網路安全之常用安全裝置功能及作用

語言: CN / TW / HK

隨著網路技術發展,網路威脅無孔不入,網路攻擊手段呈現複雜性及多變性的趨勢。要建立防禦體系應從通訊網路、網路邊界、區域網絡內部、各種業務應用平臺等各個層次落實各種安全措施,形成縱深防禦體系。單靠一種或幾種安全裝置就想保護整個網路是不可能的事情。因此,為了滿足不同防護需求的安全裝置應運而生。有的裝置是為了嚴防非授權訪問。有的裝置是為了實時檢測,攔截攻擊行為。有的裝置是為了自查自審,發現自身存在的問題。每一種安全裝置分工都不同,裝置缺失肯定會使防禦體系失效造成安全隱患。

本文介紹常用的安全裝置及其能力

網路安全審計

網路安全審計通過對網路資料的採集、分析、識別,實時動態監測通訊內容、網路行為和網路流量,發現和捕獲各種敏感資訊、違規行為,實時報警響應,全面記錄網路系統中的各種會話和事件,實現對網路資訊的智慧關聯分析、評估及安全事件的準確定位,為整體網路安全策略的制定提供權威可靠的支援。

  • 內容審計
    可對網頁內容、郵件、資料庫操作、論壇、即時通訊等提供完整的文字、圖片和音影片內容檢測、資訊還原功能;並可自定義關鍵字型檔,進行細粒度的審計追蹤。
  • 行為審計
    根據設定的行為審計策略,對網站訪問、郵件收發、資料庫訪問、遠端終端訪問、檔案上傳下載、即時通訊、論壇、移動應用、線上影片、P2P 下載、網路遊戲等網路應用行為進行監測,對符合行為策略的事件實時告警並記錄。
  • 流量審計
    支援基於智慧協議識別的流量分析功能;實時統計出當前網路中的各種協議流量,進行綜合流量分析,提供詳細的流量報表;可以統計指定協議流量的IP TOP N,為流量管理策略的制定提供可靠支援。

漏洞掃描

通過漏洞掃描全面發現資訊系統存在的安全漏洞、安全配置問題、應用系統安全漏洞,檢查系統存在的弱口令,收集系統不必要開放的賬號、服務、埠,形成整體安全風險報告。

  • 全面系統脆弱性發現
    能夠全方位檢測系統存在的脆弱性,發現資訊系統存在的安全漏洞、安全配置問題、應用系統安全漏洞,檢查系統存在的弱口令,收集系統不必要開放的賬號、服務、埠,形成整體安全風險報告,幫助安全管理人員先於攻擊者發現安全問題,及時進行修補。
  • 風險統一分析
    支援全方位的安全漏洞、安全配置、應用系統安全漏洞掃描,通過安全風險計算方法,對網路系統中多個方面的安全脆弱性統一進行分析和風險評估,給出總體安全狀態評價,全面掌握資訊系統安全風險。
  • 識別非標準埠
    應用先進的非標準埠識別技術、以及豐富的協議指紋庫,能夠快速準確的識別非標準埠上的應用服務型別,並進一步進行漏洞檢測,避免掃描過程中的漏報和誤報。
  • 漏洞、配置知識庫
    依託安全知識庫,涵蓋所有主流基礎系統、應用系統、網路裝置等網元物件,提供系統
    的配置檢查庫,提供專業安全廠商的加固修補建議,以及多個行業的安全配置檢查標準。

Web漏洞掃描

定位於Web 脆弱性評估,實現全面Web 應用安全檢測。幫助使用者全面發現Web 漏洞,準確掌控網站風險,深度跟蹤漏洞態勢,提升快速響應能力。

  • 漏洞掃描及驗證
    支援系統漏洞掃描以及Web 漏洞掃描,支援Web 應用漏洞分類,全面覆蓋OWASP TOP10 應用風險,高中危漏洞專家級驗證。
  • 網站掛馬及黑鏈檢測
    依託沙箱檢測技術,識別網站頁面中的惡意程式碼,對潛藏在使用者網頁中的黃賭毒私服等廣告黑鏈進行週期性檢測,並將掛馬及黑鏈情況及時郵件提醒。
  • 網站篡改檢測
    依託相似度對比技術,識別網頁變更狀態,並通知使用者。
  • 網頁敏感內容檢測
    依託于敏感內容詞庫,識別網頁中的敏感內容,並郵件提醒。
  • 可用性檢測及 DNS 解析檢測
    依託多個檢測節點,多條檢測線路,識別網站運營是否穩定的問題,並郵件提醒。

堡壘機

針對雲主機、雲資料庫、網路裝置等的運維許可權、運維行為進行管理和審計。主要解決雲上IT運維過程中作業系統賬號複用、資料洩露、運維許可權混亂、運維過程不透明等難題。

  • 登入功能
    支援對X11、linux、unix、資料庫、網路裝置、安全裝置等一系列授權賬號進行密碼的自動化週期更改,簡化密碼管理,讓使用者無需記憶眾多系統密碼,即可實現自動登入目標裝置,便捷安全。
  • 賬號管理
    支援統一賬戶管理策略,能夠實現對所有伺服器、網路裝置、安全裝置等賬號進行集中管理,完成對賬號整個生命週期的監控,並且可以對裝置進行特殊角色設定如:審計巡檢員、運維操作員、裝置管理員等自定義設定,以滿足審計需求。
  • 身份認證
    提供統一的認證介面,對使用者進行認證,支援身份認證模式包括動態口令、靜態密碼、硬體key、生物特徵等多種認證方式,裝置具有靈活的定製介面,可以與其他第三方認證伺服器之間結合;安全的認證模式,有效提高認證的安全性和可靠性。
  • 資源授權
    提供基於使用者、目標裝置、時間、協議型別IP、行為等要素實現細粒度的操作授權,最大限度保護使用者資源的安全。
  • 訪問控制
    支援對不同使用者進行不同策略的制定,細粒度的訪問控制能夠最大限度的保護使用者資源的安全,嚴防非法、越權訪問事件的發生。
  • 操作審計
    能夠對字串、圖形、檔案傳輸、資料庫等全程操作行為審計;通過裝置錄影方式實時監控運維人員對作業系統、安全裝置、網路裝置、資料庫等進行的各種操作,對違規行為進行事中控制。對終端指令資訊能夠進行精確搜尋,進行錄影精確定位。

日誌審計

日誌審計是針對大量分散裝置的異構日誌進行高效採集、統一管理、集中儲存、統計分析,可協助企業滿足等保合規要求、高效統一管理資產日誌併為安全事件的事後取證據供依據。

  • 安全日誌源管理
    按照需要接入的日誌源數量進行服務,提供多種日誌接入方式,支援主動、被動採集。
  • 日誌採集
    提供全面的日誌採集能力:支援第三方安全裝置、網路裝置、資料庫、windows/linux主機日誌、web 伺服器日誌、虛擬化平臺日誌以及自定義等日誌;提供強大的資料來源管理功能:支援資料來源的資訊展示與管理、採集器的資訊展示與管理以及agent 的資訊展示與管理;提供分散式外接採集器、Agent 等多種日誌採集方式;支援IPv4、IPv6 日誌採集、分析以及檢索查詢。
  • 日誌儲存
    提供原始日誌、正規化化日誌的儲存,可自定義儲存週期。
  • 日誌檢索
    提供豐富靈活的日誌查詢方式,支援全文.key-value、多kv布林組合、括弧、正則、模糊等檢索;提供便捷的日誌檢索操作,支援儲存檢索、從已儲存的檢索匯入見多條件等。
  • 報表管理
    支援豐富的內建報表以及靈活的自定義報表模式,支援編輯報表的目錄介面、引用統計項、設定報表標題、展示頁首和頁碼、報表配置基本內容(名稱、描述等);支援實時報表、定時報表、週期性任務報表等方式;支援html、pdf、word 格式的報表檔案以及報表logo
    的靈活配置。
  • 日誌分析
    支援對各類應用系統產生的各類日誌的分析功能。

資料庫審計

資料庫審計能夠實時記錄網路上的資料庫活動,對資料庫操作進行細粒度審計的合規性管理,對資料庫遭受到的風險行為進行告警,對攻擊行為進行阻斷。通過對使用者訪問資料庫行為的記錄、分析和彙報,用來幫助使用者事後生成合規報告、事故追根溯源,同時加強內外

部資料庫網路行為記錄,提高資料資產安全。

  • 實時告警
    風險操作:支援通過操作型別、操作物件、風險等級等多種元素細粒度定義要求監控的風險操作行為。
    SQL 注入:資料庫安全審計提供SQL 注入庫,可以基於SQL 命令特徵或風險等級,發現數據庫異常行為立即告警。
    系統資源:當系統資源(CPU、記憶體和磁碟)佔用率達到設定的告警閾值時立即告警。
  • 多維度線索分析
    行為線索:支援審計時長、語句總量、風險總量、風險分佈、會話統計、SQL 分佈等多維度的快速分析。
    會話線索:支援根據時間、資料庫使用者、客戶端等多角度進行分析。
    語句線索:提供時間、風險等級、資料使用者、客戶端IP、資料庫IP、操作型別、規則等多種語句搜尋條件。
  • 使用者行為發現審計
    關聯應用層和資料庫層的訪問操作:提供內建或自定義隱私資料保護規則,防止審計日誌中的隱私資料(例如,賬號密碼)在控制檯上以明文顯示。
  • 精細化報表
    會話行為:提供客戶端和資料庫使用者會話分析報表。
    風險操作:提供風險分佈情況分析報表。
    合規報表:提供滿足資料安全標準(例如Sarbanes-Oxley)的合規報告。

網頁防篡改

網頁防篡改是針對網站篡改攻擊的防護,通過檔案底層驅動技術對Web站點目錄提供全方位的保護,為防止黑客、病毒等對目錄中的網頁、電子文件、圖片、資料庫等任何型別的檔案進行非法篡改和破壞提供解決方案。

  • 篡改防護
    同時對多臺網站伺服器檔案,對同一臺伺服器內的多個web server,對同一web server內的多個virtual host進行防篡改;異地(非網站目錄)保留篡改後頁面快照,支援網站篡改檢測;保護防篡改內嵌模組和守護程序。
  • 防篡改分析
    支援頁面檔案/結構/元素的雜湊(MD5)值篡改檢測、圖片相似性比較。
  • 攻擊防護
    能夠防止SQL 資料庫注入式攻擊;能夠防止跨站指令碼漏洞;能夠防止網站盜鏈。
  • 釋出備份
    支援內容釋出;支援實時同步;支援手動同步;可按照條件(按時間戳前,後,區間;按子資料夾;按WEB 伺服器);支援雙機熱備功能;實體間通訊採用SSL 加密。
  • 日誌告警
    儲存系統日誌;檔案傳輸日誌;支援篡改告警、SQL 注入告警、盜鏈告警,告警通知
    支援手機簡訊通知、郵件通知、管理介面警示框;可通過圖形報表綜合統計和分析。

入侵檢測系統

入侵檢測系統是一種對網路傳輸進行即時監視,在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全系統。根據預先設定的安全策略,它是一種積極主動的安全防護技術。

  • 敏感資料外發檢測
    能夠識別並檢測特定格式檔案的外發,同時能夠檢測出檔案中包含的敏感資料,進行告
    警,保護企業敏感資料,防止敏感資料洩露造成的損失。
  • 客戶端攻擊檢測
    增加針對主流客戶端應用程式的攻擊簽名規則,如Word、Excel、PDF、Firefox 等,增強客戶終端應用程式的安全檢測能力。
  • 伺服器非法外聯檢測
    通過伺服器的自學習功能或手動設定伺服器正常外聯行為,建立合法連線,能夠檢測伺服器異於該合法連線的非法外聯行為,及時產生告警資訊通知網路管理人員,從而檢測是否存在跳轉等攻擊行為。
  • 殭屍網路檢測
    基於實時的信譽機制,結合企業級和全球信譽庫,可有效檢測惡意URL、殭屍網路,保護使用者在訪問被植入木馬等惡意程式碼的網站地址時不受侵害,有效檢測Web 威脅,並能及時發現網路中可能出現的殭屍網路主機和C&C 連線。

Web應用防火牆

基於對Web 流量的解碼和分析,可應對Web 應用中的各類攻擊,如SQL 注入、XSS注入、跨站請求偽造攻擊、Cookie 篡改以及應用層Web 攻擊等,能有效解決網頁掛馬、敏感資訊洩露等安全問題,充分保障Web應用安全。通過精細的配置將多種Web安全檢測方法連結成一套完整的安全體系,能夠在IPv4、IPv6 及二者混合環境中抵禦OWASP Top 10等各類Web安全威脅,通過服務化方式快速交付,保衛Web 應用免遭當前和未來的安全威脅。

  • Web 應用攻擊防護
    內建多種防護策略,可選擇進行 SQL 注入、XSS 攻擊、命令注入、非法HTTP 協議請求、常見Web 伺服器漏洞攻擊、掃描防護等。
  • Web 漏洞
    Web 伺服器漏洞探測,Web 伺服器漏洞掃描(模擬攻擊,判斷缺陷,自動配置對應規則),及時發現漏洞隱患。
  • 注入攻擊防護
    SQL 注入防禦、LDAP 注入防禦、命令注入防護(OS 命令,webshell 等)、XPath 注入防禦、Xml/Json 注入防禦。
  • IP 訪問控制
    支援對指定IP 的加白和惡意IP 的封禁。
  • URL 訪問控制
    支援對URL 進行黑白名單控制。
  • 爬蟲防護
    基於源IP 週期判斷訪問數,防護惡意訪問。

下一代防火牆

下一代防火牆採用高度一體化的架構設計方案,將所有的安全特性納入到一體化的安全引擎。將傳統五元組訪問控制與具有下一代防火牆特徵能力有機地結合起來,提供一個全新的網路邊界防護解決方案。

  • 應用、使用者識別能力
    可識別大部分應用,並可輔助使用者對這些應用進行高效管理和篩查,包括5 維度分類組織,基於特性查詢應用、自定義特殊應用等。
  • 監控統計
    對裝置資料進行統計,並以柱狀圖、折線圖、表格、報表、日誌等方式呈現出來,幫助使用者通過統計資料掌握裝置狀況,排查問題。
  • 使用者認證
    對使用者進行識別,通過認證的使用者可以訪問對應的管理資源。
  • 訪問控制
    劃分安全區域和非安全區域,區域之間的訪問基於安全策略進行控制。
  • 入侵防禦
    實時監控多種網路攻擊並根據配置對網路攻擊進行阻斷等操作。
  • 病毒過濾
    探測各種病毒威脅,例如惡意軟體、惡意網站等,並且根據配置對發現的病毒進行處理。
  • DNS 重定向
    支援對某一域名重定向到另一域名的功能。
  • 頁面訪問控制
    針對不同使用者的許可權對頁面的訪問進行區別。
  • 頻寬管理
    能夠管理和優化網路頻寬,提高使用者的網路體驗和頻寬資源利用率。
  • 雲沙箱
    基於雲端架構的惡意軟體虛擬執行環境,發現未知威脅,多重靜態檢測引擎快速過濾正常檔案及已知威脅,提升沙箱檢測效率。
  • 殭屍網路 C&C 防護
    監控 C&C 連線發現內網肉雞,阻斷殭屍網路/勒索軟體等高階威脅進一步破壞。
  • IP 信譽庫
    識別過濾各種已知風險 IP,根據配置對風險IP 進行記錄或阻斷處理。
  • 封賬號
    支援對網路賬戶封停的功能。
  • 包過濾
    支援對網路中的資料包的區分和限制功能。
  • 授權管理
    集中管理功能授權並可進行不同種類授權的統一下發。
  • 傳統防火牆功能特性
    相容傳統防火牆功能特性,包括訪問控制、日誌報表、會話管理等。

入侵防護系統

入侵防護系統是一個監視網路或網路裝置的網路資料傳輸行為的系統,能夠深入網路資料內部,即時中斷、調整或隔離一些有害資料流。入侵防護系統可主動攔截黑客攻擊、據蟲、網路病毒、後門木馬、DoS 等惡意流量,保護企業資訊系統和網路架構免受侵害,防止操作

系統和應用程式損壞或宕機。

  • 敏感資料保護
    提供敏感資料識別、資料安全審計、資料脫敏、智慧異常檢測等資料安全能力,形成一體化的資料安全解決方案。
  • 高階威脅防禦
    高階威脅防禦能夠基於敏感數的外洩、檔案識別、伺服器非法外聯等異常行為檢測,實現內網的高階威脅防禦功能。
  • 惡意檔案防禦
    網路中存在大量惡意檔案,通過網站檔案伺服器、郵件伺服器實現傳播,對企業網路安全構成潛在威脅。對網路中傳送的檔案,進行快速檢測,比對檔案信譽,對發現惡意的檔案進行告警和阻斷。
  • 網址/網站檢測分析
    支援對網站的URL 進行檢測,並分析其是否是惡意網能力。

防病毒

防病毒可以對計算機病毒、木馬和惡意軟體等一切已知的對計算機有危害的程式程式碼進行清除,提供終端查殺病毒、軟體管理、漏洞補丁、統一升級管理等功能。

  • 安全防禦

    能夠精準識別、分析及響應病毒傳播、0day 攻擊及APT 攻擊等異常行為。

  • 主機防火牆

    支援對IP、埠協議及訪問方向等維度過濾,能智慧識別網路協議,同時可通過IP 黑

    白名單,控制終端只能訪問指定目標地址,或指定來源IP 地址訪問。

  • 漏洞加固

    實時掃描記錄終端的作業系統及常用應用軟體漏洞,掌握全網終端漏洞情況及補丁修復。

  • 勒索病毒防禦

    基於HIPS 的勒索者主動防禦機制,蠕蟲病毒、勒索病毒、巨集病毒等已知未知威脅防範無憂。

  • 安全審計

    對攻擊、病毒及漏洞等終端執行資訊,以及上網行為、U 盤使用及檔案操作等終端行為資訊進行統一收集。

  • 軟體管理

    記錄全網安裝軟體清單以及每種軟體安裝的終端明細,以及軟體使用時長。

  • 流量管控

    對終端流量管理包括總流量、上行及下行等管理,同時支援升級下載及日誌上傳等細粒度的流量管理。

終端檢測與響應

利用終端檢測響應,對終端的執行狀態進行檢測和監控,對程序、檔案和配置等進行分析,對異常行為進行處理,確保主機安全,從而實現東西向防護。

  • 病毒及惡意程式防護
    基於檔案動作行為特徵模型分析查殺,主動防禦型查殺,檔案黑白名單管理,檔案多演算法(MD5、SHA1、SHA256)校驗。
  • 攻擊與威脅防護
    檢測模式,攔截模式,支援埠掃描、泛洪攻擊、TCP 洪水攻擊、漏洞攻擊、登錄檔安全檢測等。
  • 主機網路訪問隔離
    基於主機維度,定義出入站網路訪問,能自定義網路訪問物件和埠物件,並記錄違規訪問日誌,可追溯網路訪問發起的程序及程序詳細路徑和程序檔案安全性。
  • 終端環境強控
    通過設定終端執行的白環境,達到除白名單外的檔案無法執行。
  • 安全基線檢查
    同時含蓋 Windows 和Linux 平臺,支援帳號與口令檢查、密碼生存週期檢查、遠端登入檢查、網路與服務檢查、日誌審計檢查、防火牆檢查、系統安全配置檢查等內容,核查項完全滿足工信部等單位要求。
  • 沙箱防護
    雲端沙箱檢查結果查詢,使用者本地上傳檔案至沙箱。