主流安全设备-第一讲在线预览-关键信息基础设施安全保护-hvv面试题

防火墙（FireWall）

防火墙的概念

防火墙:一种高级访问控制设备，即由软件和硬件组成的系统,置于不同的网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制(允许、拒绝、监视、记录)进出网络的访问行为。

防火墙部署模式

防火墙部署模式有3种，分别是串联路由部署、串联透明部署和旁路引流部署;根据业务的不同场景可以选择不同的部署模式，串联路由模式场景下，防火墙通常作为网关或者网络边界墙使用;串联透明模式场景下，防火墙通常只做访问控制，不涉及路由转发;旁路引流模式则是让防火墙被动接受流量进行访问控制，能够提高业务连续性。

策略工作模式

防火墙有“白名单”与“黑名单”两种工作模式，白名单是指防火墙最后一条安全策略的动作为Deny(仅允许指定流量通过防火墙);黑名单是指防火墙最后一条安全策略的动作为Permit(即拒绝某些特定流量通过防火墙)。

防火墙基本功能

防火墙部署场景

• 将企业员工网络、公司服务器网络、外部网络划分到不同安全区域，配置安全策略对安全区域间的流量进行检测和保护。
• 根据公司对外提供的网络服务的类型开启内容安全防护功能。例如针对所有服务器开启反病毒和入侵防御。
• 针对内网员工访问外部网络的行为，开启入侵防御、反病毒功能，既保护内网主机不受外网威胁，又可以防止企业机密信息的泄露，提高企业网络的安全性。
• 在防火墙与分支机构间建立VPN隧道，使用VPN保护公司业务数据，使其在Internet上传输。
• 开启DDoS防御功能，抵抗外网主机对内网服务器进行的大流量攻击，保证企业业务的正常开展。
• 针对内外网之间的流量部署带宽策略，控制流量带宽和连接数，避免网络拥塞，同时也可辅助进行DDoS攻击的防御。
• 采用双机热备部署，提高系统可靠性。单机故障时可以将业务流量从主机平滑切换至备机上运行，保证企业业务持续无间断的运行。

防火墙安全策略功能

安全策略是一种根据报文的属性信息对报文进行精细化转发控制的智能安全防护措施。它融合了多维度精确报文识别、深度报文检测、安全动作执行、智能策略分析、应用风险调优等多种安全防护功能，为网络的安全性提供全方位保障。

防火墙安全策略运行机制

• 将报文的属性信息与过滤条件进行匹配，若报文与某条规则中的所有过滤条件都匹配，则报文与此条规则匹配成功;若报文未与任何规则匹配成功，则直接丢弃。
• 若报文满足某条规则所有过滤条件，则执行规则中配置的动作，放行或者丢弃。
• 若策略中引用了DPI业务，则会对报文进行各类DPI深度安全检测，然后丢弃具有非法特征的报文。

华为防火墙介绍

华为防火墙-安全策略配置方式

定义地址对象 -> 定义服务对象 -> 创建之全策略

华为防火墙特色功能

天融信防火墙介绍

天融信防火墙-安全策略配置方式

定义地址对象 -> 定义服务对象 -> 创建之全策略

WAF基础概念

WAF基础概念

WAF，全称为:Web Application Firewall，即 Web应用防火墙。对此，维基百科是这么解释的: Web应用程序防火墙过滤，监视和阻止与Web应用程序之间的HTTP/HTTPS流量。WAF与常规防火墙的区别在于，WAF能够过滤特定Web应用程序的内容，而常规防火墙则充当服务器之间的安全门。通过检查HTTP流量，它可以防止源自Web应用程序安全漏洞的攻击，例如SQL注入、跨站点脚本，文件包含和安全性错误配置。

WAF功能特点

• Web攻击防护
• 深入检测HTTP/HTTPS流量
• 全面检测WEB代码
• 具备网络层的防篡改机制

WAF部署模式

根据WAF工作方式及原理不同可以分为四种工作模式:透明代理模式.反向代理模式、路由代理模式及旁路镜像模式。前三种模式也被统称为在线模式，通常需要将WAF串行部署在WEB服务器前端，用于检测并阻断异常流量。旁路镜像模式也称为离线模式，部署也相对简单，只需要将WAF旁路接在WEB服务器上游的交换机上，用于只检测异常流量。

WAF分类

软件型WAF
以软件的形式安装在服务器上，可以直接检测服务器是否存在webshell，是否有文件被创建等
D盾，云锁，网防G01，安全狗，护卫神，智创，悬镜，UPUPW，安骑士

硬件型WAF
以硬件的形式部署在链路中，支持多种部署方式，当串联到链路中时可以拦截恶意流量，在旁路监听时只记录攻击，不拦截
绿盟、安恒、依迅、天融信、深信服、启明星辰、知道创宇、F5 BIG-IP

基于云WAF
一般以反向代理的形式工作，通过配置NS或CNAME记录，使得对网站的请求报文优先经过WAF主机，经过WAF主机过滤后，将被认为无害的请求报文再发送给实际网站服务器进行请求，可以认为是自带防护功能的CDN
安全宝、创宇盾、玄武盾、腾讯云(T-Sec Web应用防火墙)、百度云（应用防火墙WAF)、西部数码、阿里云盾、奇安信网站卫士
开源型WAF
Naxsi、OpenRASP、ModSecurity

网站内置的WAF
网站系统内置的WAF直接镶嵌在代码中，相对来说自由度高，网站内置的WAF与业务更加契合

WAF功能概述

WAF功能-降低OWASP TOP 10风险

WAF功能-降低用户数据泄露风险

WAF功能-确保网站可用性

WAF功能-保护内容安全

WAF策略配置-站点防护(确认网站信息)

入侵防御系统（IPS)

IPS基础概念

lPS，入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施，是对防病毒软件（Antivirus Programs）防火墙(Packet Filter,Application Gateway)的补充。入侵防御系统(Intrusion-preventionsystem)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

IPS工作原理

串行部署于网络关键路径，对深层攻击行为进行精确识别和实时阻断,主动而有效的保护网络安全。

IPS关键价值

具备对已知、未知威胁的精确检测能力，执行实时高效的自动化威胁防御，L简单而有效的保护用户网络及业务免受深层威胁的侵害。

IPS使用场景

lPS部署-互联网边界

• lPS部暑在互联网边界时，一般部署于出口防火墙或路由器后端、透明接入网络。
• 如果需要保护多条链路,可使用IPS的多个接口对同时接入。

IPS部署-IDC/服务器集群

IPS部署于IDC/服务器集群或企业服务器区前端保护服务器及数据安全。IPS串联部署于服务器前端,此时IPS设备采用透明方式接入。

lPS部署-内网防护

IPS设备部署在不同部门的前端,用于抑制内网恶意流量,如间谍软件、蠕虫病毒等泛滥和传播，抵御内网攻击。

IPS主要防御功能

入侵检测系统（IDS)

IDS基础概念

IDS，入侵检测系统(intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。

IDS工作原理

旁路部署于网络关键路径，接收镜像流量,可以在入侵发生时，评估可疑的入侵并发出警告,而且还可以观察源自系统内部的攻击情况。

IDS分类情况

• IDS可以分为两类:网络型IDS (NIDS）和主机型IDS (HIDS）两种。
• 基于网络的NIDS，是指对收集漏洞信息、造成拒绝访问及获取超出合法范围的系统控制权等危害计算机系统安全的行为，进行检测的软件与硬件的组合。
• 基于主机的HIDS，需要安装到被保护的主机，可以查看和监控流量、日志、文件等信息，并核对他们是否和预期相同，检测并报告结果。

IPS与IDS对比

蜜罐诱捕设备

蜜罐诱捕

蜜罐诱捕技术是由传统蜜罐技木演进而米，运用订具对甘网取拦截阳断、行为分引诱和伪装手段，诱使攻击者将攻击目怀转到奶T外TR在饺的密罐技术相比，大析、追踪溯源等措施，从而实现保护自身真实业务环境的目的。
与传统的蜜罐技术相比，大的区别在于防御过程中化被动为主动的过程。类似的概念包括欺骗防御、威胁诱捕、伪装、新─代蜜罐技术等。

蜜网的部署架构

蜜罐诱捕优点

------本文已结束，感谢您的阅读------