实现网络的安全性:
配置网络安全技术
保护网络设计要素
无线网络安全
实施安全的联网协议和服务
网络的组成
设备
媒介 网线 交换机
网络适配器 网卡
网络操作系统
协议
路由器:
ACL
交换机:
根据mac地址限制对特定端口的访问(交换机端口绑定MAC)
限定流量和最大会话数
实现防洪功能,保护不受DoS攻击
实现环路预防,关闭网络环路(STP)
代理:
与连接的一端进行通讯时,充当网络连接另一端的设备
用作过滤内容的一种方方式(web过滤)
转发代理可以在客户端的流量离开内部网络之前对其进行拦截
代理可以修改流量或只是转发流量
专门用户保护目标服务器不被破坏
流量监听
反向代理可以拦截来自外部网络的流量。(拦截或检测对)
一些代理是多用途的,并且拥有应用程序级别的认识。
防火墙:
通过阻止不必要的网络流量来保护系统或网络
隐式拒绝(Implicit deny):除非有明确的允许,否则所有流量都会被拒绝的防火墙模式【在规则最后配置deny all】
用于确定需要阻止的流量的预定义规则集。
连接信息保存在日志中用于监控
防火墙的类型:基于主机(360)、基于网络(网关设备)、网络应用程序(部署在前端网站服务器上)(WAF)
负载均衡:分配工作负荷的设备
所有设备都能更高效地运行
独立的设备可以免受DDoS威胁
类型:硬件(F5) 软件(LVS)
调度方式(scheduling):
轮询调度(round robin):按顺序依次转发流量给列表中的每个服务器
关联(Affinity):将流量转发到已经与客户端建立连接的服务器,特定IP交给特定服务器。
集群: 资源池 冗余 由两台以上的设备构成
网络扫描器和分析工具
数据包分析器
监听数据包+协议分析(查看数据包内容)
监控有线和无线网络通讯
捕捉流量数据
协议分析器
使用数据包分析器捕获的数据
确定流量使用的应用程序
揭示使用特定矢量的恶意流量
网络枚举器
爬取网络结构(namp、bp)
提供网络架构的高级概况
入侵检测系统(IDS)
扫描,评估和监控计算机基础设施,查找其中正在进行的攻击迹象的系统
分析数据并发送警报
每种实施方案都有独特性,取决于组织的安全需求。
可能包括:
硬件传感器
入侵检测软件(分析、判断)
管理软件(触发报警)
入侵防御系统(IPS)
IDS+阻断功能
网络监控系统的类型(杀毒平台等)
基于签名(无法抵御0day)
识别已知特征。
使用预定义的规则集确定不可接受的事件
基于异常
预期模式的定义
识别不遵循模式的事件
需要预先配置可接受事件的基线
基于行为
确定当下的行为方式,并将未来的行为方式于此进行比较
检测未来的行为方式是否偏离了常态
记录了对被监控实体做出应对的预期模式。
启发式
确定实体在特定环境中的行为方式
可能会推断出实体是否会对环境构成威胁
SIEM secure information event management
安全信息和事件管理
一种安全解决方案,对网络迎接和应用程序生成的安全警报提供实施或接近实时的分析,提供预警功能。保证黑客的行为日志不会被擦除
是一种日志工具,收集网络中所有的日志并发现异常及报警,类似态势感知,
汇总确保了所有相关日志都会被包含在内以便提供整体视角。
关联确保了相关事件被放在合适的环境中。
可以以软件,硬件设备或云服务器的形式进行实施。
其他功能:
一次写入多次读取(WORM)(write once read m?)一旦写入就只读
自动警报
时间同步
删除重复事件
DLP data leakage prevention
数据丢失/泄露防御
软件解决方案,可以检测和防止敏感信息被盗或以其他方式落入不法之徒手中
包括信息泄露的政策,处理流程。主要目的是检测敏感信息外泄。
可以通过软件,硬件或基于云来实现,部署在出口,检测信息泄露并触发报警。提供方案时需要考虑到所有业务数据的可能出口(邮件、打印、U盘拷贝、网盘、文件上传、拍摄)。
可以通过软件,硬件或基于云来实现
监控数据,阻止未授权破坏,移动,复制。
具体功能:检测电子邮件发送机密文件并阻止传输,完全阻止USB端口或阻止特定文件被写入USB驱动。
