網絡安全設備主要有什麼（網絡安全設備都有哪些）

2023-04-20 20:37:28 1

現在等保2.0已經頒布實施差不多1年半的時間了，什麼事等保2.0，老薑會在以後的文章詳細解讀等保2.0，本次主要解讀一下，網絡安全設備，對於各廠商如何進行選型和對比也需要單獨出一個章節進行解讀。#等保##防火牆##入侵檢測系統##IDS##DDOS#

在我們通常的網絡架構中，說到網絡安全設備，首先第一想到的是：

一、防火牆分類：

1．包過濾防火牆

這是第一代防火牆，又稱為網絡層防火牆，在每一個數據包傳送到源主機時都會在網絡層進行過濾，對於不合法的數據訪問，防火牆會選擇阻攔以及丟棄。這 種防火牆的連接可以通過一個網卡即一張網卡由內網的IP位址，又有公網的IP位址和兩個網卡一個網卡上有私有網絡的IP位址，另一個網卡有外部網絡的IP 地址。

2．狀態/動態檢測防火牆

狀態/動態檢測防火牆，可以跟蹤通過防火牆的網絡連接和包，這樣防火牆就可以使用一組附加的標準，以確定該數據包是允許或者拒絕通信。它是在使用了基本包過濾防火牆的通信上應用一些技術來做到這點的。

3．應用程式代理防火牆

應用程式代理防火牆又稱為應用層防火牆，工作於OSI的應用層上。應用程式代理防火牆實際上並不允許在它連接的網絡之間直接通信。相反，它是接受來自內部網絡特定用戶應用程式的通信，然後建立於公共網絡伺服器單獨的連接。

二、入侵檢測系統（IDS）和入侵防禦系統（IPS）

入侵檢測系統（IDS）通過監視網絡或系統資源，尋找違反安全策略的行為或攻擊跡象，並發出報警。傳統的防火牆旨在拒絕那些明顯可疑的網絡流量，但是仍然允許某些流量通過，因此防火牆對於很多入侵攻擊仍然無計可施。絕大多數的IDS系統都是被動的，而不是主要的。也就是說，在攻擊實際發生之前，它們往往無法預先發出警報。而IPS則傾向於提供主動防護，其涉及宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送或傳送後才發出警報。

IPS是通過直接嵌入到網絡流量中實現這一功能的，即通過一個網絡埠接收來自外部系統的流量，經過檢查確認其中不包含異常活動或可疑內容後，再通過另外一個埠將它傳送到內部系統中。這樣一來，有問的數據包，以及所有來自同一數據流的後續數據包，都能在IPS設備中被清除掉。

三、ACG（上網行為管理）

上網行為管理是指幫助網際網路用戶控制和管理對網際網路的使用。其包括對網頁訪問過濾、上網隱私保護、網絡應用控制、帶寬流量管理、信息收發審計、用戶行為分析等。

主要包括上網人員管理，上網瀏覽管理，上網外發管理，上網應用管理，上網流量管理，上網行為分析，上網隱私保護，設備容錯管理，風險集中告警管理等，其部署在核心交換機的上層，防火牆的下層，需要併入到網絡架構中，最好不要旁觀，因為有些功能，旁路到核心上會實現不了。

四、抗DDOS（異常流量攻擊）

想僅僅依靠某種系統或高防防流量攻擊伺服器防住DDOS是不現實的，可以肯定的是，完全杜絕DDOS目前是不可能的，但通過適當的措施抵禦99.9%的DDOS攻擊是可以做到的，基於攻擊和防禦都有成本開銷的緣故，若通過適當的辦法增強了抵禦DDOS的能力，也就意味著加大了攻擊者的攻擊成本，那麼絕大多數攻擊者將無法繼續下去而放棄，也就相當於成功的抵禦了DDOS攻擊。近年來隨著網絡的不斷普及，流量攻擊在網際網路上的大肆泛濫，DDOS攻擊的危害性不斷升級，面對各種潛在不可預知的攻擊，越來越多的企業顯的不知所措和力不從心。單一的高防防流量攻擊伺服器就像一個大功率的防火牆一樣能解決的問題是有限的，而集群式的高防防流量攻擊技術，也不是一般企業所能掌握和使用的。怎麼樣可以確保在遭受DDOS攻擊的條件下，伺服器系統能夠正常運行呢或是減輕DDOS攻擊的危害性？

SYN/ACK Flood攻擊

這種攻擊方法是經典最有效的DDOS方法，可通殺各種系統的網絡服務，主要是通過向受害主機發送大量偽造源IP和源埠的SYN或ACK 包，導致主機的緩存資源被耗盡或忙於發送回應包而造成拒絕服務，由於源都是偽造的故追蹤起來比較困難，缺點是實施起來有一定難度，需要高帶寬的殭屍主機支 持。少量的這種攻擊會導致主機伺服器無法訪問，但卻可以Ping的通，在伺服器上用Netstat -na命令會觀察到存在大量的SYN_RECEIVED狀態，大量的這種攻擊會導致Ping失敗、TCP/IP棧失效，並會出現系統凝固現象，即不響應鍵 盤和滑鼠。普通防火牆大多無法抵禦此種攻擊。

TCP全連接攻擊

這種攻擊是為了繞過常規防火牆的檢查而設計的，一般情況下，常規防火牆 大多具備過濾TearDrop、Land等DOS攻擊的能 力，但對於正常的TCP連接是放過的，殊不知很多網絡服務程序（如：IIS、Apache等Web伺服器）能接受的TCP連接數是有限的，一旦有大量的 TCP連接，即便是正常的，也會導致網站訪問非常緩慢甚至無法訪問，TCP全連接攻擊就是通過許多殭屍主機不斷地與受害伺服器建立大量的TCP連接，直到 伺服器的內存等資源被耗盡而被拖跨，從而造成拒絕服務，這種攻擊的特點是可繞過一般防火牆的防護而達到攻擊目的，缺點是需要找很多殭屍主機，並且由於殭屍 主機的IP是暴露的，因此容易被追蹤。

刷Script腳本攻擊

這種攻擊主要是針對存在ASP、JSP、PHP、CGI等腳本程序，並 調用MSSQLServer、 MySQLServer、Oracle等資料庫的網站系統而設計的，特徵是和伺服器建立正常的TCP連接，並不斷的向腳本程序提交查詢、列表等大量耗費數 據庫資源的調用，典型的以小博大的攻擊方法。一般來說，提交一個GET或POST指令對客戶端的耗費和帶寬的佔用是幾乎可以忽略的，而伺服器為處理此請求 卻可能要從上萬條記錄中去查出某個記錄，這種處理過程對資源的耗費是很大的，常見的資料庫伺服器很少能支持數百個查詢指令同時執行，而這對於客戶端來說卻 是輕而易舉的，因此攻擊者只需通過Proxy代理向主機伺服器大量遞交查詢指令，只需數分鐘就會把伺服器資源消耗掉而導致拒絕服務，常見的現象就是網站慢 如蝸牛、ASP程序失效、PHP連接資料庫失敗、資料庫主程序佔用CPU偏高。這種攻擊的特點是可以完全繞過普通的防火牆防護，輕鬆找一些Proxy代理 就可實施攻擊，缺點是對付只有靜態頁面的網站效果會大打折扣，並且有些Proxy會暴露攻擊者的IP位址。