网络安全常见设备及其功能作用详解
随着网络攻击手段的不断演进,构建纵深防御体系已成为企业安全建设的核心。本文将详细梳理十三种常见的网络安全设备及其功能、原理与优缺点,帮助读者理解不同安全组件在整体架构中的定位。
一、WAF 应用防火墙
范围:应用层防护软件
作用: 通过特征提取和分块检索技术进行模式匹配,达到过滤、分析、校验网络请求包的目的。在保证正常网络应用功能的同时,隔绝或阻断无效或非法的攻击请求。
可防漏洞: 源自应用程序的安全漏洞,如 SQL 注入漏洞、跨站脚本(XSS)、文件包含和安全配置错误等。
特点: 区别于传统防火墙,WAF 可以防护特定的应用程序。传统防火墙主要作用于服务器之间,而 WAF 专注于 Web 流量。
缺点:
- 特定的防护手段可能被绕过或无效化,必须随攻击手段同步升级,否则将失去效用。
- 需要与入侵检测系统等安全设备联合使用,且防护程度往往与网络性能成反相关。
二、IDS 入侵检测系统
范围:网络层防护软件
作用: 识别攻击行为并报警。这是一种积极主动的防护措施,按照一定的安全策略,通过软硬件对网络、系统的运行进行实时监控,尽可能发现网络攻击行为,保证网络资源的机密性、完整性和可用性。
特点:
- 是一个积极主动的监听设备。
- 无需有流量经过,可通过镜像流量过去给它分析监控。
- 不影响网络的性能。
- 部署位置应尽可能靠近攻击源或受保护资源(如服务器区域交换机、互联网接入路由后的第一个交换机)。
缺点:
- 误报率较高。
- 没有主动防御能力,仅仅是监控或少量的反制能力。
- 不能解析加密的数据流。
三、IPS 入侵防御系统
范围:网络层与应用层交界
作用: 实时监控网络行为,中断或调整隔离网络非法行为。相比 IDS,IPS 具有更强的防御能力。它是计算机网络安全设施,是对防病毒软件和防火墙的补充。能够即时中断、调整或隔离一些不正常或具有伤害性的网络数据传输行为。
必要性: 传统防火墙作用在 OSI 模型的 2-4 层,对 4 层以上的防护作用较小;防病毒软件工作在 5-7 层。中间 4-5 层属于空挡,因此 IPS 作为补充,作用在 4-5 层。
特点: 比 IDS 不仅防护还具有了反制、组织攻击的能力,防攻兼备。
缺点: IPS 的防护方式一般以阻断受保护源和外界的联系为主,这可能导致该网络资源对外提供的服务也被阻断或削弱,造成"敌我两伤"的局面。某些关键服务一旦停止,将对运营者造成不小的损失。
四、SOC 安全运营中心
作用: 不是一个单一防护产品,而是一个防护系统。SOC(Security Operations Center)是以 IT 资产为基础,以业务信息系统为核心,以客户体验为指引,从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台。
它使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化,最终实现业务信息系统的持续安全运营。
特点: 既有产品又有服务,需要运营、流程以及人工的有机结合,是一个综合的技术支持平台。它将安全看成一个动态的过程,只有维持相对平衡才是安全。
态势感知: 态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式。
态势感知特点:
- 检测:提供网络安全持续监控能力,及时发现各种攻击威胁与异常,特别是针对性攻击。
- 分析、响应:建立威胁可视化及分析能力,对威胁的影响范围、攻击路径、目的、手段进行快速研判。
