-
最深入的网络安全设备知识讲解
来源于
:
互联网
观念
:
在网络上,主要的概念是
:
该如何做才能让封包流量更快、更稳。
在资安上,主要的概念是
:
如何掌握、比对、判断、控制封包。
好吧
~
让我
们直接来看在一个网络环境里,我们可以在哪些地方摆入资安设备
:
(
设备实际摆设位置会因为产品不同
与客户环境而有所变动
)
是滴
~<
/p>
任何网络设备、任何网络位置都可以看见资安设备的踪影
!
为什么呢
?
因为上面提过,
< br>资安的概念是如何掌握、比对、判断、控制封包
!
做个有
趣的比喻,你可以想象一个原始封
包就像个光着身子的美女,随着
OSI
模式各层的设计师帮她穿上合适的衣服之后才让它出
门
,
VPN
只能看见包裹着白布的木乃衣、
Firewall
可以看见去掉白布后穿着厚衣服的美女容
貌
、
IPS
可以从外套推测美女内在的三围、该死的
VirusWall
竟然有权可以对美女搜身、上
网
行为管理可以去掉白色的衬杉看美女身上的内衣裤是否是老板希望的款式…好吧
~
我们聊
的是
Network Securit
y
,我必需就此打住
!
至少我们了解一
件事,资安的
Solution
可以存
在网络的任何地上
(SI
知道一定很开心
~
生意做不完呀
!)
资安设备简介
:
接下来是针对各设
备做常识性地说明,让大家对资安设备有一个全盘性的概念
!
(
由于小弟碰的设备有限经验也不足,仅对知道的一小部份说明,任何错误与不足,还
望各
前辈们指正
)
。
Router:
Router
通常是
Cisco
的
Router
才能加上资安的解决方案,
Cisco
新一代
Router
都叫
ISR(Integrated Service Router)
,可以整合
IPS
或
Voi
ce
模块,在外部的
Router
通常
我
们希望它扮演好
Router
的角色
即可,而内部买不动一台
IPS
设备时,会建议客户从现有的<
/p>
Router
上加上
IPS
模块。
。
Switch:
Switch
一般也要到
Core
< br>等级才可加入
IPS
模块,就如同
Router
一样,主要就是加上入侵
侦测的功能,在客户环
境
Switch
效能
ok
,也不打算多买设备,可以加入模块方式来保护网
络。
。
VPN:
VPN
即
Virtual
Private Network
,顾名思义即是要达成一个虚拟的私人网络,让在两个
网
域的计算机之间可以像在同一个网域内沟通一样。
这代表的是
必需做到外部网络是不能存取
或看见我们之间的封包传送,
而这
两个网域之间是可以轻易的相互使用网络资源。
要做到如
此,<
/p>
VPN
必需对流经封包进行加密,以让对外传输过程不被外人有机
看见传输内容,相对的
传过去的目的地需要一台解密的机器,
可
能也是一台
VNP
或是一个装在
not
ebook
上的软件。
也因为传输过程加密之故,许多希望在传
输上更安全的需求,也都会寻求
VPN
。
VPN
的发展到现在,主要市场以
SSL VPN
的运作,因为可以利用现有的客户端程序
(<
/p>
如
IE)
即可完成加密、解密、验证的程
序,使用端不需一台
VPN
机器,或是
client
端程序,在导
入一个环境最容易,使用上也最简便
。
。
FireWall:
FireWall
肯定是最古老的资安产品,但
!
也是最经典的产品,简单的说,它就像
Port
的开
关,
如上图
firew
all
左边的
port
可能
1~65535
都有,
但封包想流进来
~
嘿
!
得先问问
Firewall
老大哥,这里他只开放了
25
,80,443
的流量进来,其它都别想
!!
Firewall
的第二个大功能就
是可以区别网段,如上图的
DMZ
也可以从
Firewall
切出来,如
此可以确保网络封包的流向,
当流量从外面进来观顾时,
只允许流到
DMZ
区,
不可能流至内
部区网内,避
免外部网络与内部网络封包混杂。
第三个功能,也就是能区别从
Router
上设
ACL
的功能,
SPI(Stateful
Packet
Inspection)
封包状态检查,可快速地检查封包的来源与目的地址、通讯协议、通讯
port
、封包状态、
或其它标头信息,以判断允许或拒绝
!
。
IPS/IDS:
这仍然是很年轻的产品,一开始叫
IDS(Intrusion
Detection System)
入侵侦测系统,顾名
思义
:
在有人攻击或入侵到我的土地内之后我会知道,是一个可以侦
测出有没有人入侵这个
事件
!
后来人们
体会到,坏人都跑进我家了我才知道,有没有可能在侦测到的同时做出抵制
的动作呢
?
于是
IPS(Intrusion
Prevention System)
入侵防御系统就诞生了,在
IPS
中写入
pattern
,当
流经的封包比对
pattern
后确定为攻击行为,马上对该封
包丢弃或阻断来源联
机。
一般
IPS
系统都不只一个网段,如上图,可
以摆在
Firewall
前面更积极地阻挡对
< br>Firewall
的攻击,
或是于
Firewall
之后,
直接比对流经合法
< br>port
后进来的流量是否为攻击行为,
也
可分析流出封包
(
了解内部员工上网行为、情况
)
。在真实情况是否要将
IPS
摆在
firewall
之前要看硬件
throughput
,看哪一台的效能好就摆前面吧
^^
通常
IPS
的测试期比较长,因为在环境内开启
IPS
规则后会
有”误判”情形
!
实属正常,除
非开的
规则太宽松,
否则有正常的封包被挡是正常不过的,
这时我们就
需要对规则调校,
所
以测
IPS
是磨工程师的大好机会
!
运气不好,要对每一
个有问题的计算机、程序手动抓封包
来
k~~
< br>嘿
~
就当是练工吧
^^
。
Virus Wall:
VirusWall
是较简单的产品,概念就是将防毒引擎放在
Gateway
,让所有流经的封包都能比
对过引擎内的病毒特征。
说到这,大家应该知道评估
ViruWall
的重点了
!
。什么防毒引擎
。扫毒速度快或慢
防毒永远没有人
敢打包票可以
100%
防毒
!
纯粹是机率问题,每家的防毒率都不一定,能补足
的最简单方法就是导入
与原有环境不同的防毒引擎
!
如原有
client
端用的是
norton
,于是
viruswall
就找一家卡巴的
^^
或前方
UTM
用趋势的,
还可导入
McAfee
的
virusw
all
VirusWall
对装
机工程师而言是很简单的产品,只需留意客户希望对哪些
Port
的流量进行
扫毒,难的是背后更新病毒码的
RD
们
~
我只能说,
RD
们辛苦了
!!
。
WebSecurity
WebSecurity
单纯地过滤
Web
流量中的封包,针对每个要求的
URL
比对数据库是否为危险、
或钓鱼、恶意的目的
URL
,是的话就直接阻挡联机。
如果连到了目的地之后,可能因为临时被骇或数据库内没有该笔
URL
,回来的封包再经一次
病毒引擎的扫描,由于是针对
Web
,所以病毒引擎要挑在恶意网站分析较强的引擎。
简单的说,怕
user
上网中毒
、或钓鱼网站被受骗,需要导入这个设备
^^
。
ApplicationFirewall
对于很重视网页运作服务的公司,对于这项设备应该较有兴趣。
较简单的例子是在做渗透测试时,总是会在客户的
Web
网页可输入的地方
try
一下
SQL
语,
当把这设备放在
W
ebServer
之前,
你的语法会顿时失效,
好吧
~
这时会再试一下
XSS
、
cookie
、
session…呵
~
时常是没有成效的试验
@@
即使
WebServer
< br>运行的
IIS
或
Apache<
/p>
未更新,拥有众所周知的漏洞,仍然阻挡住该漏洞的
攻击。
当然
!
就如之前
提过的,资安是机率问题,它可以降低被攻击机率,但不可能无敌
!
。
Spam Wall:
电子邮件是一个很棒的广告途径,但随着信息愈来愈发达,越来越多的生意靠着
e-mail
来
广告,慢慢的,使用者感受到过多的<
/p>
e-mail
造成的不便,于是挡垃圾信的设备就诞生啦
~
可以叫
Anti-
spam
或
Spam
wall
。
一开始的
spam
单纯地阻挡垃圾邮件,但许多黑客发现了这个管道,也利用
mail
,大量发送
钓鱼连结、
附加病毒文件、
恶意连结…的信件,
于是
anti-spam
也开始重视对
mail
的扫毒。
一台好的
spam
设备在选择上要效能好
(
承受
邮件攻击
)
,误判率低、有黑、灰、白名单,使
用简单
^^
。
UTM/ASA:
大补帖
UTM(Unified Threat Manage
ment)
统一威胁管理设备,其功能包山包海,如上图的
红色
部份为一般
UTM
设备可能拥有的功能,会依厂牌所制定的功能
而定。
概念就是以
FireWal
l
为核心,
加入各式资安功能
!
如
Cisco
的
AS
A
就是以
firewall
为中心,<
/p>
可加入防毒模块或是
IPS
模块。