網(wǎng)絡(luò)運(yùn)維|深度安全防御

2020-04-30 21:15 作者：admin

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運(yùn)維工程師，今天和大家聊一聊深度安全防御有哪些內(nèi)容呢？
設(shè)備通過(guò)安全策略實(shí)現(xiàn)了基于應(yīng)用層的深度安全防御，保護(hù)用戶不受多種網(wǎng)絡(luò)威脅的侵?jǐn)_，在這里介紹深度安全防御三個(gè)內(nèi)容？安全策略、IPS、URL過(guò)濾。
· 安全策略
設(shè)備通過(guò)安全策略可以實(shí)現(xiàn)對(duì)業(yè)務(wù)流量的轉(zhuǎn)發(fā)和內(nèi)容安全的一體化檢測(cè)及處理。

安全策略簡(jiǎn)介

介紹設(shè)備安全策略的定義和特點(diǎn)。
隨著網(wǎng)絡(luò)的發(fā)展，層出不窮的新應(yīng)用雖然給人們的網(wǎng)絡(luò)生活帶來(lái)了更多的便利，但是同時(shí)也帶來(lái)更多的安全風(fēng)險(xiǎn)。現(xiàn)在內(nèi)網(wǎng)主機(jī)在訪問(wèn)Internet的過(guò)程中，很有可能無(wú)意中從外網(wǎng)引入蠕蟲(chóng)、木馬及其他病毒，造成企業(yè)機(jī)密數(shù)據(jù)泄露，對(duì)企業(yè)經(jīng)營(yíng)造成巨大損失。為了保護(hù)公司內(nèi)部網(wǎng)絡(luò)安全，企業(yè)有必要在控制流量的源和目的的基礎(chǔ)上，再對(duì)流量傳輸?shù)恼鎸?shí)內(nèi)容進(jìn)行深入的識(shí)別和監(jiān)控。但是傳統(tǒng)的單包檢測(cè)機(jī)制只能對(duì)單個(gè)報(bào)文的安全性進(jìn)行分析，這樣無(wú)法防范在一次正常網(wǎng)絡(luò)訪問(wèn)的過(guò)程中發(fā)生的緩沖區(qū)溢出攻擊、木馬、蠕蟲(chóng)等網(wǎng)絡(luò)威脅。安全策略不僅可以對(duì)網(wǎng)絡(luò)流量進(jìn)行轉(zhuǎn)發(fā)，還可以對(duì)網(wǎng)絡(luò)流量進(jìn)行內(nèi)容安全一體化檢測(cè)。
內(nèi)容安全一體化檢測(cè)是指使用設(shè)備的一體化檢測(cè)引擎對(duì)一條流量的內(nèi)容只進(jìn)行一次檢測(cè)和處理，就能實(shí)現(xiàn)包括IPS、URL過(guò)濾在內(nèi)的內(nèi)容安全功能。由于一體化檢測(cè)的高效性，用戶往往可以通過(guò)配置較寬泛的安全策略條件來(lái)匹配一類流量，然后再通過(guò)各種內(nèi)容安全功能來(lái)保證網(wǎng)絡(luò)安全。
如圖1所示，設(shè)備能夠識(shí)別出流量的屬性，并將流量的屬性與安全策略的條件進(jìn)行匹配。如果所有條件都匹配，則此流量成功匹配安全策略，否則允許流量通過(guò)。流量匹配安全策略后，設(shè)備將會(huì)對(duì)流量進(jìn)行內(nèi)容安全檢測(cè)，并根據(jù)檢測(cè)結(jié)果執(zhí)行相應(yīng)的動(dòng)作。
· 如果檢測(cè)結(jié)果為“允許”或“告警”，則允許流量通過(guò)。檢測(cè)結(jié)果為“告警”時(shí)設(shè)備會(huì)記錄日志。
· 如果檢測(cè)結(jié)果為“禁止”，則禁止流量通過(guò)。
圖1  Router的安全策略   
· IPS
IPS是一種安全機(jī)制，它通過(guò)監(jiān)控或者分析系統(tǒng)事件來(lái)檢測(cè)入侵行為，并通過(guò)一定的響應(yīng)方式實(shí)時(shí)的中止入侵行為。

IPS簡(jiǎn)介

介紹IPS的定義、由來(lái)和作用。

定義

入侵防御系統(tǒng)IPS（Intrusion Prevention System）是一種安全機(jī)制，通過(guò)分析網(wǎng)絡(luò)流量可以檢測(cè)出入侵行為（包括緩沖區(qū)溢出攻擊、木馬、蠕蟲(chóng)等），并通過(guò)一定的響應(yīng)方式對(duì)其進(jìn)行實(shí)時(shí)中止，從而保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害。

目的

隨著網(wǎng)絡(luò)的發(fā)展，層出不窮的新應(yīng)用雖然給人們的網(wǎng)絡(luò)生活帶來(lái)了更多的便利，但是同時(shí)也帶來(lái)更多的安全風(fēng)險(xiǎn)。在訪問(wèn)Internet的過(guò)程中，很有可能無(wú)意中從外網(wǎng)引入蠕蟲(chóng)、木馬及其他病毒，造成企業(yè)機(jī)密數(shù)據(jù)泄露，對(duì)企業(yè)經(jīng)營(yíng)造成巨大損失。所以企業(yè)的網(wǎng)絡(luò)安全管理，有必要在控制流量的源和目的的基礎(chǔ)上，再對(duì)流量傳輸?shù)恼鎸?shí)內(nèi)容進(jìn)行深入的識(shí)別和監(jiān)控。
通過(guò)IPS可以防護(hù)應(yīng)用層的攻擊或入侵，例如緩沖區(qū)溢出攻擊、木馬、蠕蟲(chóng)等。

優(yōu)勢(shì)

入侵防御是種既能發(fā)現(xiàn)又能阻止入侵行為的新安全防御技術(shù)。通過(guò)檢測(cè)發(fā)現(xiàn)網(wǎng)絡(luò)入侵后，能自動(dòng)丟棄入侵報(bào)文或者阻斷攻擊源，從而從根本上避免攻擊行為。入侵防御的主要優(yōu)勢(shì)有如下幾點(diǎn)。
· 實(shí)時(shí)阻斷攻擊：設(shè)備采用直路方式部署在網(wǎng)絡(luò)中，能夠在檢測(cè)到入侵時(shí)，實(shí)時(shí)對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，把其對(duì)網(wǎng)絡(luò)的入侵降到最低。
· 深層防護(hù)：由于新型的攻擊都隱藏在TCP/IP協(xié)議的應(yīng)用層里，入侵防御能檢測(cè)報(bào)文應(yīng)用層的內(nèi)容，還可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)流重組進(jìn)行協(xié)議分析和檢測(cè)，并根據(jù)攻擊類型、策略等來(lái)確定哪些流量應(yīng)該被攔截。
· 全方位防護(hù)：入侵防御可以提供針對(duì)蠕蟲(chóng)、病毒、木馬、僵尸網(wǎng)絡(luò)、間諜軟件、廣告軟件、CGI（Common Gateway Interface）攻擊、跨站腳本攻擊、注入攻擊、目錄遍歷、信息泄露、遠(yuǎn)程文件包含攻擊、溢出攻擊、代碼執(zhí)行、拒絕服務(wù)、掃描工具等攻擊的防護(hù)措施，全方位防御各種攻擊，保護(hù)網(wǎng)絡(luò)安全。
· 內(nèi)外兼防：入侵防御不但可以防止來(lái)自于企業(yè)外部的攻擊，還可以防止發(fā)自于企業(yè)內(nèi)部的攻擊。系統(tǒng)對(duì)經(jīng)過(guò)的流量都可以進(jìn)行檢測(cè)，既可以對(duì)服務(wù)器進(jìn)行防護(hù)，也可以對(duì)客戶端進(jìn)行防護(hù)。
· 不斷升級(jí)，精準(zhǔn)防護(hù)：入侵防御特征庫(kù)會(huì)持續(xù)的更新，以保持最高水平的安全性。您可以從升級(jí)中心定期升級(jí)設(shè)備的特征庫(kù)，以保持入侵防御的持續(xù)有效性。

與傳統(tǒng)IDS（Intrusion Detection System）的不同

總體上說(shuō)，IDS對(duì)那些異常的、可能是入侵行為的數(shù)據(jù)進(jìn)行檢測(cè)和報(bào)警，告知使用者網(wǎng)絡(luò)中的實(shí)時(shí)狀況，并提供相應(yīng)的解決、處理方法，是一種側(cè)重于風(fēng)險(xiǎn)管理的安全功能。而入侵防御對(duì)那些被明確判斷為攻擊行為，會(huì)對(duì)網(wǎng)絡(luò)、數(shù)據(jù)造成危害的惡意行為進(jìn)行檢測(cè)，并實(shí)時(shí)終止，降低或是減免使用者對(duì)異常狀況的處理資源開(kāi)銷，是一種側(cè)重于風(fēng)險(xiǎn)控制的安全功能。
入侵防御技術(shù)在傳統(tǒng)IDS的基礎(chǔ)上增加了強(qiáng)大的防御功能：
· 傳統(tǒng)防火墻很難對(duì)基于應(yīng)用層的攻擊進(jìn)行預(yù)防和阻止。入侵防御設(shè)備能夠有效防御應(yīng)用層攻擊。
而由于重要數(shù)據(jù)夾雜在過(guò)多的一般性數(shù)據(jù)中，IDS很容易忽視真正的攻擊，誤報(bào)和漏報(bào)率居高不下，日志和告警過(guò)多。而入侵防御功能則可以對(duì)報(bào)文層層剝離，進(jìn)行協(xié)議識(shí)別和報(bào)文解析，對(duì)解析后的報(bào)文分類并進(jìn)行專業(yè)的特征匹配，保證了檢測(cè)的精確性。
· IDS設(shè)備只能被動(dòng)檢測(cè)保護(hù)目標(biāo)遭到何種攻擊。為阻止進(jìn)一步攻擊行為，它只能通過(guò)響應(yīng)機(jī)制報(bào)告給防火墻，由防火墻來(lái)阻斷攻擊。
入侵防御是一種主動(dòng)積極的入侵防范阻止系統(tǒng)。檢測(cè)到攻擊企圖時(shí)會(huì)自動(dòng)將攻擊包丟掉或?qū)⒐粼醋钄?，有效地?shí)現(xiàn)了主動(dòng)防御功能。
· URL過(guò)濾配置
通過(guò)配置URL過(guò)濾，可以對(duì)用戶訪問(wèn)的URL進(jìn)行控制，允許或禁止用戶訪問(wèn)某些網(wǎng)頁(yè)，以達(dá)到規(guī)范上網(wǎng)行為的目的。

URL過(guò)濾簡(jiǎn)介

介紹URL過(guò)濾的定義和目的。
隨著互聯(lián)網(wǎng)應(yīng)用的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在經(jīng)濟(jì)和生活的各個(gè)領(lǐng)域迅速普及，使得信息的獲取、共享和傳播更加方便，但同時(shí)也給企業(yè)帶來(lái)了前所未有的威脅：
· 員工在工作時(shí)間隨意訪問(wèn)與工作無(wú)關(guān)的網(wǎng)站，嚴(yán)重影響了工作效率。
· 員工隨意訪問(wèn)非法或惡意的網(wǎng)站，可能會(huì)帶來(lái)病毒、木馬、蠕蟲(chóng)等威脅攻擊。
URL過(guò)濾功能可以對(duì)用戶訪問(wèn)的統(tǒng)一資源定位符URL（Uniform Resource Locator）進(jìn)行控制，允許或禁止用戶訪問(wèn)某些網(wǎng)頁(yè)資源，達(dá)到規(guī)范上網(wǎng)行為的目的。
本文中，URL過(guò)濾僅支持采用URL本地過(guò)濾的方式查詢預(yù)定義分類
以上文章由北京艾銻無(wú)限科技發(fā)展有限公司整理