安全设备功能简介

安全设备介绍

前言

做安全是离不开安全设备的，无论是红方还是蓝方，我觉得都应该了解安全设备的工作原理，以及使用方式。我将从网络入口开始，为大家介绍每台设备的功能。个人理解，有错误的欢迎同行斧正。

一、抗DDOS攻击功能介绍

抗d是常见的出口设备
DDoS（Distributed Denial of Service） 分布式拒绝服务是最常见的网络攻击之一。因为操作简单，效果显著，在没有出现抗d设备之前，ddos攻击只能通过调配防火墙策略来防御，这有两个缺点，一，对策略配置人员的经验水平要求高，策略下发后即时生效可能会造成误阻断。二，对设备性能要求高，因为是通过防火墙来过滤流量，有时防火墙直接部署边界是起到边界路由的作用，其本身的业务负载就大（包括边界网关，nat之类的）所以防火墙可能会因此“熄火”，使得业务中断之类的情况出现。
抗d的功能（以绿盟设备举例）：可以通过本地与云端联动来进行流量清洗，本地解决带宽内的各类DDos攻击，可以通过更改抗d的策略来实现细粒度检查，云端防护大流量攻击。
这样的好处是，当本地出口带宽超负载时，可以把流量引入云端，通过云计算的大性能来清洗流量，防止出现业务中断的情况。

二、防火墙功能介绍

防火墙是最常见的安全设备了，根据防火墙部署位置不同，起到的作用也不一样。一般防火墙是由数通引擎和安全引擎组成的。
当防火墙部署在网络出口时可以当成边界网关来使用，这时候有路由，nat，dhcp，访问控制等功能。
部署在网络边界时，主要为访问控制功能。
由于现在各大安全厂商设备趋于同质化，防火墙作为最常用的安全设备，也被加了很多功能，例如应用识别管理，用户身份认证，url过滤之类的。
功能都是大差不差，底层逻辑都是通过acl来对各协议之类的进行操作（阻断，放过）。

三、ips功能介绍

ips全称网络入侵保护系统，和上面的抗d一样，都属于防火墙的策略细化设备（个人理解），专职干的事不一样，尤其是现在防火墙功能加得越来越多的情况下，这种策略细化的设备更应该引起重视，并不是一台防火墙就能解决网络出口边界的安全问题的。
ips功能：
1、入侵防护
实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、D.o.S等恶意流量；
2、数据防泄漏
防止内部敏感数据泄露，可在功能模块里开启，可以以黑名单词汇的方式对应用层进行检测之类的。
3、oady防护
通过和沙箱联动，让沙箱（虚拟仿真环境）先运行一遍可疑文件，ips监控环境来识别可疑文件是否为恶意文件。
4、僵尸网络发现
这个就看各厂商的能力了，这是属于与云端数据进行比对，云端数据库中有信息就能检测出来，没有信息就无法检测了。
5、流控
流量控制，做了身份认证之后，可以把非授权用户的所有数据传输给阻断掉，保证一个正常带宽的利用率，也可以防私接路由
6、防病毒
这个其实有更专业的设备，防毒墙，也是看通过和厂商病毒样本数据库进行比对来实现防控，专业防毒设备可能可以做到文件解析，对底层进行审核，目前没见过这种设备，这方面还是比较依赖人工来做逆向分析。

四、waf功能介绍

waf全称web应用防火墙
原理简单介绍一下，通过黑名单，白名单加详细策略来实现对web应用的防护，这个设备是仅针对web应用的
功能介绍：
1、网站访问控制
可以通过黑名单或者白名单的方式，来实现网站只允许指定ip访问（或禁止指定ip访问）。可以做到指定路径只允许指定ip访问，这样就相当于隐藏了部分页面了，例如后台登录页面就可以这样来操作
2、网页防篡改
这个也有专业设备，就叫网页放篡改，因为现在网站劫持的事情还是很多的，这个可以实时检测网页内容，是否被篡改，检测机制有好几种，什么数字签名检测，截图检测等不赘叙。
3、敏感信息防泄露
可以通过定义黑名单词库，来识别发布内容，做到敏感信息过滤。
4、防sql注入，xss攻击之类的，原理还是通过策略调配来实现，waf的功能还是很多的，这里只能挑一些比较常用的功能来说，他可以针对所有的已知的web漏洞来做防护。

五、数据库审计

这个和waf差不多，waf针对web应用，数据库审计针对数据库。
功能：
1、数据库操作记录
记录每次操作的发生时间、数据库类型、源MAC地址、目的MAC地址、源端口、目标端口、数据库名、用户名、客户端IP、服务器端IP、操作指令、操作返回状态值。
2、数据库操作审计
这个就是通过调策略来识别数据库操作是否合法。
主要功能就这两个，功能还是很强大的，可以通过调配策略来实现操作行为的审计，防止非法操作，即使被入侵后，也能通过查看操作记录进行溯源。

六、堡垒机

这个功能简单，就是通过堡垒机来实现各个设备的登录。有什么用呢？
1、每台设备都可以做三权分立（操作员，审计员，管理员），且密码可以尽可能的复杂，因为可以通过堡垒机登录，密码不需要记只需要记堡垒机密码即可。
2、上面那条，如果堡垒机被入侵之后，岂不是所有设备都完了，不是，堡垒机可以对权限进行划分，堡垒机账户可以开设多个，每个账户都可以给不同的权限，实现账户权限的进一步细化。
3、可以定期给设备进行改密，防止口令爆破。

七、日志审计

接收设备日志，满足等保合规性要求，方便溯源。没啥功能，只是一个单纯存储日志的设备。

八、上网行为管理

对所有上网的终端的上网行为进行管理包括不限于身份认证，应用管控，url管控，限速啥的，有些厂商防火墙上也加了这个功能模块，这种设备一般是大场景下使用，例如商场免费wifi的管控，学校上网，禁止学生干坏事之类的。属于锦上添花的设备。

九、漏扫

漏洞扫描设备，这个设备的功能十分强大
用在蓝方可以对自身网络架构进行扫描，然后根据扫描报告进行整改，可以具体到设备进行配置核查，也可以对一个网络端的设备进行主机扫描，查看是否存在系统漏洞，是否有版本漏洞，对web站点进行扫描，可以探测web业务的框架漏洞，版本漏洞，效果好坏取决于厂商的漏洞库，越全效果越好。我使用过绿盟的长亭的深信服的漏扫，就使用体验来说还是绿盟的最好用。
还可以对弱口令进行扫描，部分厂商还带代码审计模块，不过这个功能我觉得并不是很实用，首先客户的源码不一定愿意拿出来让设备进行审计（因为设备联网，有泄露风险）第二个代码审计这个更多的还是经验的判断，或者直接进行渗透测试来判断，通过设备来实现，只不过是内置条件的比对，这种误报率高，且只能发现一些常犯的错误，毕竟机器是死的，人是活的，任何程序的编写目前还是人来完成的，有可能人家的程序就是靠bug来运行的呢，这样根据设备来进行代码审计，然后整改，搞不好程序就崩了。
上面说了蓝队，用在红队能干嘛呢。降低信息搜集的难度，可以先对漏扫扫出来的漏洞进行复现，测试，降低了红队的人工。其他的没啥，对红队就这么一个用处，或许也可以用这个来进行弱口令验证，毕竟是脚本集合体。相比于开那么多工具，不如用这一台，封ip也能绕过自己的ip。

总结

安全设备种类很多，这只是说了一些常见的，还有一些不常见的例如物理网准入啊，应用控制网关，流量控制网关，防毒墙，edr之类的没有讲，这些在实际场景中也会有需求，而且各个厂商的设备都有差别，虽然差别不大，但是每个厂商的设备习惯还是不同的，这里批评一下天融信，设备不好用，希望能改进一下。