攻擊與防禦

防火牆技術

所謂防火牆指的是一個由軟體和硬體裝置組合而成，在内部網和外部網之間，專用網與公共網之間的界面上構造的保護屏障是一種擷取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Internet與intranet之間建立一個安全網關（Security Gateway）,進而保護内部網絡免受非法使用者的侵入。

防火牆主要由服務通路規則、驗證工具、包過濾、和應用網關4部分組成。

包過濾型防火牆

• 包是網絡上資料資訊流動的基本機關，它是由資料負載和協定頭兩個部分組成
• 包過濾是基于協定頭内容進行過濾的
• 特點

2. 他是最快的防火牆，操作處于網絡層與傳輸層，隻粗略檢查頭部
3. 因為端點之間可以通過防火牆直接連接配接，一旦防火牆允許某一連接配接，就會允許外部計算機直接連接配接到防火牆後目标，進而暴露了内部網絡

應用代理防火牆

• 應用代理防火牆的原理是較大程度上隔絕兩端的直接通信，所有的通信都要由應用層代理轉發，通路者不允許與伺服器建立直接的TCP連結，應用層的協定會話過程必須符合代理的安全政策要求。
• 應用層網關針對特别的應用服務協定來卻低估資料過濾邏輯。這種技術參與到一個TCP連接配接的全過程，在應用層建立協定過濾和轉發功能，故叫應用層網關。
• 特點

2. 花費更多的時間處理，可疑行為不放過
3. 安全性高
4. 不完全透明的支援服務與應用，同一種代理隻提供一種服務
5. 大量消耗CPU

電路級網關型防火牆

堅實兩主機的握手服務，僅轉發，複制。

• 在IP層代理各種進階會話，具有隐藏内部網絡資訊的能力，且透明性高
• 對會話建立後傳輸的具體内容不再做進一步分析，是以安全性降低
• 電路級網關建立兩個TCP連接配接，确定那些連接配接時允許的
• 和包過濾防火牆一樣都是依靠特定的邏輯來判斷是否運作資料包通過，但并不檢測包中内容
• 又同應用級代理防火牆一樣，不允許内外計算機直接建立連接配接

狀态檢測型防火牆

狀态包檢測模式增加了更多的飽和報之間的安全上下文檢查，以達到與應用級代理防火牆相似的安全性。

特點：

• 檢視完前面包後，把它記載狀态資訊庫中，來确定對後面包采取的動作
• 抵禦SYN 洪水攻擊：如果接收到的TCP第一次握手資料速率沒有超過設定值，就組織TCP第一次握手資料通過
• 抵禦TCP端口掃描：如果發現某個IP向另一個IP的多個端口不斷發送TCP封包段的速率超過設定值，就阻止該IP段的TCP封包段

優點：

• 工作在協定棧的較底層，通過防火牆的所有資料包堵在網絡層與資料層處理，是以減少了開銷，提高了效率。
• 一個連接配接在防火牆中建立起來，就不再其進行更多處理，系統就可以處理其他連接配接，執行效率得到進一步提高

入侵檢測技術

• 入侵檢測（Intrusion Detection）是對入侵行為的檢測，它通過收集和分析網絡行為，安全日志，審計資料，其他網絡上可以獲得的資訊以及計算機系統中若幹關鍵點的資訊，檢查網絡或系統中是否存在違反安全政策的行為和被攻擊的迹象。
• 實作：監視、分析使用者及系統活動；系統構造和弱點的審計；識别反映已知進攻的活動模式并向相關人士報警；異常行為模式的統計分析；評估重要系統和資料檔案的完整性；作業系統的審計跟蹤管理，并識别使用者違反安全政策的行為。
• 入侵檢測是防火牆的合理補充，幫助系統對付網絡攻擊，擴充了系統管理者的安全管理能力（包括安全審計、監視、進攻識别和響應），提高了資訊安全基礎結構的完整性。

技術發展：

入侵檢測系統類型

• 基于主機的入侵檢測系統（HIDS）

HIDS全稱是Host-based Intrusion Detection System,即基于主機型入侵檢測系統，作為計算機系統的螢幕和分析器，他并不作用與外部皆苦，而是專注于系統内部，監視系統全部或部分的動态的行為以及整個計算機系統的狀态

• 基于網絡的入侵檢測系統（NIDS）

Network IDS，主要用于檢測Hacker或Cracker通過網絡進行的入侵活動，NIDS的運作方式有兩種，一種是在目标主機上運作以監測其本身的通信資訊，另一種是在一台單獨的機器上運作以檢測所有網絡裝置的通信資訊，比如Hub，路由器

• 分布式入侵檢測系統

分布式入侵檢測系統能夠同時分析來自主機系統審計日志和網絡資料流的入侵檢測系統，一般是分布式結構，由多個部件構成，主要部件有：網絡引擎、主機代理、存儲系統、分析系統、響應系統、控制台

入侵檢測産品選擇要點：

系統價格、特征庫更新與維護費用、網絡入侵監測系統的最大可處理流量、考慮産品被躲避繞過的可能性、産品的可伸縮性、運作與維護系統的開銷、産品支援的入侵特征數、有那些應急方案、是否通過了國家權威機構的測評

IDS ：入侵檢測系統

IPS ：​​入侵防禦系統​​

“IPS（Intrusion Prevention System , 入侵防禦系統）對于初始者來說，IPS位于防火牆和網絡的裝置之間。這樣，如果檢測到攻擊，IPS會在這種攻擊擴散到網絡的其它地方之前阻止這個惡意的通信。IDS隻是存在于你的網絡之外起到報警的作用，而不是在你的網絡前面起到防禦的作用。

假如​​防火牆​​是一幢大樓的門鎖，那麼IDS就是這幢大樓裡的監視系統。一旦小偷爬窗進入大樓，或内部人員有越界行為，隻有實時監視系統才能發現情況并發出警告。

安全審計技術

概述

• 計算機網絡安全審計（Audit）指按照一定的安全政策，利用記錄，系統活動和使用者活動等資訊檢查，審查和校驗操作時間的環境及活動，進而發現系統漏洞，入侵行為或改善系統性能的過程 ，也是審查評估系統安全風險并采取相應措施的一個過程
• 級别上分三種類型

2. 系統級審計：針對系統的登入情況、使用者識别号、登入嘗試的日期和具體時間、退出的日期和時間、所使用的裝置、登入後運作程式等事件資訊進行審查
3. 應用級審計：針對應用程式的活動資訊，如打開和關閉資料檔案，讀取，編輯，删除記錄或字段的等特定操作，以及列印報告等
4. 使用者級審計：使用者級審計主要是審計使用者的操作活動資訊，如使用者直接啟動的所有指令，使用者所有的鑒别和認證操作，使用者所通路的檔案和資源等資訊

網絡安全審計産品類型：

主機審計、裝置審計、網絡審計、資料庫審計、終端審計、使用者行為審計

網絡安全審計産品功能：

• 資訊采集功能：通過某種手段擷取需要審計的資料：日志、網絡資料包、SSID等
• 資訊分析功能：對資料進行分析、審計、這是審計産品的核心，審計效果好壞由此展現出來
• 資訊存儲功能：對于采集的原始資料，以及審計後的資訊都要進行儲存、備查。并可以作為驗證的依據
• 資訊展示功能：包括展示界面，統計分析報表功能，報警響應功能，裝置關聯功能等等（直覺展現）

網絡安全審計技術

• 基于神經網絡：一個神經網絡知識根據單元和他們的權值間用連接配接編碼成網絡結構。網絡通過改變但願轉台，改變連接配接權值，加入一個連接配接或者移去他們來訓示一個事件異常
• 基于專家系統：DIDS和CMDS都是采用早期的這種模型，優點是把系統的控制推理從問題解決的描述中分離出去
• 基于代理：代理可以被看做網絡中執行某項特定的監視任務的軟體實體，通常分布在網絡的主機上，其中螢幕是關鍵子產品
• 基于免疫系統：通過識别異常或者以前未出現的特征來确定入侵，其本質就是“自我/非自我”的決定能力
• 基于資料挖掘：從大量的日志行為記錄資料中抽象出有利于進行判斷和比較的特征模型，并可由使用者判斷該網絡行為的性質

安全監控技術

概念：通過實時監控網絡或主機活動，監視分析使用者和系統的行為，審計系統配置和漏洞，評估敏感系統的資料完整性，試别攻擊行為，對異常行為進行統計和跟蹤，識别跟蹤違反安全的行為。

功能：

2. 通路控制-加強使用者通路系統資源及服務時的安全控制，防止非法使用者的入侵及合法使用者的非法通路
3. 系統監控-實時監控系統的運作狀态，包括運作程序、系統裝置、系統資源和網絡服務等，判斷線上使用者的行為，禁止其非法操作
4. 系統審計-對使用者的行為及系統進行跟蹤 

内容：

• 主機應用監控-對主機中的程序、服務和應用程式視窗進行控制
• 主機外設監視-對受控主機的USB端口、串行端口、并行端口等外設接口，以及USB盤、軟驅、光驅等控制
• 網絡連接配接監控-實作對非法主機的接入隔離和對合法主機網絡行為的管控

一方面對非法接入的主機進行識别、報警和隔離；另一方面實作對合法主機網絡通路行為的監控，包括網絡位址端口控制、網絡URL控制、郵件控制、撥接上網控制、網絡共享控制以及網絡鄰居控制等。

網絡安全架構

概述

• 網絡安全架構體系是一項複雜工程，需要把安全組織體系、安全技術體系和安全管理體系等手段進行有機融合，建構一體化的整體安全屏障，針對網絡安全防護，比較經典的PDRR模型、P2DR模型、IATD架構和黃金标準架構
• 企業的網絡安全架構所設計的方面很多，進行企業安全建設中最主要的幾部分分别為：團隊建設、網絡安全體系建設、安全架構規劃等

安全團隊架構（po圖）

安全域劃分

• 安全域的目的是将一組安全等級相同的計算機劃入同一個安全域，對安全域内的計算機設定相同的網絡邊界，在網絡邊界上以最小權限開放對其他安全域的NACL（網絡通路控制政策），使得安全域内這組計算機暴露的風險最小化。在發生攻擊或者蠕蟲病毒等侵害時能将威脅最大化的隔離，減少域外對域内系統的影響。
• 實作方法是采用防火牆部署在邊界處來實作，通過防火牆政策控制允許那些IP通路此域，不允許那些通路；允許此域通路那些IP/網段，不允許那些
• 一般将應用、伺服器、資料庫等歸入最高安全域；辦公網為中級安全域

安全裝置部署

基礎防火牆FE/NGFW類

主要是可實作基本包過濾政策的防火牆，主要實作限制IP:port的通路、

IDS類部署

• 此類産品基本上以旁路為主，特點是不阻斷任何網絡通路，主要以提供報告和事後監督為主，少量的類似産品還提供TCP阻斷等功能，但少有使用。

IPS類部署

• 跟IDS一樣，也要定義N中已知的攻擊模式，并主要通過模式比對去阻斷非法通路，緻命缺點就是不能主動的學習攻擊方式，對于模式庫中不能試别出來，預設政策是允許通路的

​​WAF部署​​模式

• 根據WAF工作方式以及原理不同可以分為四種工作模式透明代理模式、反向代理模式、路由代理模式和及端口鏡像模式。前三種模式也被統稱為線上模式，通常需要将WAF串行部署在WEB伺服器前端，用于檢測并阻斷異常流量。端口鏡像模式也稱為離線模式，部署也相對簡單，隻需要将WAF旁路接在WEB伺服器上遊的​​交換機​​上，用于隻檢測異常流量。

虛拟專用網絡技術

VPN概念：

• 虛拟專用網絡被定義為通過一個公用網絡建立一個臨時的、安全的連接配接，是一條穿過混亂的公用網絡的安全，穩定的隧道。
• VPN依靠ISP（Internet服務提供商）和其他NSP（網絡服務提供商），在公用網絡中建立專用的資料通信網絡的技術，在虛拟專用網絡中，任意兩個節點之間的連接配接并沒有傳統專網所需的端到端的實體鍊路。
• VPN是對企業内部網的擴充。

功能: 加密資料、資訊驗證和身份識别、提供通路控制、位址管理、密鑰管理、多協定支援

技術：隧道技術、加解密技術、密鑰管理技術、身份認證技術