在我们常日的网络架构中,说到网络安全设备,首先第一想到的是:
一、防火墙分类:
1.包过滤防火墙
这是第一代防火墙,又称为网络层防火墙,在每一个数据包传送到源主机时都会在网络层进行过滤,对付不合法的数据访问,防火墙会选择阻拦以及丢弃。这 种防火墙的连接可以通过一个网卡即一张网卡由内网的IP地址,又有公网的IP地址和两个网卡一个网卡上有私有网络的IP地址,另一个网卡有外部网络的IP 地址。
2.状态/动态检测防火墙
状态/动态检测防火墙,可以跟踪通过防火墙的网络连接和包,这样防火墙就可以利用一组附加的标准,以确定该数据包是许可或者谢绝通信。它是在利用了基本包过滤防火墙的通信上运用一些技能来做到这点的。
3.运用程序代理防火墙
运用程序代理防火墙又称为运用层防火墙,事情于OSI的运用层上。运用程序代理防火墙实际上并不许可在它连接的网络之间直接通信。相反,它是接管来自内部网络特定用户运用程序的通信,然后建立于公共网络做事器单独的连接。
二、入侵检测系统(IDS)和入侵防御系统(IPS)
入侵检测系统(IDS)通过监视网络或系统资源,探求违反安全策略的行为或攻击迹象,并发出报警。传统的防火墙旨在谢绝那些明显可疑的网络流量,但是仍旧许可某些流量通过,因此防火墙对付很多入侵攻击仍旧无计可施。绝大多数的IDS系统都是被动的,而不是紧张的。也便是说,在攻击实际发生之前,它们每每无法预先发出警报。而IPS则方向于供应主动防护,其涉及宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成丢失,而不是大略地在恶意流量传送或传送后才发出警报。
IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口吸收来自外部系统的流量,经由检讨确认个中不包含非常活动或可疑内容后,再通过其余一个端口将它传送到内部系统中。这样一来,有问的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被打消掉。
三、ACG(上网行为管理)
上网行为管理是指帮助互联网用户掌握和管理对互联网的利用。其包括对网页访问过滤、上网隐私保护、网络运用掌握、带宽流量管理、信息收发审计、用户行为剖析等。
紧张包括上网职员管理,上网浏览管理,上网外发管理,上网运用管理,上网流量管理,上网行为剖析,上网隐私保护,设备容错管理,风险集中告警管理等,其支配在核心交流机的上层,防火墙的下层,须要并入到网络架构中,最好不要察看犹豫,由于有些功能,旁路到核心上会实现不了。
四、抗DDOS(非常流量攻击)
想仅仅依赖某种系统或高防防流量攻击做事器防住DDOS是不现实的,可以肯定的是,完备杜绝DDOS目前是不可能的,但通过适当的方法抵御99.9%的DDOS攻击是可以做到的,基于攻击和防御都有本钱开销的缘故,若通过适当的办法增强了抵御DDOS的能力,也就意味着加大了攻击者的攻击本钱,那么绝大多数攻击者将无法连续下去而放弃,也就相称于成功的抵御了DDOS攻击。近年来随着网络的不断遍及,流量攻击在互联网上的大肆泛滥,DDOS攻击的危害性不断升级,面对各种潜在不可预知的攻击,越来越多的企业显的不知所措和力不从心。单一的高防防流量攻击做事器就像一个大功率的防火墙一样能办理的问题是有限的,而集群式的高防防流量攻击技能,也不是一样平常企业所能节制和利用的。怎么样可以确保在遭受DDOS攻击的条件下,做事器系统能够正常运行呢或是减轻DDOS攻击的危害性?
SYN/ACK Flood攻击
这种攻击方法是经典最有效的DDOS方法,可通杀各种系统的网络做事,紧张是通过向受害主机发送大量假造源IP和源端口的SYN或ACK 包,导致主机的缓存资源被耗尽或忙于发送回应包而造成谢绝做事,由于源都是假造的故追踪起来比较困难,缺陷是履行起来有一定难度,须要高带宽的僵尸主机支 持。少量的这种攻击会导致主机做事器无法访问,但却可以Ping的通,在做事器上用Netstat -na命令会不雅观察到存在大量的SYN_RECEIVED状态,大量的这种攻击会导致Ping失落败、TCP/IP栈失落效,并会涌现系统凝固征象,即不相应键 盘和鼠标。普通防火墙大多无法抵御此种攻击。
TCP全连接攻击
这种攻击是为了绕过常规防火墙的检讨而设计的,一样平常情形下,常规防火墙 大多具备过滤TearDrop、Land等DOS攻击的能 力,但对付正常的TCP连接是放过的,殊不知很多网络做事程序(如:IIS、Apache等Web做事器)能接管的TCP连接数是有限的,一旦有大量的 TCP连接,即便是正常的,也会导致网站访问非常缓慢乃至无法访问,TCP全连接攻击便是通过许多僵尸主机不断地与受害做事器建立大量的TCP连接,直到 做事器的内存等资源被耗尽而被拖跨,从而造成谢绝做事,这种攻击的特点是可绕过一样平常防火墙的防护而达到攻击目的,缺陷是须要找很多僵尸主机,并且由于僵尸 主机的IP是暴露的,因此随意马虎被追踪。
刷Script脚本攻击
这种攻击紧张是针对存在ASP、JSP、PHP、CGI等脚本程序,并 调用MSSQLServer、 MySQLServer、Oracle等数据库的网站系统而设计的,特色是和做事器建立正常的TCP连接,并不断的向脚本程序提交查询、列表等大量耗费数 据库资源的调用,范例的以小博大的攻击方法。一样平常来说,提交一个GET或POST指令对客户真个耗费和带宽的占用是险些可以忽略的,而做事器为处理此要求 却可能要从上万条记录中去查出某个记录,这种处理过程对资源的耗费是很大的,常见的数据库做事器很少能支持数百个查询指令同时实行,而这对付客户端来说却 是轻而易举的,因此攻击者只需通过Proxy代理向主机做事器大量递交查询指令,只需数分钟就会把做事器资源花费掉而导申谢绝做事,常见的征象便是网站慢 如蜗牛、ASP程序失落效、PHP连接数据库失落败、数据库主程序占用CPU偏高。这种攻击的特点是可以完备绕过普通的防火墙防护,轻松找一些Proxy代理 就可履行攻击,缺陷是对付只有静态页面的网站效果会大打折扣,并且有些Proxy会暴露攻击者的IP地址。
