企业网络安全建设必须要知道的终端产品

文章目录

企业网络安全建设必须要知道的终端产品
前言
一、堡垒机是神马东西呢？
- 1.1、堡垒机的定义
- 1.2、专注于运维人员的安全审计诉求
- 1.3、产品提供商
二、虚拟专用网络技术（VPN）
- 2.1、基本概念
- 2.2、IPsec VPN
- 2.3、主要提供商
三、WAF的防范原理
- 3.1、什么是WAF呢？
- 3.2、WAF能做那些事情呢？
- 3.3、深入的防御策略
- 3.4、主要的应用场景
四、防火墙又是什么呢？
- 4.1、定义
- 4.2、防火墙的基本原理
- 4.3、防火墙的分类
总结

前言

一、堡垒机是神马东西呢？

1.1、堡垒机的定义

即在一个特定的网络环境下，为了保障网络和数据不受来自外部和内部用户的入侵和破坏，而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为，以便集中报警、及时处理及审计定责（来自百度百科）。
说人话就是“精准定位背锅侠”

1.2、专注于运维人员的安全审计诉求

随着企业的庞大，日益增长的各类应用软件产品、数据库服务、网络设备、硬件服务器等支撑着企业各类的业务诉求，而仅凭单一运维人员是无法管控庞大的网络架构、产品体系，运维人员一旦出现操作失误，面临的后果往往是非常严重的，所以就出现了这种堡垒机，既控制来自外部网络的恶意攻击，同时也具备监控审计企业内部员工或第三方厂商的能力。
据统计70% 的安全事故来自内部的不当的运维管理导致的
事前： 账号安全策略、认证方式、资产账号统一管理、细致的权限管理、资产分组管理等。
系统管理员 负责系统日常运维工作的
安全保密管理员 涉密信息的安全保密管理工作
安全审计管理员 负责对上述管理员进行跟踪分析、督察监测的
事中： 实时监控远程会话，一旦发现非法违规操作，可立即剥夺其控制权，监控正在运维的用户，运维客户端、地址、资源地址、协议、开始时间等；支持指令黑名单，对危险指令执行提供拦截、告警、审核、阻断等机制。
事后： 审计回放，完整的操作记录，生成录像，也支持回放，查询等操作

1.3、产品提供商

二、虚拟专用网络技术（VPN）

2.1、基本概念

虚拟专用网络即VPN(Virtual Private Network),用于在远端用户和虚拟私有云之间建立一条安全加密通信隧道。当您作为远端用户需要访问VPC业务资源时，您可以通过VPN连通VPC。
按照业务用途可分为三类
Access VPN 远程拨入VPN,可以提供员工出差时的远程VPN拨入服务。
Intranet VPN 这种VPN是利用VPN技术，实现在公网上使该企业的不同站点或办事处之间的私有通信。
Extranet VPN 这种VPN实现企业内部网络与合作伙伴或授权机构之间的虚拟专用网路。

2.2、IPsec VPN

IPSec VPN 是采用IPSec协议来实现远程接入的一种VPN技术，全称Internet Protocol Security,是由Internet Engineering Task Force(IETF)定义的安全标准框架，在公网上为两个私有网络提供安全通信通道，通过加密通道保证链接的安全，在两个公共网关间提供私密数据封包服务

2.3、主要提供商

华为、深信服、中科网威、思科等
以上厂商都是需要花钱的去做的，当然也有办法使用不花钱的的开源软件openVPN，自行搭建可用虚拟专用通道（后面我会说明如何自建）。

三、WAF的防范原理

3.1、什么是WAF呢？

WAF全名是(Web Application Firewall),就是web应用防火墙
针对https\http的传输协议的一种安全策略，为web提供保护的一种产品

3.2、WAF能做那些事情呢？

3.3、深入的防御策略

3.4、主要的应用场景

四、防火墙又是什么呢？

4.1、定义

防火墙是一个系统，通过过滤传输数据达到防止未经授权的网络传输侵入私有网络阻止不必要的流量同时允许必要的流量进入防火墙旨在私有和公共网络之间建立一道安全屏障，因为在公网当中总会有haker恶意攻击，进入私有网络而墙就是防止这些侵入的屏障。

4.2、防火墙的基本原理

企业或网络组织者安全的必须品，墙会过滤想要进入网络的安全信息，利用既有规则来判断是否允许进入，这些规则又被称为访问控制列表。
网络管理者可以定制规划该规则，管理者不仅可以决定哪些数据进入，也可以决定哪些东西可以进入公网。

访问控制列表

4.3、防火墙的分类

一种是主机型防火墙，一般是安装在计算机当中的软件，只是防护本台机子例如我们的操作系统自带防火墙，也可以购买第三方公司开发的软件类防火墙安装如Zone Alarm是一款知名的防火墙程序，不少的杀毒软件也自带防火墙。
另一种就是网络型防火墙，他主要是由硬件和软件组成，运行在网络层上，放置在私有和公共网络之间，他所针对的目标是整个网络体系架构进行的保护规则，恶意攻击在传入电脑前就会被拦截，可以当作独立的产品一般应用于大型组织，有的也内置于路由器上小型组织，但是理想的状态就是双管齐下。

总结

网络安全对企业非常重要，却又是非常耗费人力和物力的事情，企业安全要求越高，需要花费的时间、精力及成本随之增加，但是数据是无价的，一旦被别有用心的人突破，后果是灾难性的。