护需求，互相信任，具有相同的安全访问控制和边界控制策略，并且相同的网络安全域共享—样的安全策略。

安全域通常划分种类
(1）用户域：由多个进行存储、处理和使用数据信息的终端组成，通过接入方式是否相同与能够访问的数据是否相同进行划分。
(2）计算域：由局域网中多台服务器/主机等计算资源组成，数据的产生、计算、存储都依靠该区域，因数据的重要性及计算、存储要求都不相同，数据中心会有多个计算域，且在物理位置上相近或相邻。

(3)支撑域：由用于辅助运维人员日常工作的管理系统/资源组成，按照具备的功能特点进行划分。
(4)网络域：由连接不同安全域之间的网络组成，根据连接的两个安全域之间承载的数据大小和重要程度进行划分。

在工作和项目中，可根据业务特点、管理模式、资产价值、安全策略等因素，对这4种安全域再进行扩展。

WAF

Web应用防火墙，主要针对Web服务器进行HTTP/HTTPS流量分析，防护以Web应用程序漏洞为目标的攻击，并针对Web应用访问各方面进行优化，以提高Web或网络协议应用的可用性、性能和安全性，确保Web业务应用能够快速、安全、可靠地交付。

入侵检测系统

入侵防御系统作为一项主动的网络安全技术，它能够检测未授权对象（用户或进程)针对系统（主机或网络）的入侵行为，监控授权对象对系统资源的非法使用，记录并保存相关行为的证据，并可根据配置的要求在特定的情况下采取必要的响应措施（警报、阻断等）。
主要功能

1. 网络流量跟踪与分析功能
   实时检测并分析用户在系统中的活动；实时统计网络流量、检测入侵攻击等异常行为。

2. 已知攻击特征的识别功能
   识别特定类型的攻击，并向控制台报警，为网络防护提供依据。根据定制的条件过滤重复告警事件。

3. 异常行为的分析、统计与响应功能
   分析系统的异常行为模式，统计异常行为，并对异常行为做出响应

4. 自定义响应功能

定制实时响应策略；根据用户定义，经过系统过滤，对告警事件及时做出响应。
5. 特征库在线和离线升级功能
提供入侵检测规则的在线和离线升级，实时更新入侵特征库，不断提高设备的入侵检测能力。
6. 探测器集中管理功能
通过控制台收集探测器的状态和告警信息，控制各个探测器的行为。

蜜罐

欺骗防御系统
欺骗防御系统与一般的安全防护产品不同，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实地攻击，从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解白己所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。
部署方式
欺骗防御系统采用旁路接入模式，支持单机部署、分布式部署。
部署在公网：可稳定获得大量攻击事件数据和样本，用于研究当前互联网安全态势。
部署在DMZ区:捕获针对对外服务攻击，如WEB官网、数据库等的攻击事件，提供攻击情报，与IDS、FW等组成总体防御体系。

部署在办公网和业务网：捕获内网渗透和业务系统攻击行为，并可捕获攻击样本、记录攻击路径，实现溯源反制。

安全防御体系概述

边界防御体系

传统的边界防御体系，主要进行边界隔离防护，从最开始的防火墙、IPS 到UTM、下一代防火墙等产品，边界防御体系就是将攻击拦截在外部，在网络边界上解决安全问题，部著比较简单；但弱点也非常明显，即黑客一旦渗透进内部，便可长驱直入。

边界安全设备主要作用防火墙提供组网能力、划分安全域、访问控制UTM多功能安全设备下一代防火墙开启多重防护功能后依然能够保证高速度、低时延的安全防护抗DDOS流量清洗、防御拒绝服务攻击WAFWeb应用安全防护入侵防御检测发现入侵攻击行为，并执行实时阻断，弥补网络层安全设备的不足网闸内网隔离、数据安全交换