ImageVerifierCode 换一换
格式:DOCX , 页数:14 ,大小:527.18KB ,
资源ID:8887499      下载积分:10 金币
快捷注册下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/8887499.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

开通VIP折扣优惠下载文档

            查看会员权益                  [ 下载后找不到文档?]

填表反馈(24小时):  下载求助     关注领币    退款申请

开具发票请登录PC端进行申请

   平台协调中心        【在线客服】        免费申请共赢上传

权利声明

1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

注意事项

本文(网络安全设备知识讲解.docx)为本站上传会员【pc****0】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4009-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

网络安全设备知识讲解.docx

1、最深入的网络安全设备知识讲解 来源于:互联网  观念: 在网络上,主要的概念是: 该如何做才能让封包流量更快、更稳。 在资安上,主要的概念是: 如何掌握、比对、判断、控制封包。 好吧~让我们直接来看在一个网络环境里,我们可以在哪些地方摆入资安设备: (设备实际摆设位置会因为产品不同与客户环境而有所变动) 是滴~任何网络设备、任何网络位置都可以看见资安设备的踪影!为什么呢?因为上面提过,资安的概念是如何掌握、比对、判断、控制封包!做个有趣的比喻,你可以想象一个原始封包就像个光着身子的美女,随着OSI模式各层的设计师帮她穿上合适的衣服之后才让它出门,VPN

2、只能看见包裹着白布的木乃衣、Firewall可以看见去掉白布后穿着厚衣服的美女容貌、IPS可以从外套推测美女内在的三围、该死的VirusWall竟然有权可以对美女搜身、上网行为管理可以去掉白色的衬杉看美女身上的内衣裤是否是老板希望的款式…好吧~我们聊的是Network Security,我必需就此打住!至少我们了解一件事,资安的Solution可以存在网络的任何地上(SI知道一定很开心~生意做不完呀!) 资安设备简介: 接下来是针对各设备做常识性地说明,让大家对资安设备有一个全盘性的概念! (由于小弟碰的设备有限经验也不足,仅对知道的一小部份说明,任何错误与不足,还望各前辈们指

3、正) 。Router: Router通常是Cisco的Router才能加上资安的解决方案,Cisco新一代Router都叫ISR(Integrated Service Router),可以整合IPS或Voice模块,在外部的Router通常我们希望它扮演好Router的角色即可,而内部买不动一台IPS设备时,会建议客户从现有的Router上加上IPS模块。 。Switch: Switch一般也要到Core等级才可加入IPS模块,就如同Router一样,主要就是加上入侵侦测的功能,在客户环境Switch效能ok,也不打算多买设备,可以加入模块方式来保护网络。

4、 。VPN: VPN即Virtual Private Network,顾名思义即是要达成一个虚拟的私人网络,让在两个网域的计算机之间可以像在同一个网域内沟通一样。这代表的是必需做到外部网络是不能存取或看见我们之间的封包传送,而这两个网域之间是可以轻易的相互使用网络资源。要做到如此,VPN必需对流经封包进行加密,以让对外传输过程不被外人有机看见传输内容,相对的传过去的目的地需要一台解密的机器,可能也是一台VNP或是一个装在notebook上的软件。也因为传输过程加密之故,许多希望在传输上更安全的需求,也都会寻求VPN。 VPN的发展到现在,主要市场以SSL VPN的运作,因

5、为可以利用现有的客户端程序(如IE)即可完成加密、解密、验证的程序,使用端不需一台VPN机器,或是client端程序,在导入一个环境最容易,使用上也最简便。 。FireWall: FireWall肯定是最古老的资安产品,但!也是最经典的产品,简单的说,它就像Port的开关,如上图firewall左边的port可能1~65535都有,但封包想流进来~嘿!得先问问Firewall老大哥,这里他只开放了25,80,443的流量进来,其它都别想!! Firewall的第二个大功能就是可以区别网段,如上图的DMZ也可以从Firewall切出来,如此可以确保网络封包的流向,当流

6、量从外面进来观顾时,只允许流到DMZ区,不可能流至内部区网内,避免外部网络与内部网络封包混杂。 第三个功能,也就是能区别从Router上设ACL的功能,SPI(Stateful Packet Inspection)封包状态检查,可快速地检查封包的来源与目的地址、通讯协议、通讯port、封包状态、或其它标头信息,以判断允许或拒绝! 。IPS/IDS: 这仍然是很年轻的产品,一开始叫IDS(Intrusion Detection System)入侵侦测系统,顾名思义:在有人攻击或入侵到我的土地内之后我会知道,是一个可以侦测出有没有人入侵这个事件!后来人们体会到,坏人

7、都跑进我家了我才知道,有没有可能在侦测到的同时做出抵制的动作呢?于是IPS(Intrusion Prevention System)入侵防御系统就诞生了,在IPS中写入pattern,当流经的封包比对pattern后确定为攻击行为,马上对该封包丢弃或阻断来源联机。 一般IPS系统都不只一个网段,如上图,可以摆在Firewall前面更积极地阻挡对Firewall的攻击,或是于Firewall之后,直接比对流经合法port后进来的流量是否为攻击行为,也可分析流出封包(了解内部员工上网行为、情况)。在真实情况是否要将IPS摆在firewall之前要看硬件throughput,看哪一台的效能好

8、就摆前面吧^^ 通常IPS的测试期比较长,因为在环境内开启IPS规则后会有”误判”情形!实属正常,除非开的规则太宽松,否则有正常的封包被挡是正常不过的,这时我们就需要对规则调校,所以测IPS是磨工程师的大好机会!运气不好,要对每一个有问题的计算机、程序手动抓封包来k~~嘿~就当是练工吧^^ 。Virus Wall: VirusWall是较简单的产品,概念就是将防毒引擎放在Gateway,让所有流经的封包都能比对过引擎内的病毒特征。 说到这,大家应该知道评估ViruWall的重点了! 。什么防毒引擎 。扫毒速度快或慢 防毒永远没有人敢打包票可以100%

9、防毒!纯粹是机率问题,每家的防毒率都不一定,能补足的最简单方法就是导入与原有环境不同的防毒引擎! 如原有client端用的是norton,于是viruswall就找一家卡巴的^^ 或前方UTM用趋势的,还可导入McAfee的viruswall VirusWall对装机工程师而言是很简单的产品,只需留意客户希望对哪些Port的流量进行扫毒,难的是背后更新病毒码的RD们~我只能说,RD们辛苦了!! 。WebSecurity WebSecurity单纯地过滤Web流量中的封包,针对每个要求的URL比对数据库是否为危险、或钓鱼、恶意的目的URL,是的话就直接阻挡

10、联机。 如果连到了目的地之后,可能因为临时被骇或数据库内没有该笔URL,回来的封包再经一次病毒引擎的扫描,由于是针对Web,所以病毒引擎要挑在恶意网站分析较强的引擎。 简单的说,怕user上网中毒、或钓鱼网站被受骗,需要导入这个设备^^ 。ApplicationFirewall 对于很重视网页运作服务的公司,对于这项设备应该较有兴趣。 较简单的例子是在做渗透测试时,总是会在客户的Web网页可输入的地方try一下SQL语,当把这设备放在WebServer之前,你的语法会顿时失效,好吧~这时会再试一下XSS、cookie、session…呵~时常是没有成效的试验

11、@@ 即使WebServer运行的IIS或Apache未更新,拥有众所周知的漏洞,仍然阻挡住该漏洞的攻击。 当然!就如之前提过的,资安是机率问题,它可以降低被攻击机率,但不可能无敌! 。Spam Wall: 电子邮件是一个很棒的广告途径,但随着信息愈来愈发达,越来越多的生意靠着e-mail来广告,慢慢的,使用者感受到过多的e-mail造成的不便,于是挡垃圾信的设备就诞生啦~可以叫Anti-spam或Spam wall。 一开始的spam单纯地阻挡垃圾邮件,但许多黑客发现了这个管道,也利用mail,大量发送钓鱼连结、附加病毒文件、恶意连结…的信件,于是anti

12、spam也开始重视对mail的扫毒。 一台好的spam设备在选择上要效能好(承受邮件攻击),误判率低、有黑、灰、白名单,使用简单^^ 。UTM/ASA: 大补帖UTM(Unified Threat Management)统一威胁管理设备,其功能包山包海,如上图的红色部份为一般UTM设备可能拥有的功能,会依厂牌所制定的功能而定。 概念就是以FireWall为核心,加入各式资安功能!如Cisco的ASA就是以firewall为中心,可加入防毒模块或是IPS模块。 一般是比较建议在300人以内的环境使用UTM,简单又大碗!但,在环境较大的情况下,还是建议将各

13、别功能由各别设备运作。原因很简单,一样的防毒引擎来说好了,UTM的特征码肯定没有单纯VirusWall的特征码来的多!纵使厂商声称一样,实际测试便知高下^^ 。SIM/MARS: 躲在右上角的设备名叫SIM(Security Information Management)资安讯息管理,或如Cisco较贴切的命名:MARS(Monitoring Analysis and Reporting System),虽然在网络的一小角,却能掌控所有设备情况! 这是一台很了不起的设备!可能会有人觉得各个部份都已有设备进行相关阻挡了!我干麻花大钱来做Report呢?

14、 让我们先了解它需做到什么样的功能,第一个就是收log的功能,它需要将各设备的讯息收进在一起,Switch,Router,IPS,Firewall,viruswall…,我们必需相信,不可能环境内所有设备都是同一家品牌,所以一定要支持各式阿狗阿猫的牌子! 第二个功能是出Report,将所有设备的讯息信息串连在一起,做出各式各个阶层或部门看的Report。较进阶的设备还可做到第三个功能,可以协同防御!!判断威胁在哪里,直接可以对各网络设备、资安设备下达合适的防御指令或政策。 这台设备通常价位相当高!原因是他需要大量的support(各家厂牌),除此之外,还需要精确的分析判断、并组织各

15、设备回报讯息什么是误判?什么是威胁?并实时通知相关人员,且建议合适的作法。 。上网行为管理: 上网行为管理设备在配置上有两种方式,Inline Mode(配置在GateWay)或是MirrorMode(配置在CoreSwitch),上图是从CoreSwitch直接Mirror流量的方式,两种方式各有优缺,从Gateway在进行阻挡时较快且直接!但设备挂掉时要考虑hardware bypass的功力!而Mirror好处是完全不改变原有架构导入很容易,但是在进行阻挡时,需同时送封包给远方目的server与来源client联机,网络频宽资源较吃!到底哪个好,还是依环境而定。

16、 这个设备的主要功能就是要看内部使用者的上网情况,进而进行管理。比如结合内部AD Server之后,可以管制爱搞鬼的RD部门不能用P2P、苦闷的工程部不能上色情类网站、爱事非的会计部们不能开IM聊天…。也有公司应用AD身份验证功能,没有登入AD就没有网络可用^^(真是厉害呀) 。侧录: 侧录的概念就像你家附近、或银行内的监视系统,将看的见的事情一一记录。这包括了你信箱内的内容、你的聊天记录、你上过哪些网站、抓了哪些图片、即使是FTP的档案,全部都能一一还原,全部重现!! 也由于要对全部数据、流量、封包,对储存系统是很大的负担!录的愈多,备份的时

17、间就愈短。所以实务上会将侧录设备装置如上图,可能是从IPS过滤封包后,从IPS强力的封包比对能力后,挑选只想侧录的封包内容,如只录Web流量、或只录FTP流量。另一种方式是从上网行为管理设备上,得知某个ip或是某个使用者老是在看色情网,嘿~就来把它上的过程全录下吧!!我们也常开玩笑,如果MIS知道公司内谁是股市好手,可以跟着下单!哈~ 当然!这也牵涉到了隐私权的问题,导入时常需与公司政策搭配。 。NAC: NAC(Network Access Control)网络存取控制设备,通常设置在Gateway与client的交界处,目的是让所有从Client进来的设

18、备,想存取其上方的网络时,都要经过它的允许(可能是结合AD的认证或是网页验证),这就是最原始NAC在做的事。 随着市场的发展,通常还需外加新的功能,才能让客户接受。需拥有可以保护client端的能力,本身可以上一些patch让client来更新,如Windows的更新patch、或是某些防毒软件的patch,以保设End User的安全,进而保护整个网络。呵~我猜想未来可会看到类似的新名词,叫CAP(Client Access Protect)。 。Wireless Control: 对于无线的管理可能是许多人的痛,这种设备的目的就是要掌控你领空的封包流量。

19、 可能做法有许多种,我仅以我碰过的例子说明。在ServerGroup找一台Server安装主控端软件,再于想侦测的边界点放置Sensor,比如在公司的楼的三个点摆了三个Sensor,再搭配goolge map抓下公司的卫星图,再给予适当的比例尺寸后,可以在Server上看见,在地图的什么地方有什么样的无线讯号、讯号强弱、SSID…等相关信息,要终止其与AP联机时,只需各送出一个reset封包即可,真是屌呀!(不过价位不低~呵~) 。IPAM: 对于一些环境较大,需要动态的让user使用网络资源,或是…或是MIS太懒,使用DHCP环境时,要管理动态IP是哪

20、一台计算机在用、或是哪一个人在用,这就是很棒的解决方法。 IPAM(IP Analysis Management) IP分析管理设备,提供DHCP环境内,Mac与IP存取的列表,当环境中有AD或是RADIUS时,可以看见的记录将是: 时间-Mac-IP-User 资料表的关链可以让管理者快速追纵谁在用这个IP,所以设备中也常将环境中的DNS Server、DHCP Server整合在一起,加强信息的连贯性。 。Bandwidth Monitor: 你可以试着问MIS,我们环境平常的流量大概是多少?时常得到不知道怎么测之类的答案。BandwidthMo

21、nitor这项设备的功能就是提供MIS所有网络环境的频宽使用量。 由于专攻频宽使用量的分析,可以细致到如: 总频宽使用量、各软件使用量、各ip使用量、单独ip频宽用量、单独ip软件使用量、protocol的流量、User名称的使用量、群组的使用量、Domain的使用量。 对于MIS分析网络的频宽都被谁占据、或什么软件用掉,很有帮助。 。软件: 使用软件来进行资安设备管理,主要是因为一些封包到了应用层,还是要靠操作系统、与应用程序来分析,才有办法进行管理与分析或保护;另一个原因是EndUser的使用状况永远无法掌握,透过如资产管理软件。

22、 一般常见的资安软件如DRM,用来对环境内的特定文件进行加密,比如公司专门设计CAD的图档,每张图都是公司的心血,这时需要的就是将这些图档全部加密以保护公司信息外泄的可能。在布属上需一台Server,再利用如AD套用GPO将数据布到登入网域的计算机上,未来只要user一开启要加密的档案格式就直接加密!! 另一个常见的软件是资产管理软件,常Agent布属在Client端计算机后,Agent会自动收集所有计算机上的软、硬件信息,再回传给资产软件Server端,这是最初的资产软件所做的事,可以统整资料进行环境内的软、硬件资产管理。 喜爱掌控所有信息的MIS提出了需求,能了解user端所有东西,有没有可能对这些软、硬件直接进行控制呢?是滴!产品往往因为需求而产生,所以现在的资产管理软件不仅收集客户端数据,还可直接限制User端的使用情况,比如只能读取USB不能写入、禁止上班时间打接龙,也可直接把你的计算机当自已的用。(专业一点的说法叫远程叫修功能) 所以啦~也可以直接对user端的桌面使用情形进行录像!!真是MIS最爱呀! 以上的产品仅是小弟接触过的一小部份,相信科技仍有许多的可能!任何不足与错误再请大家直接指正!谢谢^^

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服