一、防火墙
防火墙的核心任务:防护和控制,防火墙通过安全策略识别流量并做出相应的动作。
防火墙的安全策略在进行匹配时,自上而下逐一匹配,匹配成功则不向下进行匹配,末尾隐含拒绝所有规则。
1.包过滤防火墙
工作范围:网络层,传输层
只能基于5元组对数据包进行判断
五元组:原IP,目标IP,原端口,目标端口,协议
三元组:原IP,原端口,协议
缺点:无法检测应用层,则无法充分识别安全风险
需要逐包进行检测,效率比较低,可能成为网络的瓶颈
2.应用代理防火墙
优点:可以检测到应用层流量
缺点:可伸缩性变差,因为每一种应用都需要开发对应的代理功能,否则无法代理。
效率变低。(就比如http流量,本来客户端到服务端建立一次3次握手就好了,现在需要建立两次,客户到防火墙,防火墙到服务端)
3.状态检测防火墙
缺点:无法检测应用层的流量
优点:首次检查建立会话表,同一特征流量基于会话表转发。提高了效率。
4.UTM(统一威胁管理)
也称多合一安全网关,工作在2-7层,但是不具备web应用防护能力,目的是将多种安全问题通过一台设备解决。
包含功能:FW,IDS,IPS,AV。
优点:功能多合一,有效的降低了硬件设备,人力成本,时间成本
缺点:模块串联检测效率低。
5.下一代防火墙
升级版的UTM
首先是包含功能:FW,IDS,IPS,AV,WAF。比UTM多了WEB应用的防护能力
其次是工作机制:NGFW采用并行处理机制。提高了检测效率
二、IDS(入侵检测系统)
工作范围:工作在2-7层
目的:为了帮助管理员清晰的了解到网络环境中发生了什么事情。
部署方式:旁路部署,可在多个地方部署。(意味着对原本的网络环境没什么影响)
IDS可以发现风险,可以记录,分析和反馈,但是,并不会直接处理或消除风险。而是一种侧重于风险管理的安全设备,存在一定的滞后性。
交换机通过镜像口与NIP(IDS)相连,将产生的数据流量通过镜像口复制给NIP。
三、IPS(入侵防御系统)
部署方式:串联部署,影响原本的网络环境
工作范围:2-7层
目的:IDS只能对网络进行检测,但无法进行防御,IPS又可以检测,又可以防御。
侧重于风险管理的安全设备。
四、AV(防病毒网关) ---基于网络测识别病毒文件
工作范围:2-7层
目的:防止病毒文件通过网络进入到内网设备
五、WAF(web应用防火墙) ---专门用来保护web应用
作用:
1.WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。
2.WAF可以对Web应用进行安全审计
3.WAF可以防止CC攻击
4.应用交付
什么是CC攻击呢?
CC攻击:通过大量请求对应用程序资源消耗最大的应用,如WEB查询数据库应用,从而导致服务器拒绝服务 ,更详细CC攻击介绍:
https://www.cnblogs.com/wpjamer/p/9030259.html
应用交互:实际上就是指应用交付网络(Application Delivery Networking,简称ADN),它利用相应的网络优化/加速设备,确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群。
WAF的多种部署模式:
WAF一般支持透明代理,反向代理,旁路监控,桥模式部署模式。