安全基础——常见网络安全产品

产品分类和发展趋势

安全产品：

端点安全：恶意软件防护、终端安全管理网络安全：安全网关、入侵检测与防御、网络监控与审计应用安全：web安全、数据库安全、邮件安全数据安全：数据治理、文件管理与加密、数据备份与恢复身份与访问管理：认证与权限管理、高级认证安全管理：安全运营与事件响应、脆弱性评估与管理、治理、风险与合规

访问控制技术

访问控制技术

访问控制是明确什么角色的用户可以访问什么类型的资源。使用访问控制可以防止用户对计算资源、通信资源或信息资源等进行进行未授权访问，是一种越权使用资源的防御措施。未授权访问包括未经授权的使用、泄露、修改、销毁信息，以及发布指令等。

可在防火墙上配置访问控制策略。

访问控制基本概念

客体：规定需要保护的资源，又称为目标主体：是一个主动的实体，规定可以访问该资源的实体（通常指用户或代表用户执行的程序），又称为发起者。授权：主体经过系统鉴别后，根据主体的访问请求来决定对目标执行动作的权限。规定可对该资源执行的动作，如读、写、执行或拒绝访问

常见安全产品及相关概念

防火墙

定义

防火墙被设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间并且是唯一的出口，能根据安全策略控制(允许、拒绝、监测）网络的信息流，具有安全防护的能力。随着防火墙技术的不断发展，其功能越来越丰富。防火墙最基础的两大功能依旧是隔离和访问控制。隔离功能就是在不同信任级别的网络之间砌“墙”，而访问控制就是在墙上开“门”并派驻守卫，按照安全策略来进行检查和放行。

作用

1. 提供基础组网和访问控制

防火墙能够满足基础组网和基本的攻击防御需求，可以实现网络连通并限制非法用户发起的内外攻击，如黑客、网络破坏者等，禁止存在安全脆弱性的服务和未授权的通信数据包进出网络。

2. 记录和监控网络访问

防火墙可以收集关于系统网络所有进出信息并做出日志记录，通过防火墙可以很方便地监视网络的安全性，并在异常时给出报警。

3. 限制网络暴露面

利用防火墙对内部网络的划分，可实现网络中网段的隔离，防止影响一个网段的问题通过整个网络传播，限制了局部重点或敏感网络安全问题对全局网络造成的影响，保护一个网段不受来自网络内部其他网段的攻击，从而保障网络内部敏感数据的安全。

为什么需要安全域

(1）随着网络系统规模逐渐扩大，结构越来越复杂，组网方式随意性增强，缺乏统一规划，扩展性差;

(2）网络区域之间的边界不清晰，互联互通没有统一控制规范；

(3) 业务系统各自为政，与外网之间存在多个出口，无法统一管理;

(4）安全防护策略不统一，安全防护手段部署原则不明确;

(5）对访问关键业务的不可信终端接入网络的情况块乏有效控制。针对这类问题，提出交全域这—概念，安全域是构建安全防御体系的基础

为什么是安全域

网络安全域是指同一系统内根据信息的性质、使用主体、安全目标和策略等要素的不同来划分的不同逻辑子网或网络，每一个安全域内部有相同的安全保护需求，互相信任，具有相同的安全访问控制和边界控制策略，并且相同的网络安全域共享—样的安全策略。

安全域通常划分种类

(1）用户域：由多个进行存储、处理和使用数据信息的终端组成，通过接入方式是否相同与能够访问的数据是否相同进行划分。

(2）计算域：由局域网中多台服务器/主机等计算资源组成，数据的产生、计算、存储都依靠该区域，因数据的重要性及计算、存储要求都不相同，数据中心会有多个计算域，且在物理位置上相近或相邻。

(3)支撑域：由用于辅助运维人员日常工作的管理系统/资源组成，按照具备的功能特点进行划分。

(4)网络域：由连接不同安全域之间的网络组成，根据连接的两个安全域之间承载的数据大小和重要程度进行划分。

在工作和项目中，可根据业务特点、管理模式、资产价值、安全策略等因素，对这4种安全域再进行扩展。

WAF

Web应用防火墙，主要针对Web服务器进行HTTP/HTTPS流量分析，防护以Web应用程序漏洞为目标的攻击，并针对Web应用访问各方面进行优化，以提高Web或网络协议应用的可用性、性能和安全性，确保Web业务应用能够快速、安全、可靠地交付。

入侵检测系统

入侵防御系统作为一项主动的网络安全技术，它能够检测未授权对象（用户或进程)针对系统（主机或网络）的入侵行为，监控授权对象对系统资源的非法使用，记录并保存相关行为的证据，并可根据配置的要求在特定的情况下采取必要的响应措施（警报、阻断等）。

主要功能

1. 网络流量跟踪与分析功能

实时检测并分析用户在系统中的活动；实时统计网络流量、检测入侵攻击等异常行为。

2. 已知攻击特征的识别功能

识别特定类型的攻击，并向控制台报警，为网络防护提供依据。根据定制的条件过滤重复告警事件。

3. 异常行为的分析、统计与响应功能

分析系统的异常行为模式，统计异常行为，并对异常行为做出响应

4. 自定义响应功能

定制实时响应策略；根据用户定义，经过系统过滤，对告警事件及时做出响应。

5. 特征库在线和离线升级功能

提供入侵检测规则的在线和离线升级，实时更新入侵特征库，不断提高设备的入侵检测能力。

6. 探测器集中管理功能

通过控制台收集探测器的状态和告警信息，控制各个探测器的行为。

蜜罐

欺骗防御系统

欺骗防御系统与一般的安全防护产品不同，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实地攻击，从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解白己所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

部署方式

欺骗防御系统采用旁路接入模式，支持单机部署、分布式部署。

部署在公网：可稳定获得大量攻击事件数据和样本，用于研究当前互联网安全态势。

部署在DMZ区:捕获针对对外服务攻击，如WEB官网、数据库等的攻击事件，提供攻击情报，与IDS、FW等组成总体防御体系。

部署在办公网和业务网：捕获内网渗透和业务系统攻击行为，并可捕获攻击样本、记录攻击路径，实现溯源反制。

安全防御体系概述

边界防御体系

传统的边界防御体系，主要进行边界隔离防护，从最开始的防火墙、IPS 到UTM、下一代防火墙等产品，边界防御体系就是将攻击拦截在外部，在网络边界上解决安全问题，部著比较简单；但弱点也非常明显，即黑客一旦渗透进内部，便可长驱直入。