網絡運維|深度安全防御

2020-04-30 21:15 作者：admin

大家好，我是一枚從事IT外包的網絡運維工程師，今天和大家聊一聊深度安全防御有哪些內容呢？
設備通過安全策略實現了基于應用層的深度安全防御，保護用戶不受多種網絡威脅的侵擾，在這里介紹深度安全防御三個內容？安全策略、IPS、URL過濾。
· 安全策略
設備通過安全策略可以實現對業務流量的轉發和內容安全的一體化檢測及處理。

安全策略簡介

介紹設備安全策略的定義和特點。
隨著網絡的發展，層出不窮的新應用雖然給人們的網絡生活帶來了更多的便利，但是同時也帶來更多的安全風險?，F在內網主機在訪問Internet的過程中，很有可能無意中從外網引入蠕蟲、木馬及其他病毒，造成企業機密數據泄露，對企業經營造成巨大損失。為了保護公司內部網絡安全，企業有必要在控制流量的源和目的的基礎上，再對流量傳輸的真實內容進行深入的識別和監控。但是傳統的單包檢測機制只能對單個報文的安全性進行分析，這樣無法防范在一次正常網絡訪問的過程中發生的緩沖區溢出攻擊、木馬、蠕蟲等網絡威脅。安全策略不僅可以對網絡流量進行轉發，還可以對網絡流量進行內容安全一體化檢測。
內容安全一體化檢測是指使用設備的一體化檢測引擎對一條流量的內容只進行一次檢測和處理，就能實現包括IPS、URL過濾在內的內容安全功能。由于一體化檢測的高效性，用戶往往可以通過配置較寬泛的安全策略條件來匹配一類流量，然后再通過各種內容安全功能來保證網絡安全。
如圖1所示，設備能夠識別出流量的屬性，并將流量的屬性與安全策略的條件進行匹配。如果所有條件都匹配，則此流量成功匹配安全策略，否則允許流量通過。流量匹配安全策略后，設備將會對流量進行內容安全檢測，并根據檢測結果執行相應的動作。
· 如果檢測結果為“允許”或“告警”，則允許流量通過。檢測結果為“告警”時設備會記錄日志。
· 如果檢測結果為“禁止”，則禁止流量通過。
圖1  Router的安全策略   
· IPS
IPS是一種安全機制，它通過監控或者分析系統事件來檢測入侵行為，并通過一定的響應方式實時的中止入侵行為。

IPS簡介

介紹IPS的定義、由來和作用。

定義

入侵防御系統IPS（Intrusion Prevention System）是一種安全機制，通過分析網絡流量可以檢測出入侵行為（包括緩沖區溢出攻擊、木馬、蠕蟲等），并通過一定的響應方式對其進行實時中止，從而保護企業信息系統和網絡架構免受侵害。

目的

隨著網絡的發展，層出不窮的新應用雖然給人們的網絡生活帶來了更多的便利，但是同時也帶來更多的安全風險。在訪問Internet的過程中，很有可能無意中從外網引入蠕蟲、木馬及其他病毒，造成企業機密數據泄露，對企業經營造成巨大損失。所以企業的網絡安全管理，有必要在控制流量的源和目的的基礎上，再對流量傳輸的真實內容進行深入的識別和監控。
通過IPS可以防護應用層的攻擊或入侵，例如緩沖區溢出攻擊、木馬、蠕蟲等。

優勢

入侵防御是種既能發現又能阻止入侵行為的新安全防御技術。通過檢測發現網絡入侵后，能自動丟棄入侵報文或者阻斷攻擊源，從而從根本上避免攻擊行為。入侵防御的主要優勢有如下幾點。
· 實時阻斷攻擊：設備采用直路方式部署在網絡中，能夠在檢測到入侵時，實時對入侵活動和攻擊性網絡流量進行攔截，把其對網絡的入侵降到最低。
· 深層防護：由于新型的攻擊都隱藏在TCP/IP協議的應用層里，入侵防御能檢測報文應用層的內容，還可以對網絡數據流重組進行協議分析和檢測，并根據攻擊類型、策略等來確定哪些流量應該被攔截。
· 全方位防護：入侵防御可以提供針對蠕蟲、病毒、木馬、僵尸網絡、間諜軟件、廣告軟件、CGI（Common Gateway Interface）攻擊、跨站腳本攻擊、注入攻擊、目錄遍歷、信息泄露、遠程文件包含攻擊、溢出攻擊、代碼執行、拒絕服務、掃描工具等攻擊的防護措施，全方位防御各種攻擊，保護網絡安全。
· 內外兼防：入侵防御不但可以防止來自于企業外部的攻擊，還可以防止發自于企業內部的攻擊。系統對經過的流量都可以進行檢測，既可以對服務器進行防護，也可以對客戶端進行防護。
· 不斷升級，精準防護：入侵防御特征庫會持續的更新，以保持最高水平的安全性。您可以從升級中心定期升級設備的特征庫，以保持入侵防御的持續有效性。

與傳統IDS（Intrusion Detection System）的不同

總體上說，IDS對那些異常的、可能是入侵行為的數據進行檢測和報警，告知使用者網絡中的實時狀況，并提供相應的解決、處理方法，是一種側重于風險管理的安全功能。而入侵防御對那些被明確判斷為攻擊行為，會對網絡、數據造成危害的惡意行為進行檢測，并實時終止，降低或是減免使用者對異常狀況的處理資源開銷，是一種側重于風險控制的安全功能。
入侵防御技術在傳統IDS的基礎上增加了強大的防御功能：
· 傳統防火墻很難對基于應用層的攻擊進行預防和阻止。入侵防御設備能夠有效防御應用層攻擊。
而由于重要數據夾雜在過多的一般性數據中，IDS很容易忽視真正的攻擊，誤報和漏報率居高不下，日志和告警過多。而入侵防御功能則可以對報文層層剝離，進行協議識別和報文解析，對解析后的報文分類并進行專業的特征匹配，保證了檢測的精確性。
· IDS設備只能被動檢測保護目標遭到何種攻擊。為阻止進一步攻擊行為，它只能通過響應機制報告給防火墻，由防火墻來阻斷攻擊。
入侵防御是一種主動積極的入侵防范阻止系統。檢測到攻擊企圖時會自動將攻擊包丟掉或將攻擊源阻斷，有效地實現了主動防御功能。
· URL過濾配置
通過配置URL過濾，可以對用戶訪問的URL進行控制，允許或禁止用戶訪問某些網頁，以達到規范上網行為的目的。

URL過濾簡介

介紹URL過濾的定義和目的。
隨著互聯網應用的迅速發展，計算機網絡在經濟和生活的各個領域迅速普及，使得信息的獲取、共享和傳播更加方便，但同時也給企業帶來了前所未有的威脅：
· 員工在工作時間隨意訪問與工作無關的網站，嚴重影響了工作效率。
· 員工隨意訪問非法或惡意的網站，可能會帶來病毒、木馬、蠕蟲等威脅攻擊。
URL過濾功能可以對用戶訪問的統一資源定位符URL（Uniform Resource Locator）進行控制，允許或禁止用戶訪問某些網頁資源，達到規范上網行為的目的。
本文中，URL過濾僅支持采用URL本地過濾的方式查詢預定義分類
以上文章由北京艾銻無限科技發展有限公司整理