安全网络组件
时间:2023年4月25日 星期一
作者:小王
一、网络架构
1.内部网(intranets):也就是内部局域网。
2.外联网(extranets):内部网与互联网之间的缓冲地带。
3.屏蔽子网(screened subnet):旧称为DMZ,是一种专用外联网,专门为低信任度和未知用户设计,用于访问特定系统,如web前置。
4.屏蔽主机(screened host):是一个防火墙保护的系统,逻辑上位于网段内部,用于充当内网主机的代理。
二、通用网络设备
了解
1.中继器、集中器、放大器(RCA):增强通信信号,连接使用相同协议的网段。
2.集线器:连接使用相同协议的网段。(例如Hub)
3.调制解调器:支持PSTN线路的计算机通信。
4.网桥:连接使用相同协议的网段,已被交换机替代。(不需要做区分)
5.交换机:基于MAC进行转发,支持VLAN和VLAN间路由。
6.路由器:基于IP进行转发,用于连接相似的网络并控制两者之间的流量。
7.LAN扩展器:一种远程访问、多层交换机,用于通过WAN链路连接远程网络。(连接广域网的路由器)
以下为OSG9新增
8.跳转盒(jumpbox):跳转服务器,一种远程访问系统,用于使访问特定系统或网络更容易或更安全。
9.传感器(sensor):收集信息,然后将其传输回中央系统进行存储和分析,常用于雾计算、ICS、IoT、SIEM、SOAR等。(例如agent)
10.收集器(collector):类似传感器,用于收集安全信息。
11.聚合器(aggregators):一种多路复用器,大量输入被接收、定向或传输到单个目的地。(类似redis作用)
三、网络准入控制(NAC)
通过严格遵守和实施安全策略来控制对环境的访问,管理能否接入组织网络。
1.NAC的目标
• 直接阻止/减少已知攻击,间接阻止/减少零日攻击。
• 在整个网络中实施安全策略。
• 使用标识执行访问控制。
2.NAC通过两个阶段实现安全控制
• 准入前对终端进行全面检测,包括但不限于IP、MAC、身份信息、补丁信息、杀毒软件等,来确定是否能够介入到网络中。
• 准入后控制终端的网络访问,并对其行为进行审计跟踪。(UEBA用户实体分析)
3.NAC实现方式
• 基于代理:在每个受管系统上安装NAC监控代理,定期检索配置文件,以对照本地系统检查当前配置基线要求。
• 基于无代理:从NAC服务器对网络系统执行端口扫描、服务查询和漏洞扫描,以确定设备是否经过授权且符合基线。
四、防火墙
防火墙是管理、控制和过滤网络流量的基本工具,典型的防火墙是基于隐式拒绝原则。
1.防火墙典型功能
• 阻止声称具有内部源地址的入站数据包
• 阻止声称具有外部源地址的出站数据包
• 阻止源地址或目标地址列在阻止列表上的数据包(黑名单)
• 阻止具有来自局域网的源地址或目标地址但尚未正式分配给主机的数据包(不符合白名单)
防火墙通常不具备检测和防御恶意代码或网络攻击的能力,但可以添加安全模块来实现,如多功能设备(MFD)、统一威胁管理(UTM)设备或下一代防火墙(NGFW)。
2.防火墙的基本类型
重点
• 静态包过滤防火墙:基于五元组的单包过滤,也叫无状态防火墙。(一个包看一次,TCPIP端口协议,三层到四层)-第一代防火墙
• 应用层防火墙:基于单个互联网服务、协议或应用程序过滤流量,如web应用防火墙(WAF)。(七层防火墙,高层防火墙,基于状态)-第二代防火墙
• 电路级防火墙:基于SOCKS(工作在会话层)进行过滤,不过滤流量内容。-第二代防火墙
• 状态检测防火墙:评估网络流量的状态、会话或上下文(FTP)再进行过滤,还可以执行深度数据包检查(DPI),即对数据包的有效载荷内容进行分析。(基于会话)-第三代防火墙,工作在网络和传输层
• 下一代防火墙:安全综合体,啥功能都有。
• 内部分段防火墙:部署在内部网络分段或公司部门之间的防火墙,用于微隔离技术实现。
• 安全web网关(SWG):NGFW和WAF思想的变体和组合。(简单理解带控制功能的WAF)
3.代理
代理服务器是应用程序级防火墙或电路级防火墙的变体,常用于为专用网络上的客户端提供internet访问,同时保护客户端的身份。
• 转发代理:作为外部资源查询中介的标准代理。
• 反向代理:提供与正向代理相反的功能,它处理从外部系统到内部服务的入站请求。
• 透明代理:客户端未配置直接向代理发送查询,但网络仍将出站流量路由到代理。
• 非透明代理:当客户机配置为直接向代理发送出站查询时,将使用非透明代理。非透明代理可以使用手工设置或使用代理自动配置(PAC)文件设置。
4.内容/URL过滤
• 内容过滤是基于关键字匹配,检查应用程序协议有效负载的内容,也叫深度包检查(DPI)。
• URL过滤对web访问中的URL进行匹配和过滤。
• Web安全网关(WSG)是一种web内容过滤器(通常基于URL和内容关键字),也支持恶意软件扫描。
五、终端安全
终端检测和响应(EDR)通过代理或无代理+集中管控的模式,检测可能比传统防病毒程序或HIDSs检测到的更高级的滥用行为,同时优化事件响应的响应时间,清除误报,对高级威胁实施阻止,以及针对同时发生的多个威胁以及通过各种威胁向量进行保护。通常具备主机防火墙、主机入侵检测/防御、反恶意软件等功能。
1.托管检测和响应(MDR):侧重于威胁检测和仲裁,但不限于终端的范围。
2.终端保护平台(EPP):比EDR更加主动,核心四个功能是预测、阻止、检测和响应。
3.扩展检测和响应(XDR):综合方案,通常包括EDR、MDR、EPP、NTA、NID和NIPS等功能。
托管安全服务提供商(MSSP)可以提供集中控制和管理的XDR解决方案。