网络安全笔记(一)网络安全设备
目錄
??0x01 CIA
??0x02 拒絕服務攻擊
??0x03 緩沖區溢出
??0x04 勒索病毒
??0x05 傳統防火墻(包過濾防火墻)
??0x06 傳統防火墻(應用代理防火墻)
??0x07 傳統防火墻(狀態檢測防火墻)
??0x08 攻擊流量監控(IDS)——網絡攝像頭
??0x09 入侵防御系統(IPS)
??0x10 防病毒網關(AV)——基于網絡側識別病毒文件)
??0x11 Web應用防火墻(WAF)——專門用來保護web應用
??0x12 統一威脅管理(UTM)——多合一安全網關
??0x13 下一代防火墻(NGFW)——升級版的UTM
??0x14 NIDS
??0x15 SOC
??0x16 LAS
??0x17 NOC
??0x18 EPP
??0x19 EDR
??0x20 NDR
??0x21 HIDS
??0x22 態勢感知平臺
??0x23 全流量威脅探針
??0x24 TAP
0x01 CIA
信息安全三原則(CIA)
Confidenciality 保密性
Integrity 完整性
Availability 可用性
0x02 拒絕服務器攻擊
什么是拒絕服務?
拒絕服務式攻擊(Denial of Service)顧名思義就是讓被攻擊的系統無法正常進行服務的攻擊方式
拒絕服務攻擊方式
1.利用系統、協議或服務的漏洞
1.1利用TCP協議實現缺陷
1.2利用操作系統或應用軟件的漏洞
2.目標系統服務資源能力
2.1利用大量數據擠占網絡帶寬
2.2利用大量請求消耗系統性能
DDoS攻擊防御方式
網絡設備性能充裕
網絡帶寬資源充裕
異常流量清洗
通過CDN分流
分布式集群
0x03 緩沖區溢出
緩沖區溢出攻擊原理
緩沖區溢出攻擊利用編寫不夠嚴謹的程序,通過向程序的緩沖區寫入超過預定長度的數據,造成緩存的溢出,從而破壞程序的堆棧,導致程序執行流程的改變
0x04 勒索病毒
0x05 傳統防火墻(包過濾防火墻)
判斷信息
數據包的源IP地址、目的IP地址、協議類型、源端口、目的端口(五元組)
工作范圍
網絡層、傳輸層
包過濾防火墻就是一個嚴格的規則表,只能基于五元組
0x06 傳統防火墻(應用代理防火墻)
判斷信息
所有應用層的信息包
工作范圍
應用層
應用代理防火墻檢查所有的應用層信息包,每個應用都需要添加對應的代理服務,檢測效率低,運維難度高
0x07 傳統防火墻(狀態檢測防火墻)
判斷信息
IP地址、端口號、TCP標記
工作范圍
數據鏈路層、網絡層、傳輸層
狀態防火墻相比于包過濾墻,一次檢查建立會話表,后期直接按會話放行,但應用層控制較弱,不檢查數據區
0x08 攻擊流量監控(IDS)——網絡攝像頭
部署方式
旁路部署、可多點部署
工作范圍
2-7層
工作特點
根據部署位置監控到的流量進行攻擊事件監控,屬于一個事后呈現的系統,相當于網絡上的攝像頭
分析方式
1.基于規則入侵檢測
2.基于異常情況檢測
3.統計模型分析呈現
0x09 入侵防御系統(IPS)
部署方式
串聯部署
工作范圍
2.7層
工作特點
根據已知的安全威脅生成對應的過濾器(規則),對于識別為流量的阻斷,對于未識別的放通,IPS僅對已知的威脅進行防御
0x10 防病毒網關(AV)——基于網絡側識別病毒文件
判斷信息
數據包
工作范圍
2-7層
目的
防止病毒文件通過外網絡進入到內網環境
0x11 Web應用防火墻(WAF)——專門用來保護web應用
判斷信息
http協議數據的request和response
工作范圍
應用層
目的
防止基于應用層的攻擊影響web系統
主要技術原理
1.代理服務:會話雙向代理,用戶與服務器不產生直接鏈接,對于DDOS攻擊可以抑制
2.特征識別:通過正則表達式的特征庫進行特征識別
3.算法識別:針對攻擊方式進行模式化識別,如SQL注入、DDOS、XSS等
0x12 統一威脅管理(UTM)——多合一安全網關
包含功能
FW、IDS、IPS、AV
工作范圍
2-7層(但是不具備web應用防護能力)
目的
將多種安全問題通過一臺設備解決
降低了成本,但是模塊串聯檢測效率低,性能消耗大
0x13 下一代防火墻(NGFW)——升級版的UTM
0x14 NIDS
是Net Intrusion Detection System的縮寫,即網絡入侵檢測系統,主要用于檢測Hacker或Cracker
通過網絡進行的入侵行為。NIDS的運行方式有兩種,一種是在目標主機上運行以監測其本身的通信信息,另一種是在一臺單獨的機器上運行以監測所有網絡設備的通信信息,比如Hub、路由器
0x15 SOC
即Security Operations Center,翻譯為安全運行中心或安全管理平臺,通過建立一套實時的資產風險模型,協助管理員進行事件分析、風險分析、預警管理和應急響應處理的集中安全管理系統
0x16 LAS
日志審計系統,主要功能是提供日志的收集、檢索和分析能力,可為威脅檢測提供豐富的上下文
0x17 NOC
即Network Operations Center,網絡操作中心或網絡運行中心,是遠程網絡通訊的管理、監視和維護中心,是網絡問題解決、軟件分發和修改、路由、域名管理、性能監視和焦點
0x18 EPP
全程為Endpoint Protection Platform,翻譯為端點保護平臺,部署在終端設備上的安全防護解決方案,用于防止針對終端的惡意軟件、惡意腳本等安全威脅,通常與EDR進行聯動
0x19 EDR
全稱Endpoint Detection & Response,端點檢測與響應,通過對端點進行持續檢測,同時通過應用程序對操作系統調用等異常行為分析,檢測和防護未知威脅,最終達到殺毒軟件無法解決未知威脅的目的。
0x20 NDR
全稱Network Detection & Response,即網絡檢測與響應,通過對網絡側流量的持續檢測和分析,幫助企業增強威脅響應能力,提高網絡安全的可見性和威脅免疫力
0x21 HIDS
終端攻擊行為檢測
0x22 態勢感知平臺
采集流量、威脅、終端日志進行大數據關聯分析,態勢呈現、響應聯動
0x23 全流量威脅探針
全流量處理,資產及服務發現、流量及訪問關系發現、細粒度流量審計
0x24 TAP
減少對核心或匯聚交換機端口占用,實現對多個不同類型或同類型安全檢測設備的分流
總結
以上是生活随笔為你收集整理的网络安全笔记(一)网络安全设备的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 简单学习Infopath
- 下一篇: PLC编程语言入门,常用指令集汇总分享