网络准入
关键字:fedora、交换机802.1x、交换机与服务器、radius、ldap
radius与ldap
radiu接受用户的接入请求,并且想ldap服务器查询用户信息
802.1x
802.1X协议是一种基于端口的网络接入控制协议
802.1x协议一般在交换机上配置(基于接口或基于mac地址)
交换机收到认证用户后重定向到radius认证服务器上(交换机、认证服务器网络畅通)
radius查找数据库,比对用户信息,返回允许或拒绝(radius和ldap可以部署在一台服务器)
功能:端点安全接入解决方案
1、对访问资源的主机设备进行接入认证,验证接入者身份。认证方式有portal、802.1x、策略路由重定向和透明网关;
2、设置接入者黑白名单,在线用户管理,统计分析,图形展示,系统状态监测,高可用,双机或者NACMonitor,资产管理,磁盘管理,用户用户组,访问控制等
主机监控与审计系统(TD)
综合性的终端管理软件,能对局域网内部主机的各种行为进行全面监管,检测和维护桌面系统的安全
准入只是TD的一个功能模块
结构:就是一个管理中心,多个被管理终端(agent),1:n结构
功能:对终端进行监控、资产管理、策略下发、网卡管理、补丁管理、统计展示,监控告警等;
网闸
安全隔离与信息交换系统简称网闸
要实现互联互通又要实现物理隔离
物理隔离:在电路上切断链路层连接,硬件隔离
互联互通:安全适度的进行应用数据交换
网闸构成:外端机—隔离设备—内端机,三合一
连接不同等级的安全区域,所以部署在内外网之间
有双向、单向网闸
各种安全功能:ips、av、访问控制等,资源管理、系统维护、日志等
防毒墙
又称病毒过滤网关系统(TopFilter)
防病毒专门设备,防病毒第一道关卡
一般部署在网络边界,与防火墙串联
全方位病毒防御的组成部分:纵向病毒防御与横向病毒防御
纵向病毒防御:防火墙——防病毒网关——IPS——APT检测阻拦联动
横向病毒防御:EDR终端威胁防御
防病毒网关防御深度:快速病毒查杀与深度病毒查杀。深与浅,纵横后又一个层次
主要靠特征库,特征库全、多、更新频繁。以此提高病毒检测命中率
TP:TopPolicy 集中管理
基线核查
对网络设备、安全设备、中间件、操作系统、数据库等进行自动化扫描
内置标准模板,针对等保和分保
报告展示和修复建议
旁路部署
网页防篡改
又叫网站监测与自动修复系统
工作在web层面
产品组成:管理中心 + 发布agent + 防篡改agent
特点:要在应用服务器上安装agent
工作流程:设置备份服务端或者备份服务目录,之后的更新操作都是在备份服务器或者备份目录上完成,然后再增量同步至服务端或者服务目录
监控目录与备份目录
监控目录:对外发布服务的网站目录
备份目录:对监控目录进行完全备份
被监控的目录处于保护状态,不允许对其进行修改。如果要修改,只能在备份目录下修改,然后同步
只针对静态文件,进行防篡改。动态文件就不生效(个人认为)
APT
又叫高级可持续威胁安全监测系统
为什么叫APT:高级、持续性、威胁
高级:高度复杂的攻击技术,如0day漏洞、病毒、爆破、木马、加密等手段,而非特定单一攻击
持续性:一段时间持续攻击,不断尝试攻击,直到进入目标系统
威胁:造成重大危害
DGA随机数生成算法,用于申请域名,随机不断变化的域名
APT产品的核心功能就是检测,其次是统计展示、防火墙等联动
态势感知
特点:面向全网态势管控
资产:所谓的资产就是指网络设备、安全设备、终端机、服务器、操作系统、中间件、数据库、打印机等具有ip属性的软硬件
探针采集数据,深度关联分析,复杂的算法、建模
旁路部署
全网态势、资产态势、威胁态势、攻击态势
上网行为管理TopACM
关键点:
1、上网权限设置,谁能上网
2、上网带宽管理,网速限制
3、上网内容管理,游戏、娱乐禁止访问
4、上网留痕,防止内部文件泄露
5、网络安全规定的其他行为,如防火墙主要功能
跟防火墙很像:访问控制策略、资源对象、NAT、VPN、各种路由功能、系统设置、日志和高可
但其独特的是:组织管理和监控管理功能
对用户和组管理,这比FW强很多
服务监控、用户监控、文件监控等,报表展示功能
智能选路,DDNS、智能DNS等
流量管理功能,多维度流控,基于地址、用户、应用等
认证功能,单点登陆
部署模式:透明网桥、路由模式和旁路模式
可以加入集中管理
安全数据交换平台
就是网闸外端机和内端机之间的交换系统,与网闸一起使用
文件同步、数据库同步、应用协议代理、音视频代理和安全功能(acl、ips、av)
安全数据交换系统与外端机和内端机使用私有加密协议交互信息
应用安全网关
就是UTM,大杂烩,啥都有
ips
av
fw
ddos
waf
……
网络流量分析NTA
旁路部署
可以作为探针为态势感知提供素材数据
关键功能:
态势分析:流量可视化
流量透视:业务流量可视化
性能监控:业务性能监控可视化
安全检测:安全态势可视化
回溯分析:会话记录可视化
资产分析:内网资产自动发现
ADS
组成部分:异常流量检测、一场流量清洗、设备管理控制
关键字:检测、清洗、BGP
针对DOS、DDOS、各种异常包、异常连接等行为进行防护
可以与其他设备进行联动,如ips、僵木蠕等
流量检测:通过镜像技术将流量复制一份到检测设备,如果检测到危险流量通知清晰设备
流量清洗:
流量牵引:接到通知更新BGP路由,向BGP邻居更新路由信息,目的地址是被攻击服务器,下一跳是本清洗设备;
流量回注:处理完异常流量,恢复正常后,将正常流量通过2层或者3层技术将流量回注到路由设备上。如果超时时间过后没再出现异常流量,则ADS销毁那条BGP路由,让流量按照正常路径转发。
沙箱
针对文件行为的安全检测
构成:宿主机和多个分析机,可以立即成一个服务器虚拟化。旁路部署
分析机:干净的运行环境,可以运行在window7、linux和安卓系统上,记录样本行为,反馈给宿主机
宿主机:
检测已知和未知威胁
不会主动发现样本,得由用户手动上传或第三方联动设备通过网络上传或者批量添加上传样本。
更像是一个分析工具,样本都是别人上传的,别人发现异常文件使用这个设备检测,而不是设备发现的一场文件主动检测。
蜜罐
又叫潜听威胁发现系统
基于规则库的安全防御设备在面对0day攻击时完全失效,2017年的勒索病毒就是例子
现在的技术大多采用被动防御策略
蜜罐像是存在漏洞的、暴露在网络中的服务器,目的是诱捕攻击,联动防御如态势感知
蜜罐就是有漏洞并且暴露的虚拟机,然后具有审计和联动功能
小型网络部署比较简单,多合一设备,旁路部署
大型环境,使用分布式部署,各个子网旁路部署蜜罐传感器,全部上传到管理中心进行统计分析
僵木蠕
检测端——管理端——处置端(TopTVD——TopTVDM——TopADS)
依靠最新安全规则库,但面对0day攻击时此设备发挥不了作用
网友评论