常见安全设备理解
按照个人理解对常见安全设备进行分类和介绍
隔离类
- 传统防火墙 FIrewall
- 最早的边界防护设备,静态规则过滤流量,允许或阻断特定网络连接,核心是“网络层访问控制”
- 下一代防火墙 NGFW
- Firewall+增加深度包检测(DPI)、应用识别、入侵防御(IPS)、URL过滤等功能
- 实现“应用层+网络层”双重管控
- web防火墙 WAF
- 专门针对Web应用端防护设备,通过解析HTTP/HTTPS请求的URL、参数、Cookie等内容,对页面进行防护
- 网闸
- 通过物理隔离技术,实现网络的隔离,进允许合规数据按预设协议单向或双向摆渡
- 安全网关
- 集成多种安全功能的边界设备,通常包括防火墙、VPN、反病毒、入侵防御、URL过滤等,提供“一站式”接入防护
区别:
传统防火墙仅做基础包过滤,无法是被应用层信息
NGFW 补充了应用层控制以及检测和防御能力
WAF 侧重于流量,仅作用于Web服务器前端
网闸 重点是物理隔离
安全网关 功能更为综合,是UTM(统一威胁管理)的升级版
审计类
- 堡垒机
- 集中管控运维人员访问服务器、数据库的“跳板机”
- 访问控制
- 基于某种授权模型,管理用户对资源的访问权限
- 数据库审计
- 通过解析数据库流量,进行操作记录,识别异常行为
- 数据防泄漏
- 通过内容识别技术,避免敏感信息泄露
- 日志审计
- 聚合防火墙、服务器、应用等多源日志,生成安全事件报表
区别:
堡垒机聚焦“运维操作过程”
访问控制关注谁能访问什么
数据库审计聚焦“数据库内部行为”
数据防泄漏关注敏感信息
日志审计是“事后追溯工具”
流量类
- VPN
- 在公网建立安全通道,实现远程用户或分支机构的“内网接入”
- 抗D-Dos设备
- 通过流量清洗技术,抵御Dos攻击
- 网络流量分析
- 通过解析NetFlow/sFlow等流量元数据,识别异常流量,发现未知威胁
区别:
抗D-Dos 针对于已知类型攻击
网络流量分析 针对异常行为,包含未知类型攻击
入侵
- 网络入侵检测 NIDS
- 旁路部署在网络核心节点,通过监听流量镜像,基于特征库或异常检测识别网络攻击
- 仅报警不阻断
- 网络入侵防御 NIPS
- NIDS基础上,报警+阻断
- 主机入侵检测 HIDS
- 在服务器/终端部署Agent,检测主机层面的入侵
- 仅报警不阻断
- 终端检测与响应 EDR
- 通过行为分析等检测威胁,支持自动响应
- 终端防护 EPP
- EPP 进阶版
- 通常 EPP 与 EDR 会进行整合
响应与管理
- 安全信息和事件管理(SIEM)
- 聚合全网设备日志,生成安全事件,提供仪表盘可视化和告警
- 发现问题
- 安全编排自动化与响应 SOAR
- 接收SIEM告警后,自动调用防火墙封禁IP、EDR隔离主机等
- 解决问题
- 威胁情报平台
- 收集、分析外部威胁情报,将情报推送至防火墙、IDS等设备增强检测
- 不直接防御或检测,作为辅助
- 统一威胁管理 UTM
- 集成防火墙、AV、IPS、URL过滤、VPN等功能
- 集成化的安全网关