网络安全之常用安全设备功能及作用

随着网络技术发展，网络威胁无孔不入，网络攻击手段呈现复杂性及多变性的趋势。要建立防御体系应从通信网络、网络边界、局域网络内部、各种业务应用平台等各个层次落实各种安全措施，形成纵深防御体系。单靠一种或几种安全设备就想保护整个网络是不可能的事情。因此，为了满足不同防护需求的安全设备应运而生。有的设备是为了严防非授权访问。有的设备是为了实时检测，拦截攻击行为。有的设备是为了自查自审，发现自身存在的问题。每一种安全设备分工都不同，设备缺失肯定会使防御体系失效造成安全隐患。

本文介绍常用的安全设备及其能力

网络安全审计

网络安全审计通过对网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确定位，为整体网络安全策略的制定提供权威可靠的支持。

内容审计
可对网页内容、邮件、数据库操作、论坛、即时通讯等提供完整的文本、图片和音视频内容检测、信息还原功能；并可自定义关键字库，进行细粒度的审计追踪。
行为审计
根据设定的行为审计策略，对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、移动应用、在线视频、P2P 下载、网络游戏等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。
流量审计
支持基于智能协议识别的流量分析功能；实时统计出当前网络中的各种协议流量，进行综合流量分析，提供详细的流量报表；可以统计指定协议流量的IP TOP N，为流量管理策略的制定提供可靠支持。

漏洞扫描

通过漏洞扫描全面发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、服务、端口，形成整体安全风险报告。

全面系统脆弱性发现
能够全方位检测系统存在的脆弱性，发现信息系统存在的安全漏洞、安全配置问题、应用系统安全漏洞，检查系统存在的弱口令，收集系统不必要开放的账号、服务、端口，形成整体安全风险报告，帮助安全管理人员先于攻击者发现安全问题，及时进行修补。
风险统一分析
支持全方位的安全漏洞、安全配置、应用系统安全漏洞扫描，通过安全风险计算方法，对网络系统中多个方面的安全脆弱性统一进行分析和风险评估，给出总体安全状态评价，全面掌握信息系统安全风险。
识别非标准端口
应用先进的非标准端口识别技术、以及丰富的协议指纹库，能够快速准确的识别非标准端口上的应用服务类型，并进一步进行漏洞检测，避免扫描过程中的漏报和误报。
漏洞、配置知识库
依托安全知识库，涵盖所有主流基础系统、应用系统、网络设备等网元对象，提供系统
的配置检查库，提供专业安全厂商的加固修补建议，以及多个行业的安全配置检查标准。

Web漏洞扫描

定位于Web 脆弱性评估，实现全面Web 应用安全检测。帮助用户全面发现Web 漏洞，准确掌控网站风险，深度跟踪漏洞态势，提升快速响应能力。

漏洞扫描及验证
支持系统漏洞扫描以及Web 漏洞扫描，支持Web 应用漏洞分类，全面覆盖OWASP TOP10 应用风险，高中危漏洞专家级验证。
网站挂马及黑链检测
依托沙箱检测技术，识别网站页面中的恶意代码，对潜藏在用户网页中的黄赌毒私服等广告黑链进行周期性检测，并将挂马及黑链情况及时邮件提醒。
网站篡改检测
依托相似度对比技术，识别网页变更状态，并通知用户。
网页敏感内容检测
依托于敏感内容词库，识别网页中的敏感内容，并邮件提醒。
可用性检测及 DNS 解析检测
依托多个检测节点，多条检测线路，识别网站运营是否稳定的问题，并邮件提醒。

堡垒机

针对云主机、云数据库、网络设备等的运维权限、运维行为进行管理和审计。主要解决云上IT运维过程中操作系统账号复用、数据泄露、运维权限混乱、运维过程不透明等难题。

登录功能
支持对X11、linux、unix、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改，简化密码管理，让使用者无需记忆众多系统密码，即可实现自动登录目标设备，便捷安全。
账号管理
支持统一账户管理策略，能够实现对所有服务器、网络设备、安全设备等账号进行集中管理，完成对账号整个生命周期的监控，并且可以对设备进行特殊角色设置如：审计巡检员、运维操作员、设备管理员等自定义设置，以满足审计需求。
身份认证
提供统一的认证接口，对用户进行认证，支持身份认证模式包括动态口令、静态密码、硬件key、生物特征等多种认证方式，设备具有灵活的定制接口，可以与其他第三方认证服务器之间结合；安全的认证模式，有效提高认证的安全性和可靠性。
资源授权
提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权，最大限度保护用户资源的安全。
访问控制
支持对不同用户进行不同策略的制定，细粒度的访问控制能够最大限度的保护用户资源的安全，严防非法、越权访问事件的发生。
操作审计
能够对字符串、图形、文件传输、数据库等全程操作行为审计；通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作，对违规行为进行事中控制。对终端指令信息能够进行精确搜索，进行录像精确定位。

日志审计

日志审计是针对大量分散设备的异构日志进行高效采集、统一管理、集中存储、统计分析，可协助企业满足等保合规要求、高效统一管理资产日志并为安全事件的事后取证据供依据。

安全日志源管理
按照需要接入的日志源数量进行服务，提供多种日志接入方式，支持主动、被动采集。
日志采集
提供全面的日志采集能力：支持第三方安全设备、网络设备、数据库、windows/linux主机日志、web 服务器日志、虚拟化平台日志以及自定义等日志；提供强大的数据源管理功能:支持数据源的信息展示与管理、采集器的信息展示与管理以及agent 的信息展示与管理；提供分布式外置采集器、Agent 等多种日志采集方式；支持IPv4、IPv6 日志采集、分析以及检索查询。
日志存储
提供原始日志、范式化日志的存储，可自定义存储周期。
日志检索
提供丰富灵活的日志查询方式，支持全文.key-value、多kv布尔组合、括弧、正则、模糊等检索；提供便捷的日志检索操作，支持保存检索、从已保存的检索导入见多条件等。
报表管理
支持丰富的内置报表以及灵活的自定义报表模式，支持编辑报表的目录接口、引用统计项、设置报表标题、展示页眉和页码、报表配置基本内容（名称、描述等）；支持实时报表、定时报表、周期性任务报表等方式；支持html、pdf、word 格式的报表文件以及报表logo
的灵活配置。
日志分析
支持对各类应用系统产生的各类日志的分析功能。

数据库审计

数据库审计能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外
部数据库网络行为记录，提高数据资产安全。

实时告警
风险操作：支持通过操作类型、操作对象、风险等级等多种元素细粒度定义要求监控的风险操作行为。
SQL 注入：数据库安全审计提供SQL 注入库，可以基于SQL 命令特征或风险等级，发现数据库异常行为立即告警。
系统资源：当系统资源（CPU、内存和磁盘）占用率达到设置的告警阈值时立即告警。
多维度线索分析
行为线索：支持审计时长、语句总量、风险总量、风险分布、会话统计、SQL 分布等多维度的快速分析。
会话线索：支持根据时间、数据库用户、客户端等多角度进行分析。
语句线索：提供时间、风险等级、数据用户、客户端IP、数据库IP、操作类型、规则等多种语句搜索条件。
用户行为发现审计
关联应用层和数据库层的访问操作：提供内置或自定义隐私数据保护规则，防止审计日志中的隐私数据（例如，账号密码）在控制台上以明文显示。
精细化报表
会话行为：提供客户端和数据库用户会话分析报表。
风险操作：提供风险分布情况分析报表。
合规报表：提供满足数据安全标准（例如Sarbanes-Oxley）的合规报告。

网页防篡改

网页防篡改是针对网站篡改攻击的防护，通过文件底层驱动技术对Web站点目录提供全方位的保护，为防止黑客、病毒等对目录中的网页、电子文档、图片、数据库等任何类型的文件进行非法篡改和破坏提供解决方案。

篡改防护
同时对多台网站服务器文件，对同一台服务器内的多个web server，对同一web server内的多个virtual host进行防篡改；异地（非网站目录）保留篡改后页面快照，支持网站篡改检测；保护防篡改内嵌模块和守护进程。
防篡改分析
支持页面文件/结构/元素的哈希（MD5）值篡改检测、图片相似性比较。
攻击防护
能够防止SQL 数据库注入式攻击；能够防止跨站脚本漏洞；能够防止网站盗链。
发布备份
支持内容发布；支持实时同步；支持手动同步；可按照条件（按时间戳前，后，区间；按子文件夹；按WEB 服务器）；支持双机热备功能；实体间通信采用SSL 加密。
日志告警
保存系统日志；文件传输日志；支持篡改告警、SQL 注入告警、盗链告警，告警通知
支持手机短信通知、邮件通知、管理界面警示框；可通过图形报表综合统计和分析。

入侵检测系统

入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全系统。根据预先设定的安全策略，它是一种积极主动的安全防护技术。

敏感数据外发检测
能够识别并检测特定格式文件的外发，同时能够检测出文件中包含的敏感数据，进行告
警，保护企业敏感数据，防止敏感数据泄露造成的损失。
客户端攻击检测
增加针对主流客户端应用程序的攻击签名规则，如Word、Excel、PDF、Firefox 等，增强客户终端应用程序的安全检测能力。
服务器非法外联检测
通过服务器的自学习功能或手动设置服务器正常外联行为，建立合法连接，能够检测服务器异于该合法连接的非法外联行为，及时产生告警信息通知网络管理人员，从而检测是否存在跳转等攻击行为。
僵尸网络检测
基于实时的信誉机制，结合企业级和全球信誉库，可有效检测恶意URL、僵尸网络，保护用户在访问被植入木马等恶意代码的网站地址时不受侵害，有效检测Web 威胁，并能及时发现网络中可能出现的僵尸网络主机和C&C 连接。

Web应用防火墙

基于对Web 流量的解码和分析，可应对Web 应用中的各类攻击，如SQL 注入、XSS注入、跨站请求伪造攻击、Cookie 篡改以及应用层Web 攻击等，能有效解决网页挂马、敏感信息泄露等安全问题，充分保障Web应用安全。通过精细的配置将多种Web安全检测方法连结成一套完整的安全体系，能够在IPv4、IPv6 及二者混合环境中抵御OWASP Top 10等各类Web安全威胁，通过服务化方式快速交付，保卫Web 应用免遭当前和未来的安全威胁。

Web 应用攻击防护
内置多种防护策略，可选择进行 SQL 注入、XSS 攻击、命令注入、非法HTTP 协议请求、常见Web 服务器漏洞攻击、扫描防护等。
Web 漏洞
Web 服务器漏洞探测，Web 服务器漏洞扫描（模拟攻击，判断缺陷，自动配置对应规则），及时发现漏洞隐患。
注入攻击防护
SQL 注入防御、LDAP 注入防御、命令注入防护（OS 命令，webshell 等）、XPath 注入防御、Xml/Json 注入防御。
IP 访问控制
支持对指定IP 的加白和恶意IP 的封禁。
URL 访问控制
支持对URL 进行黑白名单控制。
爬虫防护
基于源IP 周期判断访问数，防护恶意访问。

下一代防火墙

下一代防火墙采用高度一体化的架构设计方案，将所有的安全特性纳入到一体化的安全引擎。将传统五元组访问控制与具有下一代防火墙特征能力有机地结合起来，提供一个全新的网络边界防护解决方案。

应用、用户识别能力
可识别大部分应用，并可辅助用户对这些应用进行高效管理和筛查，包括5 维度分类组织，基于特性查询应用、自定义特殊应用等。
监控统计
对设备数据进行统计，并以柱状图、折线图、表格、报表、日志等方式呈现出来，帮助用户通过统计数据掌握设备状况，排查问题。
用户认证
对用户进行识别，通过认证的用户可以访问对应的管理资源。
访问控制
划分安全区域和非安全区域，区域之间的访问基于安全策略进行控制。
入侵防御
实时监控多种网络攻击并根据配置对网络攻击进行阻断等操作。
病毒过滤
探测各种病毒威胁，例如恶意软件、恶意网站等，并且根据配置对发现的病毒进行处理。
DNS 重定向
支持对某一域名重定向到另一域名的功能。
页面访问控制
针对不同用户的权限对页面的访问进行区别。
带宽管理
能够管理和优化网络带宽，提高用户的网络体验和带宽资源利用率。
云沙箱
基于云端架构的恶意软件虚拟运行环境，发现未知威胁，多重静态检测引擎快速过滤正常文件及已知威胁，提升沙箱检测效率。
僵尸网络 C&C 防护
监控 C&C 连接发现内网肉鸡，阻断僵尸网络/勒索软件等高级威胁进一步破坏。
IP 信誉库
识别过滤各种已知风险 IP，根据配置对风险IP 进行记录或阻断处理。
封账号
支持对网络账户封停的功能。
包过滤
支持对网络中的数据包的区分和限制功能。
授权管理
集中管理功能授权并可进行不同种类授权的统一下发。
传统防火墙功能特性
兼容传统防火墙功能特性，包括访问控制、日志报表、会话管理等。

入侵防护系统

入侵防护系统是一个监视网络或网络设备的网络资料传输行为的系统，能够深入网络数据内部，即时中断、调整或隔离一些有害数据流。入侵防护系统可主动拦截黑客攻击、据虫、网络病毒、后门木马、DoS 等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作
系统和应用程序损坏或宕机。

敏感数据保护
提供敏感数据识别、数据安全审计、数据脱敏、智能异常检测等数据安全能力，形成一体化的数据安全解决方案。
高级威胁防御
高级威胁防御能够基于敏感数的外泄、文件识别、服务器非法外联等异常行为检测，实现内网的高级威胁防御功能。
恶意文件防御
网络中存在大量恶意文件，通过网站文件服务器、邮件服务器实现传播，对企业网络安全构成潜在威胁。对网络中传送的文件，进行快速检测，比对文件信誉，对发现恶意的文件进行告警和阻断。
网址/网站检测分析
支持对网站的URL 进行检测，并分析其是否是恶意网能力。

防病毒

防病毒可以对计算机病毒、木马和恶意软件等一切已知的对计算机有危害的程序代码进行清除，提供终端查杀病毒、软件管理、漏洞补丁、统一升级管理等功能。

安全防御
能够精准识别、分析及响应病毒传播、0day 攻击及APT 攻击等异常行为。
主机防火墙
支持对IP、端口协议及访问方向等维度过滤，能智能识别网络协议，同时可通过IP 黑
白名单，控制终端只能访问指定目标地址，或指定来源IP 地址访问。
漏洞加固
实时扫描记录终端的操作系统及常用应用软件漏洞，掌握全网终端漏洞情况及补丁修复。
勒索病毒防御
基于HIPS 的勒索者主动防御机制，蠕虫病毒、勒索病毒、宏病毒等已知未知威胁防范无忧。
安全审计
对攻击、病毒及漏洞等终端运行信息，以及上网行为、U 盘使用及文件操作等终端行为信息进行统一收集。
软件管理
记录全网安装软件清单以及每种软件安装的终端明细，以及软件使用时长。
流量管控
对终端流量管理包括总流量、上行及下行等管理，同时支持升级下载及日志上传等细粒度的流量管理。

终端检测与响应

利用终端检测响应，对终端的运行状态进行检测和监控，对进程、文件和配置等进行分析，对异常行为进行处理，确保主机安全，从而实现东西向防护。

病毒及恶意程序防护
基于文件动作行为特征模型分析查杀，主动防御型查杀，文件黑白名单管理，文件多算法(MD5、SHA1、SHA256)校验。
攻击与威胁防护
检测模式，拦截模式，支持端口扫描、泛洪攻击、TCP 洪水攻击、漏洞攻击、注册表安全检测等。
主机网络访问隔离
基于主机维度，定义出入站网络访问，能自定义网络访问对象和端口对象，并记录违规访问日志，可追溯网络访问发起的进程及进程详细路径和进程文件安全性。
终端环境强控
通过设定终端运行的白环境，达到除白名单外的文件无法运行。
安全基线检查
同时含盖 Windows 和Linux 平台，支持帐号与口令检查、密码生存周期检查、远程登录检查、网络与服务检查、日志审计检查、防火墙检查、系统安全配置检查等内容，核查项完全满足工信部等单位要求。
沙箱防护
云端沙箱检查结果查询，用户本地上传文件至沙箱。

作者博客：http://xiejava.ishareread.com/