安全設(shè)備名詞

WAFweb應(yīng)用防火墻WAF（webapplicationfirewall）的出現(xiàn)是由于傳統(tǒng)防火墻無法對應(yīng)用層的攻擊進行有效抵抗，并且IPS也無法從根本上防護應(yīng)用層的攻擊。因此出現(xiàn)了保護Web應(yīng)用安全的Web應(yīng)用防火墻系統(tǒng)(簡稱“WAF”)。WAF是一種基礎(chǔ)的安全保護模塊，通過特征提取和分塊檢索技術(shù)進行特征匹配，主要針對HTTP訪問的Web程序保護。WAF部署在Web應(yīng)用程序前面，在用戶請求到達Web服務(wù)器前對用戶請求進行掃描和過濾，分析并校驗每個用戶請求的網(wǎng)絡(luò)包，確保每個用戶請求有效且安全，對無效或有攻擊行為的請求進行阻斷或隔離。通過檢查HTTP流量，可以防止源自Web應(yīng)用程序的安全漏洞（如SQL注入，跨站腳本（XSS），文件包含和安全配置錯誤）的攻擊。防火墻Firewall在計算機科學(xué)領(lǐng)域中，防火墻（英文：Firewall）是一個架設(shè)在互聯(lián)網(wǎng)與企業(yè)內(nèi)網(wǎng)之間的信息安全系統(tǒng)，根據(jù)企業(yè)預(yù)定的策略來監(jiān)控往來的傳輸。防火墻可能是一臺專屬的網(wǎng)絡(luò)設(shè)備或是運行于主機上來檢查各個網(wǎng)絡(luò)接口上的網(wǎng)絡(luò)傳輸。它是目前最重要的一種網(wǎng)絡(luò)防護設(shè)備，從專業(yè)角度來說，防火墻是位于兩個(或多個)網(wǎng)絡(luò)間，實行網(wǎng)絡(luò)間訪問或控制的一組組件集合之硬件或軟件。功能防火墻最基本的功能就是隔離網(wǎng)絡(luò)，通過將網(wǎng)絡(luò)劃分成不同的區(qū)域（通常情況下稱為ZONE），制定出不同區(qū)域之間的訪問控制策略來控制不同信任程度區(qū)域間傳送的數(shù)據(jù)流。類型網(wǎng)絡(luò)層(數(shù)據(jù)包過濾型)防火墻運作于TCP/IP協(xié)議堆棧上。管理者會先根據(jù)企業(yè)/組織的策略預(yù)先設(shè)置好數(shù)據(jù)包通過的規(guī)則或采用內(nèi)置規(guī)則，只允許匹配規(guī)則的數(shù)據(jù)包通過。應(yīng)用層防火墻應(yīng)用層防火墻是在TCP/IP堆棧的“應(yīng)用層”上運作，使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用FTP時的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進出某應(yīng)用程序的所有數(shù)據(jù)包，并且封鎖其他的數(shù)據(jù)包(通常是直接將數(shù)據(jù)包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進受保護的機器里。代理服務(wù)代理（Proxy）服務(wù)器（可以是一臺專屬的網(wǎng)絡(luò)設(shè)備，或是在一般電腦上的一套軟件）采用應(yīng)用程序的運作方式，回應(yīng)其所收到的數(shù)據(jù)包（例：連接要求）來實現(xiàn)防火墻的功能，而封鎖/拋棄其他數(shù)據(jù)包。缺點正常狀況下，所有互聯(lián)網(wǎng)的數(shù)據(jù)包軟件都應(yīng)經(jīng)過防火墻的過濾，這將造成網(wǎng)絡(luò)交通的瓶頸。例如在攻擊性數(shù)據(jù)包出現(xiàn)時，攻擊者會不時寄出數(shù)據(jù)包，讓防火墻疲于過濾數(shù)據(jù)包，而使一些合法數(shù)據(jù)包軟件亦無法正常進出防火墻。IDS入侵檢測系統(tǒng)IDS是英文“IntrusionDetectionSystems”的縮寫，中文意思是“入侵檢測系統(tǒng)”。專業(yè)上講就是依照一定的安全策略，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機密性、完整性和可用性。假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進入大樓，或內(nèi)部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。部署位置選擇對IDS的部署唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里，”所關(guān)注流量”指的是來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進行統(tǒng)計、監(jiān)視的網(wǎng)絡(luò)報文。在如今的網(wǎng)絡(luò)拓撲中，已經(jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在：盡可能靠近攻擊源；這些位置通常是：服務(wù)器區(qū)域的交換機上；Internet接入路由器之后的第一臺交換機上；重點保護網(wǎng)段的局域網(wǎng)交換機上防火墻和IDS可以分開操作，IDS是個臨控系統(tǒng)，可以自行選擇合適的，或是符合需求的，比如發(fā)現(xiàn)規(guī)則或監(jiān)控不完善，可以更改設(shè)置及規(guī)則，或是重新設(shè)置！主要組成部分事件產(chǎn)生器，從計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件；事件分析器，分析數(shù)據(jù)；響應(yīng)單元，發(fā)出警報或采取主動反應(yīng)措施；事件數(shù)據(jù)庫，存放各種數(shù)據(jù)。主要任務(wù)主要任務(wù)包括：監(jiān)視、分析用戶及系統(tǒng)活動；審計系統(tǒng)構(gòu)造和弱點；識別、反映已知進攻的活動模式,向相關(guān)人士報警；統(tǒng)計分析異常行為模式；評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；審計、跟蹤管理操作系統(tǒng)，識別用戶違反安全策略的行為。工作流程（1）信息收集信息收集的內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。入侵檢測利用的信息一般來自系統(tǒng)日志、目錄以及文件中的異常改變、程序執(zhí)行中的異常行為及物理形式的入侵信息4個方面。（2）數(shù)據(jù)分析數(shù)據(jù)分析是入侵檢測的核心。它首先構(gòu)建分析器，把收集到的信息經(jīng)過預(yù)處理，建立一個行為分析引擎或模型，然后向模型中植入時間數(shù)據(jù)，在知識庫中保存植入數(shù)據(jù)的模型。數(shù)據(jù)分析一般通過模式匹配、統(tǒng)計分析和完整性分析3種手段進行。前兩種方法用于實時入侵檢測，而完整性分析則用于事后分析。可用5種統(tǒng)計模型進行數(shù)據(jù)分析：操作模型、方差、多元模型、馬爾柯夫過程模型、時間序列分析。統(tǒng)計分析的最大優(yōu)點是可以學(xué)習(xí)用戶的使用習(xí)慣。（3）實時記錄、報警或有限度反擊入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后會及時做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。響應(yīng)一般分為主動響應(yīng)（阻止攻擊或影響進而改變攻擊的進程）和被動響應(yīng)（報告和記錄所檢測出的問題）兩種類型。主動響應(yīng)由用戶驅(qū)動或系統(tǒng)本身自動執(zhí)行，可對入侵者采取行動（如斷開連接）、修正系統(tǒng)環(huán)境或收集有用信息；被動響應(yīng)則包括告警和通知、簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）陷阱和插件等。另外，還可以按策略配置響應(yīng)，可分別采取立即、緊急、適時、本地的長期和全局的長期等行動。缺點（1）誤報、漏報率高（2）沒有主動防御能力（3）不能解析加密數(shù)據(jù)流IPS入侵防御系統(tǒng)入侵預(yù)防系統(tǒng)（IntrusionPreventionSystem，IPS），又稱為入侵偵測與預(yù)防系統(tǒng)（intrusiondetectionandpreventionsystems，IDPS），是計算機網(wǎng)絡(luò)安全設(shè)施，是對防病毒軟件（AntivirusSoftwares）和防火墻的補充。入侵預(yù)防系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)傳輸行為的計算機網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)數(shù)據(jù)傳輸行為。IPS出現(xiàn)的原因？雖然防火墻可以根據(jù)英特網(wǎng)地址（IP-Addresses）或服務(wù)端口（Ports）過濾數(shù)據(jù)包。但是，它對于利用合法網(wǎng)址和端口而從事的破壞活動則無能為力。因為，防火墻極少深入數(shù)據(jù)包檢查內(nèi)容。在ISO/OSI網(wǎng)絡(luò)層次模型（見OSI模型）中，防火墻主要在第二到第四層起作用，它的作用在第四到第七層一般很微弱。而除病毒軟件主要在第五到第七層起作用。為了彌補防火墻和除病毒軟件二者在第四到第五層之間留下的空檔，幾年前，工業(yè)界已經(jīng)有入侵檢測系統(tǒng)投入使用。入侵偵查系統(tǒng)在發(fā)現(xiàn)異常情況后及時向網(wǎng)絡(luò)安全管理人員或防火墻系統(tǒng)發(fā)出警報?？上н@時災(zāi)害往往已經(jīng)形成。雖然，亡羊補牢，尤未為晚，但是，防衛(wèi)機制最好應(yīng)該是在危害形成之前先期起作用。隨后應(yīng)運而生的入侵反應(yīng)系統(tǒng)（IRS:IntrusionResponseSystems）作為對入侵偵查系統(tǒng)的補充能夠在發(fā)現(xiàn)入侵時，迅速做出反應(yīng)，并自動采取阻止措施。而入侵預(yù)防系統(tǒng)則作為二者的進一步發(fā)展，汲取了二者的長處。工作流程入侵預(yù)防系統(tǒng)專門深入網(wǎng)絡(luò)數(shù)據(jù)內(nèi)部，查找它所認識的攻擊代碼特征，過濾有害數(shù)據(jù)流，丟棄有害數(shù)據(jù)包，并進行記載，以便事后分析。除此之外，更重要的是，大多數(shù)入侵預(yù)防系統(tǒng)同時結(jié)合考慮應(yīng)用程序或網(wǎng)絡(luò)傳輸層的異常情況，來輔助識別入侵和攻擊。比如，用戶或用戶程序違反安全條例、數(shù)據(jù)包在不應(yīng)該出現(xiàn)的時段出現(xiàn)、操作系統(tǒng)或應(yīng)用程序弱點的空子正在被利用等等現(xiàn)象。入侵預(yù)防系統(tǒng)雖然也考慮已知病毒特征，但是它并不僅僅依賴于已知病毒特征。應(yīng)用入侵預(yù)防系統(tǒng)的目的在于及時識別攻擊程序或有害代碼及其克隆和變種，采取預(yù)防措施，先期阻止入侵，防患于未然?；蛘咧辽偈蛊湮：π猿浞纸档?。入侵預(yù)防系統(tǒng)一般作為防火墻和防病毒軟件的補充來投入使用。在必要時，它還可以為追究攻擊者的刑事責(zé)任而提供法律上有效的證據(jù)（forensic）。入侵預(yù)防技術(shù)異常偵查。正如入侵偵查系統(tǒng)，入侵預(yù)防系統(tǒng)知道正常數(shù)據(jù)以及數(shù)據(jù)之間關(guān)系的通常的樣子，可以對照識別異常。在遇到動態(tài)代碼（ActiveX，JavaApplet，各種指令語言scriptlanguages等等）時，先把它們放在沙盤內(nèi)，觀察其行為動向，如果發(fā)現(xiàn)有可疑情況，則停止傳輸，禁止執(zhí)行。有些入侵預(yù)防系統(tǒng)結(jié)合協(xié)議異常、傳輸異常和特征偵查，對通過網(wǎng)關(guān)或防火墻進入網(wǎng)絡(luò)內(nèi)部的有害代碼實行有效阻止。內(nèi)核基礎(chǔ)上的防護機制。用戶程序通過系統(tǒng)指令享用資源（如存儲區(qū)、輸入輸出設(shè)備、中央處理器等）。入侵預(yù)防系統(tǒng)可以截獲有害的系統(tǒng)請求。對Library、Registry、重要文件和重要的文件夾進行防守和保護。IPS的優(yōu)勢同時具備檢測和防御功能IPS不僅能檢測攻擊還能阻止攻擊，做到檢測和防御兼顧，而且是在入口處就開始檢測，而不是等到進入內(nèi)部網(wǎng)絡(luò)后再檢測，這樣，檢測效率和內(nèi)網(wǎng)的安全性都大大提高。可檢測到IDS檢測不到的攻擊行為IPS是在應(yīng)用層的內(nèi)容檢測基礎(chǔ)上加上主動響應(yīng)和過濾功能，彌補了傳統(tǒng)的防火墻+IDS方案不能完成更多內(nèi)容檢查的不足，填補了網(wǎng)絡(luò)安全產(chǎn)品基于內(nèi)容的安全檢查的空白IPS是一種失效既阻斷機制當(dāng)IPS被攻擊失效后，它會阻斷網(wǎng)絡(luò)連接，就像防火墻一樣，使被保護資源與外界隔斷。SOC安全運營中心SOC，全稱是SecurityOperationsCenter，是一個以IT資產(chǎn)為基礎(chǔ)，以業(yè)務(wù)信息系統(tǒng)為核心，以客戶體驗為指引，從監(jiān)控、審計、風(fēng)險和運維四個維度建立起來的一套可度量的統(tǒng)一業(yè)務(wù)支撐平臺，使得各種用戶能夠?qū)I(yè)務(wù)信息系統(tǒng)進行可用性與性能的監(jiān)控、配置與事件的分析審計預(yù)警、風(fēng)險與態(tài)勢的度量與評估、安全運維流程的標準化、例行化和常態(tài)化，最終實現(xiàn)業(yè)務(wù)信息系統(tǒng)的持續(xù)安全運營。本質(zhì)上，SOC不是一款單純的產(chǎn)品，而是一個復(fù)雜的系統(tǒng)，他既有產(chǎn)品，又有服務(wù)，還有運維(運營)，SOC是技術(shù)、流程和人的有機結(jié)合。SOC產(chǎn)品是SOC系統(tǒng)的技術(shù)支撐平臺，這是SOC產(chǎn)品的價值所在。為什么會出現(xiàn)SOC？過去我們都讓安全專家來管理各種類型的防火墻、IDS和諸如此類的安全措施，這主要是因為安全問題一般都發(fā)生在網(wǎng)絡(luò)中非常具體的某個地點。但是，現(xiàn)在的情況已經(jīng)變化，安全問題已經(jīng)不再像當(dāng)年那么簡單。安全是一個動態(tài)的過程，因為敵方攻擊手段在變，攻擊方法在變，漏洞不斷出現(xiàn)；我方業(yè)務(wù)在變，軟件在變，人員在變，妄圖通過一個系統(tǒng)、一個方案解決所有的問題是不現(xiàn)實的，也是不可能的，安全需要不斷地運營、持續(xù)地優(yōu)化。安全措施應(yīng)當(dāng)被實施在應(yīng)用層、網(wǎng)絡(luò)層和存儲層上。它已經(jīng)成為您的端對端應(yīng)用服務(wù)中的一部分，與網(wǎng)絡(luò)性能的地位非常接近。安全管理平臺在未來安全建設(shè)中的地位尤其重要，它能夠站在管理者的角度去‘俯瞰’整個安全體系建設(shè)，對其中每一層產(chǎn)品都可以進行全面、集中、統(tǒng)一的監(jiān)測、調(diào)度和指揮控制。可以說，未來的態(tài)勢感知的根基就是安全管理平臺。主要功能面向業(yè)務(wù)的統(tǒng)一安全管理系統(tǒng)內(nèi)置業(yè)務(wù)建模工具，用戶可以構(gòu)建業(yè)務(wù)拓撲，反映業(yè)務(wù)支撐系統(tǒng)的資產(chǎn)構(gòu)成，并自動構(gòu)建業(yè)務(wù)健康指標體系，從業(yè)務(wù)的性能與可用性、業(yè)務(wù)的脆弱性和業(yè)務(wù)的威脅三個維度計算業(yè)務(wù)的健康度，協(xié)助用戶從業(yè)務(wù)的角度去分析業(yè)務(wù)可用性、業(yè)務(wù)安全事件和業(yè)務(wù)告警。全面的日志采集可以通過多種方式來收集設(shè)備和業(yè)務(wù)系統(tǒng)的日志，例如Syslog、SNMPTrap、FTP、OPSECLEA、NETBIOS、ODBC、WMI、Shell腳本、WebService等等。智能化安全事件關(guān)聯(lián)分析借助先進的智能事件關(guān)聯(lián)分析引擎，系統(tǒng)能夠?qū)崟r不間斷地對所有范式化后的日志流進行安全事件關(guān)聯(lián)分析。系統(tǒng)為安全分析師提供了三種事件關(guān)聯(lián)分析技術(shù)，分別是：基于規(guī)則的關(guān)聯(lián)分析、基于情境的關(guān)聯(lián)分析和基于行為的關(guān)聯(lián)分析，并提供了豐富的可視化安全事件分析視圖，充分提升分析效率，結(jié)合威脅情報，更好的幫助安全分析師發(fā)現(xiàn)安全問題。全面的脆弱性管理系統(tǒng)實現(xiàn)與天鏡漏掃、網(wǎng)御漏掃和綠盟漏掃系統(tǒng)的實時高效聯(lián)動，內(nèi)置安全配置核查功能，從技術(shù)和管理兩個維度進行全面的資產(chǎn)和業(yè)務(wù)脆弱性管控。主動化的預(yù)警管理用戶可以通過預(yù)警管理功能發(fā)布內(nèi)部及外部的早期預(yù)警信息，并與網(wǎng)絡(luò)中的IP資產(chǎn)進行關(guān)聯(lián)，分析出可能受影響的資產(chǎn)，提前讓用戶了解業(yè)務(wù)系統(tǒng)可能遭受的攻擊和潛在的安全隱患。系統(tǒng)支持內(nèi)部預(yù)警和外部預(yù)警；預(yù)警類型包括安全通告、攻擊預(yù)警、漏洞預(yù)警和病毒預(yù)警等；預(yù)警信息包括預(yù)備預(yù)警、正式預(yù)警和歸檔預(yù)警三個狀態(tài)。主動化的網(wǎng)絡(luò)威脅情報利用系統(tǒng)提供主動化的威脅情報采集，通過采集實時威脅情報，結(jié)合規(guī)則關(guān)聯(lián)和觀察列表等分析方式，使安全管理人員及時發(fā)現(xiàn)來自己發(fā)現(xiàn)的外部攻擊源的威脅?；陲L(fēng)險矩陣的量化安全風(fēng)險評估系統(tǒng)參照GB/T20984-2007信息安全風(fēng)險評估規(guī)范、ISO27005:2008信息安全風(fēng)險管理，以及OWASP威脅建模項目中風(fēng)險計算模型的要求，設(shè)計了一套實用化的風(fēng)險計算模型，實現(xiàn)了量化的安全風(fēng)險估算和評估。指標化宏觀態(tài)勢感知針對系統(tǒng)收集到的海量安全事件，系統(tǒng)借助地址熵分析、熱點分析、威脅態(tài)勢分析、KPI分析等數(shù)據(jù)挖掘技術(shù)，幫助管理員從宏觀層面把握整體安全態(tài)勢，對重大威脅進行識別、定位、預(yù)測和跟蹤。多樣的安全響應(yīng)管理系統(tǒng)具備完善的響應(yīng)管理功能，能夠根據(jù)用戶設(shè)定的各種觸發(fā)條件，通過多種方式（例如郵件、短信、聲音、SNMPTrap、即時消息、工單等）通知用戶，并觸發(fā)響應(yīng)處理流程，直至跟蹤到問題處理完畢，從而實現(xiàn)安全事件的閉環(huán)管理。豐富靈活的報表報告出具報表報告是安全管理平臺的重要用途，系統(tǒng)內(nèi)置了豐富的報表模板，包括統(tǒng)計報表、明細報表、綜合審計報告，審計人員可以根據(jù)需要生成不同的報表。系統(tǒng)內(nèi)置報表生成調(diào)度器，可以定時自動生成日報、周報、月報、季報、年報，并支持以郵件等方式自動投遞，支持以PDF、Excel、Word等格式導(dǎo)出，支持打印。系統(tǒng)還內(nèi)置一套報表編輯器，用戶可以自行設(shè)計報表，包括報表的頁面版式、統(tǒng)計內(nèi)容、顯示風(fēng)格等流安全分析除了采集各類安全事件，系統(tǒng)還能夠采集形如NetFlow的流量數(shù)據(jù)并進行可視化展示。針對采集來的NetFlow流量數(shù)據(jù)的分析，系統(tǒng)能夠建立網(wǎng)絡(luò)流量模型，通過泰合特有的基于流量基線的分析算法，發(fā)現(xiàn)網(wǎng)絡(luò)異常行為。知識管理系統(tǒng)具有國內(nèi)完善的安全管理知識庫系統(tǒng)，內(nèi)容涵蓋安全事件庫、安全策略庫、安全公告庫、預(yù)警信息庫、漏洞庫、關(guān)聯(lián)規(guī)則庫、處理預(yù)案庫、案例庫、報表庫等，并提供定期或者不定期的知識庫升級服務(wù)。用戶管理系統(tǒng)采用三權(quán)分立的管理體制，默認設(shè)置了用戶管理員、系統(tǒng)管理員、審計管理員分別管理。系統(tǒng)用戶管理采用基于角色的訪問控制策略，即依據(jù)對系統(tǒng)中角色行為來限制對資源的訪問。自身系統(tǒng)管理實現(xiàn)了系統(tǒng)自身安全及維護管理。主要包括組織管理、系統(tǒng)數(shù)據(jù)庫及功能組件運行狀態(tài)監(jiān)控、日志維護及其他一些與系統(tǒng)本身相關(guān)的運行維護的管理和配置功能。一體化的安全管控界面系統(tǒng)提供了強大的一體化安全管控功能界面，為不同層級的用戶提供了多視角、多層次的管理視圖。SIEM信息安全和事件管理SIEM，信息安全和事件管理，全稱是securityinformationandeventmanagement，由SEM和SIM兩部分構(gòu)成。SIEM軟件能給企業(yè)安全人員提供其IT環(huán)境中所發(fā)生活動的洞見和軌跡記錄。SIEM技術(shù)最早是從日志管理發(fā)展起來的。它將安全事件管理(SEM)——實時分析日志和事件數(shù)據(jù)以提供威脅監(jiān)視、事件關(guān)聯(lián)和事件響應(yīng)，與安全信息管理(SIM)——收集、分析并報告日志數(shù)據(jù)，結(jié)合了起來。工作流程SIEM軟件收集并聚合公司所有技術(shù)基礎(chǔ)設(shè)施所產(chǎn)生的日志數(shù)據(jù)，數(shù)據(jù)來源從主機系統(tǒng)及應(yīng)用，到防火墻及殺軟過濾器之類網(wǎng)絡(luò)和安全設(shè)備都有。收集到數(shù)據(jù)后，SIEM軟件就開始識別并分類事件，對事件進行分析。該軟件的主要目標有兩個：產(chǎn)出安全相關(guān)事件的報告，比如成功/失敗的登錄、惡意軟件活動和其他可能的惡意活動。如果分析表明某活動違反了預(yù)定義的規(guī)則集，有潛在的安全問題，就發(fā)出警報。除了傳統(tǒng)的日志數(shù)據(jù)，很多SIEM技術(shù)還引入了威脅情報饋送，更有多種SIEM產(chǎn)品具備安全分析能力，不僅監(jiān)視網(wǎng)絡(luò)行為，還監(jiān)測用戶行為，可針對某動作是否惡意活動給出更多情報。如今，大型企業(yè)通常都將SIEM視為支撐安全運營中心(SOC)的基礎(chǔ)。軟件的局限在檢測可接受活動和合法潛在威脅上，SIEM并非完全準確，正是這種差異，導(dǎo)致了很多SIEM部署中出現(xiàn)了大量誤報。該情況需要企業(yè)內(nèi)有強力監(jiān)管和有效規(guī)程，避免安全團隊被警報過載拖垮。UTM統(tǒng)一威脅管理統(tǒng)一威脅管理（UTM，UnifiedThreatManagement），顧名思義，就是在單個硬件或軟件上，提供多種安全功能。這跟傳統(tǒng)的安全設(shè)備不同，傳統(tǒng)的安全設(shè)備一般只解決一種問題。主要任務(wù)網(wǎng)絡(luò)防火墻（NetworkFirewall）入侵檢測（IntrusionDetection）入侵預(yù)防（IntrusionPrevention）可能會有的功能：防病毒網(wǎng)關(guān)（GatewayAnti-Virus）應(yīng)用層防火墻和控制器（ApplicationLayerFirewallandcontrol）深度包檢測（Deeppacketinspection）Web代理和內(nèi)容過濾（WebProxy&contentfiltering）數(shù)據(jù)丟失預(yù)防（DLP)安全信息和事件管理（SIEM）虛擬專用網(wǎng)絡(luò)（VPN）網(wǎng)絡(luò)沼澤（NetworkTarpit）UTM的優(yōu)勢UTM通過為管理員提供統(tǒng)一管理的方式，使得安全系統(tǒng)的管理人員可以集中管理他們的安全防御，而不需要擁有多個單一功能的設(shè)備，每個設(shè)備都需要人去熟悉、關(guān)注和支持；一體化方法簡化了安裝、配置和維護；與多個安全系統(tǒng)相比，節(jié)省了時間、金錢和人員。UTM的缺點單點故障雖然UTM提供了一個單一設(shè)備管理的簡便性，但這引入了單點故障，一旦UTM設(shè)備出問題，整個安全防御會失效。TDPDP（威脅感知平臺）微步在線威脅感知平臺（ThreatDetectionPlatform）DMZDMZ(DemilitarizedZone)即俗稱的非軍事區(qū)，與軍事區(qū)和信任區(qū)相對應(yīng),作用是把WEB,E-mail,等允許外部訪問的服務(wù)器單獨接在該區(qū)端口，使整個需要保護的內(nèi)部網(wǎng)絡(luò)接在信任區(qū)端口后，不允許任何訪問，實現(xiàn)內(nèi)外網(wǎng)分離，達到用戶需求。DMZ可以理解為一個不同于外網(wǎng)或內(nèi)網(wǎng)的特殊網(wǎng)絡(luò)區(qū)域，DMZ內(nèi)通常放置一些不含機密信息的公用服務(wù)器，比如Web、Mail、FTP等。這樣來自外網(wǎng)的訪問者可以訪問DMZ中的服務(wù)，但不可能接觸到存放在內(nèi)網(wǎng)中的公司機密或私人信息等，即使DMZ中服務(wù)器受到破壞，也不會對內(nèi)網(wǎng)中的機密信息造成影響。IDCIDC即互聯(lián)網(wǎng)數(shù)據(jù)中心。它是伴隨著互聯(lián)網(wǎng)不斷發(fā)展的需求而迅速發(fā)展起來的，成為了新世紀中國互聯(lián)網(wǎng)產(chǎn)業(yè)中不可或缺的重要一環(huán)。它為互聯(lián)網(wǎng)內(nèi)容提供商（ICP）、企業(yè)、媒體和各類網(wǎng)站提供大規(guī)模、高質(zhì)量、安全可靠的專業(yè)化服務(wù)器托管、空間租用、網(wǎng)絡(luò)批發(fā)帶寬以及ASP、EC等業(yè)務(wù)。目前對IDC(互聯(lián)網(wǎng)數(shù)據(jù)中心)還沒有一個權(quán)威的定義，但它比傳統(tǒng)的數(shù)據(jù)中心有著更深層次的內(nèi)涵，它是伴隨著互聯(lián)網(wǎng)不斷發(fā)展的需求而發(fā)展起來的對為ICP、企業(yè)、媒體和各類網(wǎng)站提供大規(guī)模、高質(zhì)量、安全可靠的專業(yè)化服務(wù)器托管、空間租用、網(wǎng)絡(luò)批發(fā)帶寬以及ASP、EC等業(yè)務(wù)。數(shù)據(jù)中心在大型主機時代就已出現(xiàn)，那時是為了通過托管、外包或集中方式向企業(yè)提供大型主機的管理維護，以達到專業(yè)化管理和降低運行成本的目的。NFNF防火墻是綠盟科技構(gòu)筑在兆芯、飛騰、申威等硬件平臺及中標麒麟、銀河麒麟、統(tǒng)信操作系統(tǒng)基礎(chǔ)之上，結(jié)合多核高速數(shù)據(jù)包并發(fā)處理技術(shù)，研發(fā)而成的企業(yè)級邊界安全產(chǎn)品。其核心理念是在用戶網(wǎng)絡(luò)邊界建立以應(yīng)用為核心的網(wǎng)絡(luò)安全策略，通過智能化識別、精細化控制、一體化掃描等逐層遞進方式實現(xiàn)用戶/應(yīng)用行為的可視、可控、合規(guī)和安全，最終保障網(wǎng)絡(luò)應(yīng)用被安全高效的使用。優(yōu)勢應(yīng)用識別用戶身份識別日志記錄和統(tǒng)計報表抗D針對流行的DDoS攻擊（包括未知的攻擊形式），綠盟科技經(jīng)過10年多不間斷的技術(shù)創(chuàng)新和產(chǎn)品研發(fā)，自2001年推出首款百兆防護綠盟抗拒絕服務(wù)系統(tǒng)（NSFOCUSAnti-DDoSSystem，簡稱NSFOCUSADS）后，持續(xù)推出針對不同行業(yè)的各類抗DDoS產(chǎn)品。綠盟抗拒絕服務(wù)攻擊系統(tǒng)能夠及時發(fā)現(xiàn)背景流量中各種類型的攻擊流量，針對攻擊類型迅速對攻擊流量進行攔截，保證正常流量的通過。系統(tǒng)具備如下優(yōu)勢：可防護各類基于網(wǎng)絡(luò)層、傳輸層及應(yīng)用層的拒絕服務(wù)攻擊，如SYNFlood、UDPFlood、UDPDNSQueryFlood、(M)StreamFlood、ICMPFlood、HTTPGetFlood以及連接耗盡等常見的攻擊行為；智能防御。借助內(nèi)嵌的“智能多層識別凈化矩陣”，實現(xiàn)基于行為異常的攻擊檢測和過濾機制，而不依賴于傳統(tǒng)的特征字（或指紋）匹配等方式；提供完備的異常流量檢測、攻擊防御、設(shè)備管理、報表生成、增值運營等功能；支持靈活的部署方式。產(chǎn)品支持包括串聯(lián)、串聯(lián)集群、旁路以及旁路集群等不同部署方式。旁路部署下支持多種路由協(xié)議進行流量的牽引和回注，滿足各種復(fù)雜的網(wǎng)絡(luò)環(huán)境下的部署需求。海量防御。通過方案設(shè)計，可以組成N*10Gbps以上海量攻擊防御能力的系統(tǒng)。產(chǎn)品型號豐富。既有面向中小企業(yè)用戶開發(fā)的“攻擊檢測、攻擊防御和監(jiān)控管理”一體化產(chǎn)品，也可以提供適合運營商、IDC、大型企業(yè)用戶應(yīng)用需求的產(chǎn)品套件綜合解決方案。綠盟科技目前已成為國內(nèi)惟一一家能夠面向全行業(yè)用戶提供抗拒絕服務(wù)攻擊解決方案的專業(yè)廠商?？笵DOS產(chǎn)品的防御方式拒絕服務(wù)攻擊的防御方式通常為入侵檢測，流量過濾和多重驗證，旨在堵塞網(wǎng)絡(luò)帶寬的流量將被過濾，而正常的流量可正常通過。擴大帶寬流量清洗和封IPCDNEDR 端點檢測與響應(yīng)（(EndpointDetectionandResponse，EDR）：完全不同于以往的端點被動防護思路，而是通過云端威脅情報、機器學(xué)習(xí)、異常行為分析、攻擊指示器等方式，主動發(fā)現(xiàn)來自外部或內(nèi)部的安全威脅，并進行自動化的阻止、取證、補救和溯源，從而有效對端點進行防護。hids即基于主機型入侵檢測系統(tǒng)。作為計算機系統(tǒng)的監(jiān)視器和分析器，它并不作用于外部接口，而是專注于系統(tǒng)內(nèi)部，監(jiān)視系統(tǒng)全部或部分的動態(tài)的行為以及整個計算機系統(tǒng)的狀態(tài)。FA防火墻主要是可實現(xiàn)基本包過濾策略的防火墻，這類是有硬件處理、軟件處理等，其主要功能實現(xiàn)是限制對IP:port的訪問?；旧系膶崿F(xiàn)都是默認情況下關(guān)閉所有的通過型訪問，只開放允許訪問的策略。FW可以攔截低層攻擊行為，但對應(yīng)用層的深層攻擊行為無能為力。NDRNDR不僅能發(fā)現(xiàn)已知的安全威脅，還能通過機器學(xué)習(xí)模型發(fā)現(xiàn)新的安全威脅，更重要的是，它對威脅的認知更深入，能大大降低誤報、漏報的概率。同時，它還能對安全問題進行處置，很多人都認為NDR將取代IDPS。微步在線的NDR方法論：抓得準，看得見，搞得定NDR技術(shù)產(chǎn)品對于用戶的網(wǎng)絡(luò)安全建設(shè)將是一個非常重要的補充，也是網(wǎng)絡(luò)威脅防護能力的一個提升。FW主要是可實現(xiàn)基本包過濾策略的防火墻，這類是有硬件處理、軟件處理等，其主要功能實現(xiàn)是限制對IP:port的訪問?；旧系膶崿F(xiàn)都是默認情況下關(guān)閉所有的通過型訪問，只開放允許訪問的策略。FW可以攔截低層攻擊行為，但對應(yīng)用層的深層攻擊行為無能為力。FW部署位置一般為外聯(lián)出口或者區(qū)域性出口位置，對內(nèi)外流量進行安全隔離。部署方式常見如下F5保護網(wǎng)絡(luò)與應(yīng)用，提高用戶接入能力，優(yōu)化性能，并降低管理復(fù)雜性。特性·防止入侵，并保護敏感數(shù)據(jù)·簡化接入控制、應(yīng)用安全與規(guī)范監(jiān)管管理·通過自動接入與更高性能提高工作效率·通過整合與簡化安全管理而降低成本保證網(wǎng)絡(luò)安全性、快速和可用性對于業(yè)務(wù)的成功至關(guān)重要。安全違規(guī)可能導(dǎo)致工作效率降低、失去機會和成本升高。這些有害的情況也會損害企業(yè)的信譽，并降低客戶的信任度。webids 也是專注于Web應(yīng)用安全的檢測產(chǎn)品，相比于WAF，WebIDS不具備攔截功能，市場上玩家廠商較少，從筆者的使用效果來看，WebIDS在Web攻擊的HTTP請求包、返回包的展示方面比較直觀，檢索功能也相對比較便捷。態(tài)勢感知態(tài)勢感知是一種基于環(huán)境的、動態(tài)、整體地洞悉安全風(fēng)險的能力，是以安全大數(shù)據(jù)為基礎(chǔ)，從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應(yīng)處置能力的一種方式，最終是為了決策與行動，是安全能力的落地。建立可見全局態(tài)勢的統(tǒng)一的安全運營平臺，解決傳統(tǒng)安全產(chǎn)品各自為政網(wǎng)閘天清安全隔離與信息交換系統(tǒng)GAP-6000系列產(chǎn)品（簡稱網(wǎng)閘），它憑借強大的功能、卓越的性能以及遍及全國各地完善的客戶服務(wù)機構(gòu)和保障體系，保證一個系統(tǒng)真正安全的途徑只有一個：斷開網(wǎng)絡(luò)，這也許正在成為一個真正的解決方案?！皟?nèi)網(wǎng)主機”＋“交換隔離矩陣”＋“外網(wǎng)主機”，實現(xiàn)真正的安全隔離；優(yōu)勢智能白名單應(yīng)用全面webshell從流量中檢測webshell的方法在冰蝎、哥斯拉這類加密型webshell工具出現(xiàn)之前，中國菜刀、蟻劍這類工具常被攻擊隊使用，和菜刀和蟻劍不同，冰蝎和哥斯拉使用加密隧道傳輸數(shù)據(jù)，不易被安全設(shè)備發(fā)現(xiàn)，同時，隨著無文件內(nèi)存webshell的興起，給檢測帶來了更大的壓力。因此對這類加密型webshell和無文件內(nèi)存webshell的檢測是非常有必要的。目標通過攻防演練的實踐，我們總結(jié)一套關(guān)于加密webshell和內(nèi)存webshell的檢測方法，通過分析和總結(jié)該類webshell通訊特征，通過流量及時準確的發(fā)現(xiàn)主機失情況，及時處理。方法論當(dāng)出現(xiàn)一個新型webshell工具時，我們可以通過如下幾個方面總結(jié)相關(guān)特征，從而實現(xiàn)相關(guān)檢測。webshell樣本：分析webshell的執(zhí)行邏輯，提取webshell執(zhí)行過程中必須存在的函數(shù)、參數(shù)，對該類webshell實現(xiàn)上傳、寫入的檢測。通訊過程中必存在參數(shù)：分析webshell服務(wù)端和客戶端，提取因?qū)崿F(xiàn)問題而在交互過程中必須存在的參數(shù)。加密算法特征：分析該webshell通訊過程中的加密方法，獲取該加密方法生成的密文所在集合。工具本身bug：因為工具是人力開發(fā)的，難以避免的會存在一些bug，這些bug可以成為識別該類工具的特征。與正常業(yè)務(wù)不符：分析通訊過程中，該webshell和正常業(yè)務(wù)的不同，可以粗略的篩選出可能異常的通訊。漏洞掃描器漏洞掃描是檢查計算機或網(wǎng)絡(luò)上可能利用的漏洞點，以識別安全漏洞。漏洞掃描器是一類自動檢測本地或遠程主機安全弱點的程序，它能夠快速的準確的發(fā)現(xiàn)掃描目標存在的漏洞并提供給使用者掃描結(jié)果。工作原理工作原理是掃描器向目標計算機發(fā)送數(shù)據(jù)包，然后根據(jù)對方反饋的信息來判斷對方的操作系統(tǒng)類型、開發(fā)端口、提供的服務(wù)等敏感信息。分類端口掃描器（Portscanner） 例如Nmap網(wǎng)絡(luò)漏洞掃描器(Networkvulnerabilityscanner) 例如Nessus,Qualys,SAINT,OpenVAS,INFRASecurityScanner,NexposeWeb應(yīng)用安全掃描器（Webapplicationsecurityscanner） 例如Nikto,Qualys,Sucuri,High-TechBridge,BurpSuite,OWASPZAP,w3af。數(shù)據(jù)庫安全掃描器（atabasesecurityscanner）基于主機的漏洞掃描器（Hostbasedvulnerabilityscanner） 例如LynisERP安全掃描器（ERPsecurityscanner）單一漏洞測試（Singlevulnerabilitytests）內(nèi)部防御薄弱由于UTM的設(shè)計原則違背了深度防御原則，雖然UTM在防御外部威脅非常有效，但面對內(nèi)部威脅就無法發(fā)揮作用了。VPN虛擬專用網(wǎng)虛擬私人網(wǎng)絡(luò)（英語：VirtualPrivateNetwork，縮寫為VPN）是一種常用于連接中、大型企業(yè)或團體與團體間的私人網(wǎng)絡(luò)的通訊方法。虛擬私人網(wǎng)絡(luò)的訊息透過公用的網(wǎng)絡(luò)架構(gòu)（例如：互聯(lián)網(wǎng)）來傳送內(nèi)部網(wǎng)的網(wǎng)絡(luò)訊息。它利用已加密的通道協(xié)議（TunnelingProtocol）來達到保密、發(fā)送端認證、消息準確性等私人消息安全效果。這種技術(shù)可以用不安全的網(wǎng)絡(luò)（例如：互聯(lián)網(wǎng)）來發(fā)送可靠、安全的消息。需要注意的是，加密消息與否是可以控制的。沒有加密的虛擬專用網(wǎng)消息依然有被竊取的危險。上網(wǎng)行為管理上網(wǎng)行為管理，就是通過軟件或硬件，控制用戶訪問網(wǎng)絡(luò)的權(quán)限。功能包括行為管理、應(yīng)用控制、流量管控、信息管控、非法熱點管控、行為分析、無線網(wǎng)絡(luò)管理等。云主機安全云服務(wù)商在云主機中部署自己的agent程序，做監(jiān)控、管理和安全監(jiān)測。功能木馬查殺對各類惡意文件進行檢測，包括各類WebShell后門和二進制木馬，對檢測出來的惡意文件進行訪問控制和隔離操作，防止惡意文件的再次利用。密碼破解攔截對密碼惡意破解類行為進行檢測和攔截，共享全網(wǎng)惡意IP庫，自動化實施攔截策略。登錄行為審計根據(jù)登錄流水?dāng)?shù)據(jù)，識別常用的登錄區(qū)域，對可疑的登錄行為提供實時告警通知。漏洞管理對主機上存在的高危漏洞風(fēng)險進行實時預(yù)警和提供修復(fù)方案，包括系統(tǒng)漏洞、web類漏洞，幫助企業(yè)快速應(yīng)對漏洞風(fēng)險。資產(chǎn)管理支持對機器進行分組標簽管理，基于組件識別技術(shù)，快速掌握服務(wù)器中軟件、進程、端口的分布情況。數(shù)據(jù)庫審計（DBAudit）數(shù)據(jù)庫審計服務(wù)，是為了保證單位或者個人核心數(shù)據(jù)的安全，可針對數(shù)據(jù)庫SQL注入、風(fēng)險操作等數(shù)據(jù)庫風(fēng)險操作行為進行記錄與告警。功能用戶行為發(fā)現(xiàn)審計關(guān)聯(lián)應(yīng)用層和數(shù)據(jù)庫層的訪問操作可溯源到應(yīng)用者的身份和行為多維度線索分析風(fēng)險和危害線索：高中低的風(fēng)險等級、SQL注入、黑名單語句、違反授權(quán)策略的SQL行為會話線索：根據(jù)時間、用戶、IP、應(yīng)用程序、和客戶端多角度分析詳細語句線索：提供用戶、IP、客戶端工具、訪問時間、操作對象、SQL操作類型、成功與否、訪問時長、影響行數(shù)等多種檢索條件異常操作、SQL注入、黑白名單實時告警異常操作風(fēng)險：通過IP、用戶、數(shù)據(jù)庫客戶端工具、時間、敏感對象、返回行數(shù)、系統(tǒng)對象、高危操作等多種元素細粒度定義要求監(jiān)控的風(fēng)險訪問行為SQL注入：系統(tǒng)提供了系統(tǒng)性的SQL注入庫，以及基于正則表達式或語法抽象的SQL注入描述，發(fā)現(xiàn)異常立即告警黑白名單：提供準確而抽象的方式，對系統(tǒng)中的特定訪問SQL語句進行描述，使這些SQL語句出現(xiàn)時能夠迅速報警針對各種異常行為的精細化報表會話行為：登錄失敗報表、會話分析報表SQL行為：新型SQL報表、SQL語句執(zhí)行歷史報表、失敗SQL報表風(fēng)險行為：告警報表、通知報表、SQL注入報表、批量數(shù)據(jù)訪問行為報表政策性報表：塞班斯報表堡壘機運維審計與管控系統(tǒng)當(dāng)今的時代是一個信息化社會，信息系統(tǒng)已成為各企事業(yè)單位業(yè)務(wù)運營的基礎(chǔ),由于信息系統(tǒng)運維人員掌握著信息系統(tǒng)的最高權(quán)限，一旦運維操作出現(xiàn)安全問題將會給企業(yè)或單位帶來巨大的損失。因此,加強對運維人員操作行為的監(jiān)管與審計是信息安全發(fā)展的必然趨勢。在此背景之下,針對運維操作管理與審計的堡壘機應(yīng)運而生。堡壘機提供了一套多維度的運維操作控管控與審計解決方案，使得管理人員可以全面對各種資源(如網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備和數(shù)據(jù)庫等)進行集中賬號管理、細粒度的權(quán)限管理和訪問審計，幫助企業(yè)提升內(nèi)部風(fēng)險控制水平。網(wǎng)關(guān)型堡壘機網(wǎng)關(guān)型的堡壘機被部署在外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，其本身不直接向外部提供服務(wù)而是作為進入內(nèi)部網(wǎng)絡(luò)的一個檢查點，用于提供對內(nèi)部網(wǎng)絡(luò)特定資源的安全訪問控制。這類堡壘機不提供路由功能，將內(nèi)外網(wǎng)從網(wǎng)絡(luò)層隔離開來，因此除非授權(quán)訪問外還可以過濾掉一些針對內(nèi)網(wǎng)的來自應(yīng)用層以下的攻擊，為內(nèi)部網(wǎng)絡(luò)資源提供了一道安全屏障。但由于此類堡壘機需要處理應(yīng)用層的數(shù)據(jù)內(nèi)容，性能消耗很大，所以隨著網(wǎng)絡(luò)進出口處流量越來越大，部署在網(wǎng)關(guān)位置的堡壘機逐漸成為了性能瓶頸，因此網(wǎng)關(guān)型的堡壘機逐漸被日趨成熟的防火墻、UTM、IPS、網(wǎng)閘等安全產(chǎn)品所取代。運維審計型堡壘機第二種類型的堡壘機是審計型堡壘機，有時也被稱作“內(nèi)控堡壘機”，這種類型的堡壘機也是當(dāng)前應(yīng)用最為普遍的一種。運維審計型堡壘機的原理與網(wǎng)關(guān)型堡壘機類似，但其部署位置與應(yīng)用場景不同且更為復(fù)雜。運維審計型堡壘機被部署在內(nèi)網(wǎng)中的服務(wù)器和網(wǎng)絡(luò)設(shè)備等核心資源的前面，對運維人員的操作權(quán)限進行控制和操作行為審計;運維審計型堡壘機即解決了運維人員權(quán)限難以控制混亂局面，又可對違規(guī)操作行為進行控制和審計，而且由于運維操作本身不會產(chǎn)生大規(guī)模的流量，堡壘機不會成為性能的瓶頸，所以堡壘機作為運維操作審計的手段得到了快速發(fā)展。最早將堡壘機用于運維操作審計的是金融、運營商等高端行業(yè)的用戶，由于這些用戶的信息化水平相對較高發(fā)展也比較快，隨著信息系統(tǒng)安全建設(shè)發(fā)展其對運維操作審計的需求表現(xiàn)也更為突出，而且這些用戶更容易受到“信息系統(tǒng)等級保護”、“薩班斯法案”等法規(guī)政策的約束，因此基于堡壘機作為運維操作審計手段的上述特點，這些高端行業(yè)用戶率先將堡壘機應(yīng)用于運維操作審計。堡壘機運維操作審計的工作原理作為運維操作審計手段的堡壘機的核心功能是用于實現(xiàn)對運維操作人員的權(quán)限控制與操作行為審計。主要技術(shù)思路如何實現(xiàn)對運維人員的權(quán)限控制與審計呢？堡壘機必須能夠截獲運維人員的操作，并能夠分析出其操作的內(nèi)容。堡壘機的部署方式，確保它能夠截獲運維人員的所有操作行為，分析出其中的操作內(nèi)容以實現(xiàn)權(quán)限控制和行為審計的目的，同時堡壘機還采用了應(yīng)用代理的技術(shù)。運維審計型堡壘機對于運維操作人員相當(dāng)于一臺代理服務(wù)器(ProxyServer)運維人員在操作過程中首先連接到堡壘機，然后向堡壘機提交操作請求;該請求通過堡壘機的權(quán)限檢查后，堡壘機的應(yīng)用代理模塊將代替用戶連接到目標設(shè)備完成該操作，之后目標設(shè)備將操作結(jié)果返回給堡壘機，最后堡壘機再將操作結(jié)果返回給運維操作人員。通過這種方式，堡壘機邏輯上將運維人員與目標設(shè)備隔離開來，建立了從“運維人員->堡壘機