網(wǎng)絡(luò)安全設(shè)備知識(shí)講解

最深入的網(wǎng)絡(luò)安全設(shè)備知識(shí)講解來(lái)源于:互聯(lián)網(wǎng)

觀念:在網(wǎng)絡(luò)上，主要的概念是:該如何做才能讓封包流量更快、更穩(wěn)。在資安上，主要的概念是:如何掌握、比對(duì)、判斷、控制封包。好吧~讓我們直接來(lái)看在一個(gè)網(wǎng)絡(luò)環(huán)境里，我們可以在哪些地方擺入資安設(shè)備:(設(shè)備實(shí)際擺設(shè)位置會(huì)因?yàn)楫a(chǎn)品不同與客戶環(huán)境而有所變動(dòng))是滴~任何網(wǎng)絡(luò)設(shè)備、任何網(wǎng)絡(luò)位置都可以看見(jiàn)資安設(shè)備的蹤影!為什么呢?因?yàn)樯厦嫣徇^(guò)，資安的概念是如何掌握、比對(duì)、判斷、控制封包!做個(gè)有趣的比喻，你可以想象一個(gè)原始封包就像個(gè)光著身子的美女，隨著OSI模式各層的設(shè)計(jì)師幫她穿上合適的衣服之后才讓它出門，VPN只能看見(jiàn)包裹著白布的木乃衣、Firewall可以看見(jiàn)去掉白布后穿著厚衣服的美女容貌、IPS可以從外套推測(cè)美女內(nèi)在的三圍、該死的VirusWall竟然有權(quán)可以對(duì)美女搜身、上網(wǎng)行為管理可以去掉白色的襯杉看美女身上的內(nèi)衣褲是否是老板希望的款式…好吧~我們聊的是NetworkSecurity，我必需就此打住!至少我們了解一件事，資安的Solution可以存在網(wǎng)絡(luò)的任何地上(SI知道一定很開心~生意做不完呀!)資安設(shè)備簡(jiǎn)介:接下來(lái)是針對(duì)各設(shè)備做常識(shí)性地說(shuō)明，讓大家對(duì)資安設(shè)備有一個(gè)全盤性的概念!(由于小弟碰的設(shè)備有限經(jīng)驗(yàn)也不足，僅對(duì)知道的一小部份說(shuō)明，任何錯(cuò)誤與不足，還望各前輩們指正)。Router:Router通常是Cisco的Router才能加上資安的解決方案，Cisco新一代Router都叫ISR(IntegratedServiceRouter)，可以整合IPS或Voice模塊，在外部的Router通常我們希望它扮演好Router的角色即可，而內(nèi)部買不動(dòng)一臺(tái)IPS設(shè)備時(shí)，會(huì)建議客戶從現(xiàn)有的Router上加上IPS模塊。。Switch:Switch一般也要到Core等級(jí)才可加入IPS模塊，就如同Router一樣，主要就是加上入侵偵測(cè)的功能，在客戶環(huán)境Switch效能ok，也不打算多買設(shè)備，可以加入模塊方式來(lái)保護(hù)網(wǎng)絡(luò)。。VPN:VPN即VirtualPrivateNetwork，顧名思義即是要達(dá)成一個(gè)虛擬的私人網(wǎng)絡(luò)，讓在兩個(gè)網(wǎng)域的計(jì)算機(jī)之間可以像在同一個(gè)網(wǎng)域內(nèi)溝通一樣。這代表的是必需做到外部網(wǎng)絡(luò)是不能存取或看見(jiàn)我們之間的封包傳送，而這兩個(gè)網(wǎng)域之間是可以輕易的相互使用網(wǎng)絡(luò)資源。要做到如此，VPN必需對(duì)流經(jīng)封包進(jìn)行加密，以讓對(duì)外傳輸過(guò)程不被外人有機(jī)看見(jiàn)傳輸內(nèi)容，相對(duì)的傳過(guò)去的目的地需要一臺(tái)解密的機(jī)器，可能也是一臺(tái)VNP或是一個(gè)裝在notebook上的軟件。也因?yàn)閭鬏斶^(guò)程加密之故，許多希望在傳輸上更安全的需求，也都會(huì)尋求VPN。VPN的發(fā)展到現(xiàn)在，主要市場(chǎng)以SSLVPN的運(yùn)作，因?yàn)榭梢岳矛F(xiàn)有的客戶端程序(如IE)即可完成加密、解密、驗(yàn)證的程序，使用端不需一臺(tái)VPN機(jī)器，或是client端程序，在導(dǎo)入一個(gè)環(huán)境最容易，使用上也最簡(jiǎn)便。。FireWall:FireWall肯定是最古老的資安產(chǎn)品，但!也是最經(jīng)典的產(chǎn)品，簡(jiǎn)單的說(shuō)，它就像Port的開關(guān)，如上圖firewall左邊的port可能1~65535都有，但封包想流進(jìn)來(lái)~嘿!得先問(wèn)問(wèn)Firewall老大哥，這里他只開放了25,80,443的流量進(jìn)來(lái)，其它都別想!!Firewall的第二個(gè)大功能就是可以區(qū)別網(wǎng)段，如上圖的DMZ也可以從Firewall切出來(lái)，如此可以確保網(wǎng)絡(luò)封包的流向，當(dāng)流量從外面進(jìn)來(lái)觀顧時(shí)，只允許流到DMZ區(qū)，不可能流至內(nèi)部區(qū)網(wǎng)內(nèi)，避免外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)封包混雜。第三個(gè)功能，也就是能區(qū)別從Router上設(shè)ACL的功能，SPI(StatefulPacketInspection)封包狀態(tài)檢查，可快速地檢查封包的來(lái)源與目的地址、通訊協(xié)議、通訊port、封包狀態(tài)、或其它標(biāo)頭信息，以判斷允許或拒絕!。IPS/IDS:這仍然是很年輕的產(chǎn)品，一開始叫IDS(IntrusionDetectionSystem)入侵偵測(cè)系統(tǒng)，顧名思義:在有人攻擊或入侵到我的土地內(nèi)之后我會(huì)知道，是一個(gè)可以偵測(cè)出有沒(méi)有人入侵這個(gè)事件!后來(lái)人們體會(huì)到，壞人都跑進(jìn)我家了我才知道，有沒(méi)有可能在偵測(cè)到的同時(shí)做出抵制的動(dòng)作呢?于是IPS(IntrusionPreventionSystem)入侵防御系統(tǒng)就誕生了，在IPS中寫入pattern，當(dāng)流經(jīng)的封包比對(duì)pattern后確定為攻擊行為，馬上對(duì)該封包丟棄或阻斷來(lái)源聯(lián)機(jī)。一般IPS系統(tǒng)都不只一個(gè)網(wǎng)段，如上圖，可以擺在Firewall前面更積極地阻擋對(duì)Firewall的攻擊，或是于Firewall之后，直接比對(duì)流經(jīng)合法port后進(jìn)來(lái)的流量是否為攻擊行為，也可分析流出封包(了解內(nèi)部員工上網(wǎng)行為、情況)。在真實(shí)情況是否要將IPS擺在firewall之前要看硬件throughput，看哪一臺(tái)的效能好就擺前面吧^^通常IPS的測(cè)試期比較長(zhǎng)，因?yàn)樵诃h(huán)境內(nèi)開啟IPS規(guī)則后會(huì)有”誤判”情形!實(shí)屬正常，除非開的規(guī)則太寬松，否則有正常的封包被擋是正常不過(guò)的，這時(shí)我們就需要對(duì)規(guī)則調(diào)校，所以測(cè)IPS是磨工程師的大好機(jī)會(huì)!運(yùn)氣不好，要對(duì)每一個(gè)有問(wèn)題的計(jì)算機(jī)、程序手動(dòng)抓封包來(lái)k~~嘿~就當(dāng)是練工吧^^。VirusWall:VirusWall是較簡(jiǎn)單的產(chǎn)品，概念就是將防毒引擎放在Gateway，讓所有流經(jīng)的封包都能比對(duì)過(guò)引擎內(nèi)的病毒特征。說(shuō)到這，大家應(yīng)該知道評(píng)估ViruWall的重點(diǎn)了!。什么防毒引擎。掃毒速度快或慢防毒永遠(yuǎn)沒(méi)有人敢打包票可以100%防毒!純粹是機(jī)率問(wèn)題，每家的防毒率都不一定，能補(bǔ)足的最簡(jiǎn)單方法就是導(dǎo)入與原有環(huán)境不同的防毒引擎!如原有client端用的是norton，于是viruswall就找一家卡巴的^^或前方UTM用趨勢(shì)的，還可導(dǎo)入McAfee的viruswallVirusWall對(duì)裝機(jī)工程師而言是很簡(jiǎn)單的產(chǎn)品，只需留意客戶希望對(duì)哪些Port的流量進(jìn)行掃毒，難的是背后更新病毒碼的RD們~我只能說(shuō)，RD們辛苦了!!。WebSecurityWebSecurity單純地過(guò)濾Web流量中的封包，針對(duì)每個(gè)要求的URL比對(duì)數(shù)據(jù)庫(kù)是否為危險(xiǎn)、或釣魚、惡意的目的URL，是的話就直接阻擋聯(lián)機(jī)。如果連到了目的地之后，可能因?yàn)榕R時(shí)被駭或數(shù)據(jù)庫(kù)內(nèi)沒(méi)有該筆URL，回來(lái)的封包再經(jīng)一次病毒引擎的掃描，由于是針對(duì)Web，所以病毒引擎要挑在惡意網(wǎng)站分析較強(qiáng)的引擎。簡(jiǎn)單的說(shuō)，怕user上網(wǎng)中毒、或釣魚網(wǎng)站被受騙，需要導(dǎo)入這個(gè)設(shè)備^^。ApplicationFirewall對(duì)于很重視網(wǎng)頁(yè)運(yùn)作服務(wù)的公司，對(duì)于這項(xiàng)設(shè)備應(yīng)該較有興趣。較簡(jiǎn)單的例子是在做滲透測(cè)試時(shí)，總是會(huì)在客戶的Web網(wǎng)頁(yè)可輸入的地方try一下SQL語(yǔ)，當(dāng)把這設(shè)備放在WebServer之前，你的語(yǔ)法會(huì)頓時(shí)失效，好吧~這時(shí)會(huì)再試一下XSS、cookie、session…呵~時(shí)常是沒(méi)有成效的試驗(yàn)@@即使WebServer運(yùn)行的IIS或Apache未更新，擁有眾所周知的漏洞，仍然阻擋住該漏洞的攻擊。當(dāng)然!就如之前提過(guò)的，資安是機(jī)率問(wèn)題，它可以降低被攻擊機(jī)率，但不可能無(wú)敵!。SpamWall:電子郵件是一個(gè)很棒的廣告途徑，但隨著信息愈來(lái)愈發(fā)達(dá)，越來(lái)越多的生意靠著e-mail來(lái)廣告，慢慢的，使用者感受到過(guò)多的e-mail造成的不便，于是擋垃圾信的設(shè)備就誕生啦~可以叫Anti-spam或Spamwall。一開始的spam單純地阻擋垃圾郵件，但許多黑客發(fā)現(xiàn)了這個(gè)管道，也利用mail，大量發(fā)送釣魚連結(jié)、附加病毒文件、惡意連結(jié)…的信件，于是anti-spam也開始重視對(duì)mail的掃毒。一臺(tái)好的spam設(shè)備在選擇上要效能好(承受郵件攻擊)，誤判率低、有黑、灰、白名單，使用簡(jiǎn)單^^。UTM/ASA:大補(bǔ)帖UTM(UnifiedThreatManagement)統(tǒng)一威脅管理設(shè)備，其功能包山包海，如上圖的紅色部份為一般UTM設(shè)備可能擁有的功能，會(huì)依廠牌所制定的功能而定。概念就是以FireWall為核心，加入各式資安功能!如Cisco的ASA就是以firewall為中心，可加入防毒模塊或是IPS模塊。一般是比較建議在300人以內(nèi)的環(huán)境使用UTM，簡(jiǎn)單又大碗!但，在環(huán)境較大的情況下，還是建議將各別功能由各別設(shè)備運(yùn)作。原因很簡(jiǎn)單，一樣的防毒引擎來(lái)說(shuō)好了，UTM的特征碼肯定沒(méi)有單純VirusWall的特征碼來(lái)的多!縱使廠商聲稱一樣，實(shí)際測(cè)試便知高下^^。SIM/MARS:躲在右上角的設(shè)備名叫SIM(SecurityInformationManagement)資安訊息管理，或如Cisco較貼切的命名:MARS(MonitoringAnalysisandReportingSystem)，雖然在網(wǎng)絡(luò)的一小角，卻能掌控所有設(shè)備情況!這是一臺(tái)很了不起的設(shè)備!可能會(huì)有人覺(jué)得各個(gè)部份都已有設(shè)備進(jìn)行相關(guān)阻擋了!我干麻花大錢來(lái)做Report呢?讓我們先了解它需做到什么樣的功能，第一個(gè)就是收l(shuí)og的功能，它需要將各設(shè)備的訊息收進(jìn)在一起，Switch,Router,IPS,Firewall,viruswall…，我們必需相信，不可能環(huán)境內(nèi)所有設(shè)備都是同一家品牌，所以一定要支持各式阿狗阿貓的牌子!第二個(gè)功能是出Report，將所有設(shè)備的訊息信息串連在一起，做出各式各個(gè)階層或部門看的Report。較進(jìn)階的設(shè)備還可做到第三個(gè)功能，可以協(xié)同防御!!判斷威脅在哪里，直接可以對(duì)各網(wǎng)絡(luò)設(shè)備、資安設(shè)備下達(dá)合適的防御指令或政策。這臺(tái)設(shè)備通常價(jià)位相當(dāng)高!原因是他需要大量的support(各家廠牌)，除此之外，還需要精確的分析判斷、并組織各設(shè)備回報(bào)訊息什么是誤判?什么是威脅?并實(shí)時(shí)通知相關(guān)人員，且建議合適的作法。。上網(wǎng)行為管理:上網(wǎng)行為管理設(shè)備在配置上有兩種方式，InlineMode(配置在GateWay)或是MirrorMode(配置在CoreSwitch)，上圖是從CoreSwitch直接Mirror流量的方式，兩種方式各有優(yōu)缺，從Gateway在進(jìn)行阻擋時(shí)較快且直接!但設(shè)備掛掉時(shí)要考慮hardwarebypass的功力!而Mirror好處是完全不改變?cè)屑軜?gòu)導(dǎo)入很容易，但是在進(jìn)行阻擋時(shí)，需同時(shí)送封包給遠(yuǎn)方目的server與來(lái)源client聯(lián)機(jī)，網(wǎng)絡(luò)頻寬資源較吃!到底哪個(gè)好，還是依環(huán)境而定。這個(gè)設(shè)備的主要功能就是要看內(nèi)部使用者的上網(wǎng)情況，進(jìn)而進(jìn)行管理。比如結(jié)合內(nèi)部ADServer之后，可以管制愛(ài)搞鬼的RD部門不能用P2P、苦悶的工程部不能上色情類網(wǎng)站、愛(ài)事非的會(huì)計(jì)部們不能開IM聊天…。也有公司應(yīng)用AD身份驗(yàn)證功能，沒(méi)有登入AD就沒(méi)有網(wǎng)絡(luò)可用^^(真是厲害呀)。側(cè)錄:側(cè)錄的概念就像你家附近、或銀行內(nèi)的監(jiān)視系統(tǒng)，將看的見(jiàn)的事情一一記錄。這包括了你信箱內(nèi)的內(nèi)容、你的聊天記錄、你上過(guò)哪些網(wǎng)站、抓了哪些圖片、即使是FTP的檔案，全部都能一一還原，全部重現(xiàn)!!也由于要對(duì)全部數(shù)據(jù)、流量、封包，對(duì)儲(chǔ)存系統(tǒng)是很大的負(fù)擔(dān)!錄的愈多，備份的時(shí)間就愈短。所以實(shí)務(wù)上會(huì)將側(cè)錄設(shè)備裝置如上圖，可能是從IPS過(guò)濾封包后，從IPS強(qiáng)力的封包比對(duì)能力后，挑選只想側(cè)錄的封包內(nèi)容，如只錄Web流量、或只錄FTP流量。另一種方式是從上網(wǎng)行為管理設(shè)備上，得知某個(gè)ip或是某個(gè)使用者老是在看色情網(wǎng)，嘿~就來(lái)把它上的過(guò)程全錄下吧!!我們也常開玩笑，如果MIS知道公司內(nèi)誰(shuí)是股市好手，可以跟著下單!哈~當(dāng)然!這也牽涉到了隱私權(quán)的問(wèn)題，導(dǎo)入時(shí)常需與公司政策搭配。。NAC:NAC(NetworkAccessControl)網(wǎng)絡(luò)存取控制設(shè)備，通常設(shè)置在Gateway與client的交界處，目的是讓所有從Client進(jìn)來(lái)的設(shè)備，想存取其上方的網(wǎng)絡(luò)時(shí)，都要經(jīng)過(guò)它的允許(可能是結(jié)合AD的認(rèn)證或是網(wǎng)頁(yè)驗(yàn)證)，這就是最原始NAC在做的事。隨著市場(chǎng)的發(fā)展，通常還需外加新的功能，才能讓客戶接受。需擁有可以保護(hù)client端的能力，本身可以上一些patch讓client來(lái)更新，如Windows的更新patch、或是某些防毒軟件的patch，以保設(shè)EndUser的安全，進(jìn)而保護(hù)整個(gè)網(wǎng)絡(luò)。呵~我猜想未來(lái)可會(huì)看到類似的新名詞，叫CAP(ClientAccessProtect)。。WirelessControl:對(duì)于無(wú)線的管理可能是許多人的痛，這種設(shè)備的目的就是要掌控你領(lǐng)空的封包流量?？赡茏龇ㄓ性S多種，我僅以我碰過(guò)的例子說(shuō)明。在ServerGroup找一臺(tái)Server安裝主控端軟件，再于想偵測(cè)的邊界點(diǎn)放置Sensor，比如在公司的樓的三個(gè)點(diǎn)擺了三個(gè)Sensor，再搭配goolgemap抓下公司的衛(wèi)星圖，再給予適當(dāng)?shù)谋壤叽绾螅梢栽赟erver上看見(jiàn)，在地圖的什么地方有什么樣的無(wú)線訊號(hào)、訊號(hào)強(qiáng)弱、SSID…等相關(guān)信息，要終止其與AP聯(lián)機(jī)時(shí)，只需各送出一個(gè)reset封包即可，真是屌呀!(不過(guò)價(jià)位不低~呵~)。IPAM:對(duì)于一些環(huán)境較大，需要?jiǎng)討B(tài)的讓user使用網(wǎng)絡(luò)資源，或是…或是MIS太懶，使用DHCP環(huán)境時(shí)，要管理動(dòng)態(tài)IP是哪一臺(tái)計(jì)算機(jī)在用、或是哪一個(gè)人在用，這就是很棒的解決方法。IPAM(IPAnalysisManagement)IP分析管理設(shè)備，提供DHCP環(huán)境內(nèi)，Mac與IP存取的列表，當(dāng)環(huán)境中有AD或是RADIUS時(shí)，可以看見(jiàn)的記錄將是:時(shí)間-Mac-IP-User資料表的關(guān)鏈可以讓管理者快速追縱誰(shuí)在用這個(gè)IP，所以設(shè)備中也常將環(huán)境中的DNSServer、DHCPServer整合在一起，加強(qiáng)信息的連貫性。。BandwidthMonitor:你可以試著問(wèn)MIS，我們環(huán)境平常的流量大概是多少?時(shí)常得到不知道怎么測(cè)之類的答案。BandwidthMonitor這項(xiàng)設(shè)備的功能就是提供MIS所有網(wǎng)絡(luò)環(huán)境的頻寬使用量。由于專攻頻寬使用量的分析，可以細(xì)致到如:總頻寬使用量、各軟件使用量、各ip使用量、單獨(dú)ip頻寬用量、單獨(dú)ip軟件使用量、protocol的流量、User名稱的使用量、群組的使用量、Domain的使用量。對(duì)于MIS