等级保护测评中网络安全设备的作用
等保2.0将等保工作的分为两个层面即技术要求层面和管理要求层面,两个层面又细分8个大类,分别是技术要求层面(物理和环境安全,网络和通信安全,设备和计算安全,应用和数据安全)及管理要求层面(安全策略和管理制度,安全管理机构和人员、安全建设管理、安全运维管理)。而等保2.0在以上基本要求之外,还提出了云安全、移动互联网安全、物联网安全、工业控制系统安全、大数据安全等网络空间扩展要求,且每个部分都有详细的安全标准。
等保2.0的规范中,
并没有要求使用任何一种产品,
只是要求你的网络安全达
到一个什么样的安全程度的标准。
但是我们如何去实现这个标准?
在达成要求的整个过程中,
网络安全产品是最低成本最高效率的路径。
参照网络安全法和等级保护标准的具体标准,等保三级系统设计需要很多许多类的安全设备例防火墙、入侵检测、入侵防御、堡垒机、上网行为管理、Web应用防护等。
01 防火墙( Firewall)
定义:相信大家都知道防火墙是干什么用的,我觉得需要特别提醒一下,防火墙抵御的是外部的攻击,并不能对内部的病毒 ( 如ARP病毒 ) 或攻击有什么太大作用。
功能:防火墙的功能主要是两个网络之间做边界防护,企业中更多使用的是企业内网与互联网的NAT、包过滤规则、端口映射等功能。生产网与办公网中做逻辑隔离使用,主要功能是包过滤规则的使用。
部署方式:网关模式、透明模式
网关模式是现在用的最多的模式,可以替代路由器并提供更多的功能,适用于各种类型企业透明部署是在不改变现有网络结构的情况下,将防火墙以透明网桥的模式串联到企业的网络中间,通过包过滤规则进行访问控制,划分安全域。
至于什么时候使用网关模式或者使用透明模式,需要根据自身需要决定,没有绝对的部署方式。需不需要将服务器部署在 DMZ区,取决于服务器的数量、重要性。
高可用性:为了保证网络可靠性,现在设备都支持主 - 主、主- 备,等各种部署。
02 防毒墙(防病毒网关)
定义:相对于防毒墙来说,一般都具有防火墙的功能,防御的对象更具有针对性,那就是病毒。
功能:同防火墙,并增加病毒特征库,对数据进行与病毒特征库进行比对,进行查杀病毒。
部署方式:与防火墙相同。
一般情况下使用透明模式部署在防火墙或路由器后或部署在服务器之前,进行病毒防范与查杀。
03 入侵防御 (IPS)
定义:相对于防火墙来说,一般都具有防火墙的功能,防御的对象更具有针对性, 能够联动防火墙阻断攻击流量。
防火墙是通过对五元组进行控制,达到包过滤的效果,而入侵防御 IPS,则是将数据包进行检测 (深度包检测 DPI)对蠕虫、病毒、木马、拒绝服务等攻击进行查杀。
功能:同防火墙,并增加 IPS 特征库,对攻击行为进行防御。
部署方式:同防毒墙。
特别说明:防火墙允许符合规则的数据包进行传输,对数据包中是否有病毒代码或攻击代码并不进行检查,而防毒墙和入侵防御则通过更深的对数据包的检查弥补了这一点。
04 统一威胁安全网关 (UTM)
定义:提供传统防火墙、VPN功能基础上集成防病毒、入侵防护、URL过滤等功能安全模块。
功能:同时具备防火墙、防毒墙、入侵防护等多个安全设备的功能
部署方式:因为可以代替防火墙功能,所以部署方式同防火墙
现在大多数厂商,防病毒和入侵防护已经作为防火墙的模块来用,在不考虑硬件性能以及费用的情况下,开启了防病毒模块和入侵防护模块的防火墙,和UTM其实是一样的。至于为什么网络中同时会出现UTM和防火墙、防病毒、入侵检测同时出现。实际需要,在服务器区前部署防毒墙, 防护外网病毒的同时,也可以检测和防护内网用户对服务器的攻击。
05 IPSec VPN
IPSec VPN的使用可通过上述设备来做的,而且通过加密隧道访问网络,本身也是对网络的一种安全防护。
定义:采用IPSec协议来实现远程接入的一种VPN技术
功能:通过使用 IPSec VPN使客户端或一个网络与另外一个网络连接起来,多数用在分支机构与总部连接。
部署方式:网关模式、旁路模式
鉴于网关类设备基本都具备 IPSec VPN功能,所以很多情况下都是直接在网关设备上启用 IPSec VPN功能,也有个别情况新购买IPSec VPN设备,在对现有网络没有影响的情况下进行旁路部署,部署后需要对IPSec VPN设备放通安全规则,做端口映射等。也可以使用 windows server 部署 VPN,相比硬件设备稳定性会差一些,受操作系统影响。
06 SSL VPN
定义:采用 SSL协议的一种 VPN技术,相比IPSec VPN使用起来要更加方便,SSL VPN使用浏览器即可使用。
功能:随着移动办公的快速发展,SSL VPN的使用也越来越多,除了移动办公使用,通过浏览器登录SSLVPN连接到其他网络也十分方便, IPSec VPN更倾向网络接入,而 SSL VPN更倾向对应用发布。
部署方式:SSL VPN网关的部署一般采用旁路部署方式,在不改变用户网络的状况下实现移动办公等功能。
07 WAF web 应用防护系统
定义: WAF(Web Application Firewall)的防护方面是 web应用,防护的对象是网站及 B/S 结构的各类系统。
功能:针对 HTTP/HTTPS协议进行分析,对 SQL注入攻击、XSS攻击 Web攻击进行防护,并具备基于 URL 的访问控制;HTTP协议合规;Web敏感信息防护;文件上传下载控制;Web 表单关键字过滤。网页挂马防护,Web shell 防护以及 web应用交付等功能。
部署方式:通常部署在 web应用服务器前进行防护IPS也能检测出部分web攻击,但没有WAF针对性强,所以根据防护对象不同选用不同设备,效果更好。
08 网络安全审计
定义:审计网络方面的相关内容。
功能:针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。
满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。
部署方式:采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。
09 数据库安全审计
定义:数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为。
功能:审计对数据库的各类操作,精确到每一条 SQL命令,并有强大的报表功能。
部署方式:采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。
10 日志审计
定义:集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。
功能:通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营。
部署方式:旁路模式部署。通常由设备发送日志到审计设备,或在服务器中安装代理,由代理发送日志到审计设备。
11 运维安全审计 ( 堡垒机 )
定义:在一个特定的网络环境下, 为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。
功能:主要是针对运维人员维护过程的全面跟踪、 控制、记录、回放,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。
部署方式:旁路模式部署。使用防火墙对服务器访问权限进行限制,只能通过堡垒机对网络设备/服务器/数据库等系统操作。
审计产品最终的目的都是审计,只不过是审计的内容不同而已,根据不同需求选择不同的审计产品,一旦出现攻击、非法操作、违规操作、误操作等行为,对事后处理提供有利证据。
12 入侵检测( IDS/APT)
定义:对入侵攻击行为进行检测,IDS只可以检测已知的威胁,APT既检测未知威胁为主,又可以检测已知威胁。
功能:通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
部署方式:采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到入侵检测设备。
入侵检测虽然是入侵攻击行为检测,但监控的同时也对攻击和异常数据进行了审计,入侵检测系统是等保三级中必配设备。
13 上网行为管理
定义:对上网行为进行管理
功能:对上网用户进行流量管理、上网行为日志进行审计、对应用软件或站点进行阻止或流量限制、关键字过滤等。
部署方式:网关部署、透明部署、旁路部署
网关部署:在中小型企业网络以上网行为管理为网关,可代替路由器或防火墙并同时具备上网行为管理功能
透明部署:大多数情况下,企业会选择透明部署模式,将设备部署在网关与核心交换之间,对上网数据进行管理
旁路部署:仅需要上网行为管理审计功能时,也可选择旁路部署模式,在核心交换机上配置镜像口将数据发送给上网行为管理。
上网行为管理应该属于网络优化类产品,流控功能是最重要的功能,随着技术的发展,微信认证、防便携式 wifi 等功能不断完善使之成为了网络管理员的最爱。
14 负载均衡
定义:将网络或应用多个工作分摊进行并同时完成,一般分为链路负载和应用负载 ( 服务器负载 )。
功能:确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群,扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
部署方式:旁路模式、网关模式、代理模式
旁路模式:通常使用负载均衡进行应用负载时,旁路部署在相关应用服务器交换机上,进行应用负载
网关模式:通常使用链路负载时,使用网关模式部署
随着各种业务的增加,负载均衡的使用也变得广泛,web应用负载,数据库负载都是比较常见的服务器负载。鉴于国内运营商比较恶心,互联互通问题较为严重,使用链路负载的用户也比越来越多。
15 漏洞扫描
定义:漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。
功能:根据自身漏洞库对目标进行脆弱性检测,并生产相关报告,提供漏洞修复意见等。一般企业使用漏洞扫描较少,主要是大型网络及等、分保检测机构使用较多。
部署方式:旁路部署, 通常旁路部署在核心交换机上,与检测目标网络可达即可。
16 异常流量清洗
定义: 过滤以Flood型为主攻击流量即DDoS攻击流量。
功能:对异常流量的牵引、 DDoS流量清洗、 P2P带宽控制、流量回注,也是现有针对 DDOS攻击防护的主要设备。
部署方式:旁路部署
17 网闸
定义:全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接, 并能够在网络间进行安全适度的应用数据交换的网络安全设备。
功能:主要是在两个网络之间做隔离并需要数据交换,网闸是具有中国特色的产品。
部署方式: 两个安全级别不同的两个网络之间
防火墙是保证网络层安全的边界安全工具,而安全隔离网闸重点是保护内部网络的安全,阻断网络中 tcp 等协议,使用私有协议进行数据交换。
网络安全建设的成熟度并不是意味着网络安全产品数量和种类的堆叠,建议从安全体系的角度合理规划、合理建设,尽量做到四个“W”,就是who(谁),what(做了什么、改了什么、拿了什么),where(数据拿到哪里去了),when(什么时候拿的)。完成事前预防,事中控制,事后可查安全工作。