web安全—安全设备 – 作者:和风sukf

前言

什么是安全产品，为什么需要安全产品？安全产品就类似于人在生病时需吃药，或者在预防某种病时打疫苗一样。安全服务就类似于医生在这个时候给你提供服务，并且给你开药。通常安全服务包括了风险识别、需求分析和建设整改的过程，而安全产品就成了部署的过程。

安全产品分类

按安全事件发生的时间

事前—>事中—>事后

事情（预防）：在安全事件发生前，发现信息系统本身存在的安全隐患，修复、避免等方式对安全隐患进行加固，防止被利用。

事中（防护）：在安全事件发生前时，实时发现非法者的攻击行为，并及时阻断，保证信息系统的安全。

事后（补偿）：在安全事件发生后，追查非法者的攻击方式、ip等入侵证据，便于信息系统的加固和追责。

按安全的功能

合规及安全管理类：用于安全检查、发现网络设备、主机、服务器中存在的漏洞或不合规的配置。

攻防类：用户保护系统中的网络设备、主机、服务器、应用等稳定运行，阻止黑客的攻击行为。

安全审计类：对网络异常行为的管理和检测，如网络连接和访问的合法性进行控制、检测网络攻击事件等，便于追责。

安全产品介绍

扫描器：

自动化能替代手工的繁琐操作，信息收集：（收集信息，资产，端口，对方服务器信息，爬取网站的所有页面等），推断扫描：依据版本等信息，原理扫描：发送POC/发送EXP。

功能：发现安全隐患，评估安全风险，提供解决参考，持续风险管理。

安全基线核查（BVS）：

安全基线，是借用“基线”的概念。字典上对“基线”的解释是：一种在测量、计算或定位中的基本参照。如海岸基线，是水位到达的水位线。类比于“木桶理论”，可以认为安全基线是安全木桶的最短板，或者说，是最低的安全要求。

功能：作为最低的安全标准，是否被攻击的参照（当收到攻击时，依据安全基线来排查自身被攻击的场所）。完善的安全配置知识库，涵盖操作系统、网络设备、数据库、中间件、虚拟化平台等近50类设备及系统的安全配置加固建议，可以全面的指导IT信息系统的安全配置及加固工作。

防火墙：

保护网络周边安全的关键设备，可以保护一个“信任”网络免受“非信任”网络的攻击，但是同时还必须允许两个网络之间可以进行合法（符合安全策略）的通信。

NGFW（next generation Firewall）下一代防火墙

与传统防火墙的区别：多因素安全识别，深度识别用户端

功能：网络隔离和访问控制，外网不能主动向受信区域发起访问，就是访问不了内网（底层核心就是ACL技术）

IPS：

入侵防御系统（既能检测又能防御），一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

防火墙和ips的区别：

防火墙在边界做防护，如果绕过了边界的防护，进入到内部（内网）时，防火墙就没有效果了，这个时候就需要ips的作用，在内网可以做ips的流量分析和检测。

IDS：

入侵检测系统：假设防火墙是一幢大楼的门锁或者门口的保安，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。（防火墙对已经进入内网的流量无法阻止，这个时候需要IDS设备来操作）

功能：是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络行为。

WEB应用防火墙（WAF）：

一个网页需要三个安全设备：WAF（WEB应用防火墙）、数据库审计、视频安全网关。Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品，部署于网站服务器群的前端，提供抗扫描、防注入、防跨站脚本、防后门攻击等安全策略，提供网站的安全防护能力

防篡改：

防止WEB应用被篡改的设备。通常这个功能会集成在其他的安全产品当中（WEB应用防火墙）。

功能：确保网站业务可用性，防范数据泄露/网页篡改，优化业务资源。

抗拒绝服务系统（异常流量清洗）：

抗DDOS攻击还是比较麻烦，比较难检测和防止的，在互联网上控制大量肉鸡访问，其实是正常访问，但是流量太大（就跟正常游走行动活动一样，占用街道，但是是合法的）

功能：主要负责对垃圾报文进行识别和过滤，并把正常业务报文转发到网络内部，保障业务即使在攻击存在的情况下，也能满足对外的正常服务。

上网行为管理：

上网行为管理是指帮助互联网用户控制和管理对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。

功能：网页过滤、应用控制、带宽管理、内容审计。

VPN：

分支机构网络（IPSEC VPN）：其他机构所在地想访问企业内部网络（固定终端）

SSL VPN：出差时访问企业内部网络（移动终端）

功能：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。

数据库审计：

它通过对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部数据库网络行为记录，提高数据资产安全。（最终能够生成审计报表，方便运维人员观看。）

功能：能够实时记录网络上的数据库活动，对数据库操作进行细粒度审计的合规性管理，对数据库遭受到的风险行为进行告警，对攻击行为进行阻断。

堡垒机：

运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、记录、分析、处理的一种技术手段。例如在金融行业，堡垒机是必备的，因为堡垒机有操作录屏，能够记录操作。

功能：实现运维入口统一，统一账户管理、统一认证，运维风险控制，运维会话全审计。

态势感知：

时态可评估、趋势可预测、风险可感应、知行可管控

功能：以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。

后记

安全产品在实际应用中还有很多种类型，根据不同的需求从而部署不同的安全产品。安全产品固然厉害，但是还是在实际生活中，还是需要安全人员的各种操作来运维。

来源：freebuf.com 2021-07-26 17:44:09 by: 和风sukf