最深入的网络安全设备知识讲解
《网络安全知识培训》课件
介绍混合加密原理以及PKI在保障数据安全 中的应用。
防火墙与入侵检测
防火墙技术概述
介绍防火墙的基本概念、功能及分类 。
防火墙技术原理
深入剖析包过滤、应用代理及内容过 滤等防火墙技术的实现原理。
入侵检测系统
介绍入侵检测系统的基本概念、工作 原理及关键技术。
入侵检测技术的发展趋势
员工应具备识别和应对网络威胁的能力,能 够及时报告可疑行为和事件。
定期开展网络安全培训
培训内容应涵盖网络安全基本 知识、安全防护技能、应急响 应流程等方面。
培训形式可以包括在线课程、 现场讲解、模拟演练等,以便 员工更好地理解和掌握。
培训后应进行考核,确保员工 真正掌握了网络安全知识和技 能。
网络安全知识竞赛与宣传
根据企业的业务需求和安全风险,设计合理的网络安全架构。包括网络分段、访问控制、安全审计、入侵检测与 防御等安全措施的部署和配置。同时,加强网络安全管理制度建设,提高员工的安全意识和操作技能。
04
网络安全事件应急响应
安全事件识别与报告
总结词
及时发现、准确判断
安全事件分类
根据影响范围和严重程度,将 安全事件分为不同的级别,如 一般、重要、紧急等。
探讨入侵检测技术的发展方向及未来 趋势。
病毒与恶意软件防范
病毒与恶意软件概述
介绍病毒与恶意软件的基本概念、特点及危害。
病毒与恶意软件的传播途径及防范措施
分析病毒与恶意软件的传播途径,并给出相应的防范措施。
安全软件的选择与使用
介绍如何选择和使用杀毒软件、安全软件来防范病毒与恶意软件的攻 击。
应急响应与处置
重要性
随着互联网的普及和信息化程度的提高,网络安全已经成为国家安全、社会稳定和经济发展不可或缺的基石。 保护网络安全对于保障国家安全、维护公民权益、促进经济发展具有重要意义。
网络安全知识点
1.网络安全设计的新技术移动网络安全、大数据、云安全、社交网络和物联网等成为新的攻击点2.网络安全面临的主要危险有人为因素、系统和运行环境等,其中包括网络系统问题和网络数据的威胁和隐患。
3.网络安全威胁主要表现为:非法授权访问、窃听、黑客入侵、假冒合法用户、病毒破坏、干扰系统正常运行、篡改或破坏数据等。
4.威胁性攻击的分类,其中典型的被动攻击是什么威胁性攻击主要分主动攻击和被动攻击,嗅探是典型的被动攻击。
5.防火墙的局限性及风险:防火墙能够较好地阻止外网基于IP包头的攻击和非信任地址的访问,却无法阻止基于数据内容的黑客攻击和病毒入侵,也无法控制内网之间的攻击行为。
6.数据库安全的种类数据库安全不仅包括数据库系统本身的安全,还包括最核心和关键的数据(信息)安全7.信息安全的定义信息安全是指系统的硬件、软件及其信息受到保护,并持续正常地运行和服务。
8.信息安全的5大特征:确保信息的保密性、完整性、可用性、可控性和可审查性9.网络安全的定义:网络安全是指利用网络技术、管理和控制等措施,保证网络系统和信息的保密性、完整性、可用性、可控性和可审查性受到保护。
10.网络空间安全:网络空间安全是研究网络空间中的信息在产生、传输、存储和处理等环节中所面临的威胁和防御措施,以及网络和系统本身的威胁和防护机制。
11.网络安全包含的方面:网络系统的安全、网络信息的安全12.网络安全涉及的内容包括:实体安全(物理安全)、系统安全、运行安全、应用安全、安全管理13.网络安全技术的定义网络安全是指为解决网络安全问题进行有效监控和管理,保障数据及系统安全的技术手段。
14.网络安全主要主要包括什么实体安全技术、网络系统安全技术、数据安全、密码及加密技术、身份认证、访问控制、防恶意代码、检测防御、管理与运行安全技术等,以及确保安全服务和安全机制的策略等。
15.主要通用的网络安全技术身份认证、访问管理、加密、防恶意代码、加固监控、审核跟踪、备份恢复16.常用的描述网络安全整个过程和环节的网络安全模型为PDRR模型:防护(Protection)、检测(Detection)、响应(Reaction)、恢复(Recovery)17.实体安全的内容主要包括哪几方面:环境安全、设备安全、媒体安全18.TCP/IP层次安全性TCP/IP安全性分多层。
[网络安全知识教育]网络安全知识资料
![[网络安全知识教育]网络安全知识资料](https://img.taocdn.com/s3/m/6098d7d5185f312b3169a45177232f60ddcce7d6.png)
[网络安全知识教育]网络安全知识资料网络安全知识资料11.网络安全类型运行系统安全,即保证信息处理和传输系统的安全。
它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏,产生信息泄漏,干扰他人,受他人干扰。
网络上系统信息的安全。
包括用户口令鉴别,用户存取权限控制,数据存取权限、方式控制,安全审计,安全问题跟踪,计算机病毒防溻,数据加密。
网络上信息传播安全,即信息传播后果的安全。
包括信息过滤等。
它侧重于防止和控制非法、有害的信息进行传播后的后果。
避免公用网络上大量自由传输的信息失控。
网络上信息内容的安全。
它侧重于保护信息的保密性、真实性和完整性。
避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等有损于合法用户的行为。
本质上是保护用户的利益和隐私。
2.网络安全特征网络安全应具有以下四个方面的特征:保密性:信息不泄漏给非授权用户、实体或过程,或供其利用的特性。
完整性:数据未经授权不能进行改变的特性。
即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按需要使用的特性。
即当需要时能否存取所需的信息。
例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;可控性:对信息的传播及内容具有控制能力。
3.威胁网络安全因素自然灾害、意外事故;计算机犯罪; 人为行为,比如使用不当,安全意识差等;黑客“ 行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;内部泄密;外部泄密;信息丢失;比如信息流量分析、信息窃取等; 信息战;网络协议中的缺陷,例如TCP/IP协议的安全问题等等。
网络安全威胁主要包括两种:渗入威胁和植入威胁渗入威胁主要有:假冒、旁路控制、授权侵犯;植入威胁主要有:特洛伊木马、陷门。
陷门:把某一”特征“设立于某个系统或系统部件之中,使得在提供特定的输入数据时,允许安全策略被违反。
计算机网络与网络安全基础知识
计算机网络与网络安全基础知识计算机网络是现代社会最为重要的基础设施之一,而网络安全则是保障计算机网络运行稳定和信息安全的关键。
本文将介绍计算机网络和网络安全的基础知识,包括网络的组成、网络协议、网络拓扑结构以及网络安全的重要性和常见威胁,以帮助读者全面了解这一领域。
一、计算机网络基础知识1.1 网络的定义和组成计算机网络是指将多台计算机通过通信设备相连接,实现数据和信息的交换和共享的系统。
它由主机、网络设备和传输介质三部分组成。
主机是指连接网络的计算机,网络设备包括路由器、交换机等,传输介质则是信息传输的媒介,如以太网、光纤等。
1.2 网络协议网络协议是计算机网络中实现通信的规则和约定。
常见的网络协议包括TCP/IP协议、HTTP协议等。
TCP/IP协议是互联网中最重要的协议,是计算机网络通信的基石。
HTTP协议则用于在万维网上进行超文本传输。
1.3 网络拓扑结构网络拓扑指的是计算机网络中各个节点之间物理和逻辑连接的结构形式。
常见的网络拓扑结构有星形拓扑、总线拓扑和环形拓扑等。
星形拓扑是最常见的一种拓扑结构,其中每个节点都通过交换机或集线器与中心节点相连。
二、网络安全基础知识2.1 网络安全的定义和重要性网络安全是指保护计算机网络系统的信息免遭未授权的访问、使用、披露、破坏和干扰,确保网络安全运行的一系列措施和技术手段。
网络安全的重要性不言而喻,一旦网络遭受攻击或受到病毒侵袭,将对个人、企业甚至国家安全产生严重影响。
2.2 网络安全的威胁与攻击手段网络安全面临的威胁与攻击手段多种多样,包括计算机病毒、网络钓鱼、拒绝服务攻击等。
计算机病毒是一种植入到计算机系统中的恶意软件,能够破坏文件、操作系统等。
网络钓鱼则是利用虚假的网站或电子邮件进行欺骗,窃取用户的个人信息。
拒绝服务攻击则是通过洪泛网络流量的方式,使服务器过载无法正常运行。
2.3 网络安全的防护措施为了保护网络安全,需要采取一系列的防护措施。
网络安全知识摘要
网络安全知识摘要网络安全知识摘要汇总一、网络安全基本概念网络安全是指通过技术、管理和法律手段,保护计算机网络系统及其相关数据不受外部威胁和侵害,确保网络的可用性和安全性。
网络安全包括网络设备安全、网络信息安全、系统运行安全、数据传输安全等多个方面。
二、网络安全风险因素1.网络设备安全:网络设备包括路由器、交换机、服务器等,这些设备的安全性直接影响到整个网络系统的安全。
2.网络信息安全:网络信息包括各种数据、文档、图片、视频等,这些信息容易被黑客攻击、病毒感染或非法获取,导致泄露或篡改。
3.系统运行安全:系统运行安全包括操作系统、数据库系统等,这些系统一旦被攻击,容易导致系统崩溃或数据泄露。
4.数据传输安全:数据传输安全包括数据加密、防火墙、入侵检测等,这些措施可以保护数据在传输过程中的安全性。
三、网络安全防范措施1.防火墙:防火墙是网络安全的第一个防线,可以防止未经授权的网络流量进入内部网络,有效防止黑客攻击和病毒入侵。
2.入侵检测:入侵检测系统可以实时监控网络流量,发现异常行为和攻击,及时报警并采取相应措施。
3.数据加密:数据加密是保护数据传输安全的重要手段,包括对称加密、非对称加密、数字签名等多种方式。
4.访问控制:访问控制可以限制用户对网络资源的访问权限,防止非法访问和攻击。
5.安全审计:安全审计是对网络系统进行全面、实时的安全检查,及时发现和解决安全隐患。
四、网络安全法律法规1.《中华人民共和国网络安全法》:是保护网络安全的重要法律,规定了网络安全的基本原则、责任和义务、网络安全标准和技术措施、网络安全应急预案等内容。
2.《中华人民共和国刑法》:是打击网络犯罪的重要法律,规定了网络犯罪的罪名和刑罚,以及网络犯罪的证据和调查程序等内容。
3.《中华人民共和国计算机信息网络国际联网管理暂行规定》:规定了计算机信息网络国际联网的安全管理措施,包括网络安全保密、安全监控、安全检查等内容。
五、网络安全应急预案1.网络安全应急预案是指在网络受到攻击或破坏时,能够迅速反应、及时处理的安全措施。
网络安全知识培训PPT课件
使用DOS命令快速排查网络故障
Ipconfig命令 (参数:/all )
功能:显示所有网络适配器(网卡、拨号连接等)的完整TCP/IP配 置信息。可以检查如IP是否动态分配、显示网卡的物理地址等。
Host Name:主机名,亦是本地计算机名 Description:显示此连接的网卡属性、信息。有的计算机有多种
2023/10/17
培养良好的上网习惯
3. 不使用BT等下载工具,保障网络带宽 BT被国内网友称为“变态下载”,是一种多点共享协议软件,是专
门为大容量文件的共享而设计,由美国加州一名的程序员开发出来。 BT首先在上传者端把一个文件分成了很多部分,用户甲随机下载了 其中的一些部分,而用户乙则随机下载了另外一些部分。这样甲的 BT就会根据情况(根据与不同电脑之间的网络连接速度自动选择最快 的一端)到乙的电脑上去拿乙已经下载好的部分,同样乙的BT就会根 据情况到甲的电脑上去拿甲已经下载好的部分。也就是说每个用户在 下载的同时,也作为源在上传,大家在用BT下载的同时也在大量上 传,并且下载完后如果不手动停止还会不断的上传,从而不停的产生 流量,表现得最突出的就是流量的急剧增加。造成网络的开销很大, 严重影响局域网的其他用户的使用,甚至造成网络瘫痪。此外,因为 BT下载会对硬盘进行反复读写,容易使硬盘产生高温,直接影响硬 盘的寿命。并且当下载人数愈多,同一时间读取你的硬盘的人亦愈多, 硬盘大量进行重复读写的动作,加速消耗。同时因为下载太多东西, 使扇区的编排混乱,读写数据时要在不同扇区中读取,增加读写次数, 加速硬盘消耗,很容易造成硬盘损坏,因此不要在局域网内使用BT。
2023/10/17
培养良好的上网习惯
4.可执行文件防毒 绝大多数的计算机病毒通常都以文件型病毒的形式存在,所谓文件型病毒是
网络安全基础知识汇总
网络安全基础知识汇总一、引论提到网络安全,一般人们将它看作是信息安全的一个分支,信息安全是更加广义的一个概念:防止对知识、事实、数据或能力非授权使用、误用、篡改或拒绝使用所采取的措施,说白了,信息安全就是保护敏感重要的信息不被非法访问获取,以及用来进一步做非法的事情。
网络安全具体表现在多台计算机实现自主互联的环境下的信息安全问题,主要表现为:自主计算机安全、互联的安全(实现互联的设备、通信链路、网络软件、网络协议)以及各种网络应用和服务的安全。
这里提到了一些典型的网络安全问题,可以来梳理一下:1.IP安全:主要的攻击方式有被动攻击的网络窃听,主动攻击的IP欺骗(报文伪造、篡改)和路由攻击(中间人攻击);2.DNS安全:这个大家应该比较熟悉,修改DNS的映射表,误导用户的访问流量;3.DoS攻击:单一攻击源发起的拒绝服务攻击,主要是占用网络资源,强迫目标崩溃,现在更为流行的其实是DDoS,多个攻击源发起的分布式拒绝攻击;网络安全的三个基本属性:机密性、完整性与可用性,其实还可以加上可审性。
机密性又叫保密性,主要是指控制信息的流出,即保证信息与信息不被非授权者所获取与使用,主要防范措施是密码技术;完整性是指信息的可靠性,即信息不会被伪造、篡改,主要防范措施是校验与认证技术;可用性是保证系统可以正常使用。
网络安全的措施一般按照网络的TCP/IP或者OSI的模型归类到各个层次上进行,例如数据链路层负责建立点到点通信,网络层负责路由寻径,传输层负责建立端到端的通信信道。
最早的安全问题发生在计算机平台,后来逐渐进入网络层次,计算机安全中主要由主体控制客体的访问权限,网络中则包含更加复杂的安全问题。
现在网络应用发展如火如荼,电子政务、电子商务、电子理财迅速发展,这些都为应对安全威胁提出了挑战。
密码学在网络安全领域中的应用主要是机密性和身份认证,对称密码体制如DES,非对称密码体制如RSA,一般的做法是RSA保护DES密钥,DES负责信息的实际传输,原因在于DES 实现快捷,RSA相比占用更多的计算资源。
网络安全基础设施
网络安全基础设施网络安全基础设施是指企业或组织设置的保护其网络系统免受未经授权的访问、破坏或攻击的各种措施和技术手段。
在当今网络化时代,保护网络安全变得尤为重要。
下面将就网络安全基础设施进行详细介绍。
网络安全基础设施包括网络安全策略、网络安全硬件和软件设备、网络防护措施和网络安全人员等。
首先,制定网络安全策略是网络安全基础设施的基础。
网络安全策略应包括安全政策、安全控制和安全操作三个方面。
它是整个网络安全工作的指导思想和总体方向,可以帮助企业或组织遵循规则、规范行为,提供网络安全和运行的保障。
其次,网络安全硬件和软件设备是保障网络安全的重要组成部分。
硬件设备主要有防火墙(Firewall)、安全网关(Security Gateway)、入侵检测系统(Intrusion Detection System,IDS)和入侵防御系统(Intrusion Prevention System,IPS)等。
防火墙可以监控并过滤网络流量,阻止未经授权的访问和攻击。
安全网关则能够对网络通信进行检查和控制,保障网络安全。
入侵检测系统和入侵防御系统则可以实时监测和防御网络攻击,提前发现和防范威胁。
网络防护措施是网络安全基础设施的重要组成部分。
网络防护措施包括网络身份验证、密码安全、数据加密、安全更新和备份等。
网络身份验证是通过识别用户的身份,确定其是否被授权访问网络资源。
密码安全则是保护用户的密码不被破解或盗取。
数据加密则是通过对数据进行加密,保护数据的机密性和完整性。
安全更新是及时安装和更新网络系统的安全补丁和更新程序,修复已知漏洞。
备份是将重要数据和系统进行备份,以防止意外数据丢失或系统崩溃。
最后,网络安全人员是网络安全基础设施的重要保障。
网络安全人员主要负责监控网络安全状况、分析网络攻击、应对网络威胁和提供网络安全咨询等。
他们应具备专业的网络安全知识和技能,能够熟练运用各种网络安全工具和技术,及时发现和防范潜在威胁,保障企业或组织的网络安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
最深入的网络安全设备知识讲解来源于:互联网观念:在网络上,主要的概念是: 该如何做才能让封包流量更快、更稳。
在资安上,主要的概念是: 如何掌握、比对、判断、控制封包。
好吧~让我们直接来看在一个网络环境里,我们可以在哪些地方摆入资安设备:(设备实际摆设位置会因为产品不同与客户环境而有所变动)是滴~任何网络设备、任何网络位置都可以看见资安设备的踪影!为什么呢?因为上面提过,资安的概念是如何掌握、比对、判断、控制封包!做个有趣的比喻,你可以想象一个原始封包就像个光着身子的美女,随着OSI模式各层的设计师帮她穿上合适的衣服之后才让它出门,VPN只能看见包裹着白布的木乃衣、Firewall可以看见去掉白布后穿着厚衣服的美女容貌、IPS可以从外套推测美女内在的三围、该死的VirusWall竟然有权可以对美女搜身、上网行为管理可以去掉白色的衬杉看美女身上的内衣裤是否是老板希望的款式…好吧~我们聊的是Network Security,我必需就此打住!至少我们了解一件事,资安的Solution可以存在网络的任何地上(SI知道一定很开心~生意做不完呀!)资安设备简介:接下来是针对各设备做常识性地说明,让大家对资安设备有一个全盘性的概念!(由于小弟碰的设备有限经验也不足,仅对知道的一小部份说明,任何错误与不足,还望各前辈们指正)。
Router:Router通常是Cisco的Router才能加上资安的解决方案,Cisco新一代Router都叫ISR(Integrated Service Router),可以整合IPS或Voice模块,在外部的Router通常我们希望它扮演好Router的角色即可,而内部买不动一台IPS设备时,会建议客户从现有的Router上加上IPS模块。
Switch:Switch一般也要到Core等级才可加入IPS模块,就如同Router一样,主要就是加上入侵侦测的功能,在客户环境Switch效能ok,也不打算多买设备,可以加入模块方式来保护网络。
VPN:VPN即Virtual Private Network,顾名思义即是要达成一个虚拟的私人网络,让在两个网域的计算机之间可以像在同一个网域内沟通一样。
这代表的是必需做到外部网络是不能存取或看见我们之间的封包传送,而这两个网域之间是可以轻易的相互使用网络资源。
要做到如此,VPN必需对流经封包进行加密,以让对外传输过程不被外人有机看见传输内容,相对的传过去的目的地需要一台解密的机器,可能也是一台VNP或是一个装在notebook上的软件。
也因为传输过程加密之故,许多希望在传输上更安全的需求,也都会寻求VPN。
VPN的发展到现在,主要市场以SSL VPN的运作,因为可以利用现有的客户端程序(如IE)即可完成加密、解密、验证的程序,使用端不需一台VPN机器,或是client端程序,在导入一个环境最容易,使用上也最简便。
FireWall:FireWall肯定是最古老的资安产品,但!也是最经典的产品,简单的说,它就像Port的开关,如上图firewall左边的port可能1~65535都有,但封包想流进来~嘿!得先问问Firewall 老大哥,这里他只开放了25,80,443的流量进来,其它都别想!!Firewall的第二个大功能就是可以区别网段,如上图的DMZ也可以从Firewall切出来,如此可以确保网络封包的流向,当流量从外面进来观顾时,只允许流到DMZ区,不可能流至内部区网内,避免外部网络与内部网络封包混杂。
第三个功能,也就是能区别从Router上设ACL的功能,SPI(Stateful Packet Inspection)封包状态检查,可快速地检查封包的来源与目的地址、通讯协议、通讯port、封包状态、或其它标头信息,以判断允许或拒绝!。
IPS/IDS:这仍然是很年轻的产品,一开始叫IDS(Intrusion Detection System)入侵侦测系统,顾名思义:在有人攻击或入侵到我的土地内之后我会知道,是一个可以侦测出有没有人入侵这个事件!后来人们体会到,坏人都跑进我家了我才知道,有没有可能在侦测到的同时做出抵制的动作呢?于是IPS(Intrusion Prevention System)入侵防御系统就诞生了,在IPS中写入pattern,当流经的封包比对pattern后确定为攻击行为,马上对该封包丢弃或阻断来源联机。
一般IPS系统都不只一个网段,如上图,可以摆在Firewall前面更积极地阻挡对Firewall 的攻击,或是于Firewall之后,直接比对流经合法port后进来的流量是否为攻击行为,也可分析流出封包(了解内部员工上网行为、情况)。
在真实情况是否要将IPS摆在firewall 之前要看硬件throughput,看哪一台的效能好就摆前面吧^^通常IPS的测试期比较长,因为在环境内开启IPS规则后会有”误判”情形!实属正常,除非开的规则太宽松,否则有正常的封包被挡是正常不过的,这时我们就需要对规则调校,所以测IPS是磨工程师的大好机会!运气不好,要对每一个有问题的计算机、程序手动抓封包来k~~嘿~就当是练工吧^^。
Virus Wall:VirusWall是较简单的产品,概念就是将防毒引擎放在Gateway,让所有流经的封包都能比对过引擎内的病毒特征。
说到这,大家应该知道评估ViruWall的重点了!。
什么防毒引擎。
扫毒速度快或慢防毒永远没有人敢打包票可以100%防毒!纯粹是机率问题,每家的防毒率都不一定,能补足的最简单方法就是导入与原有环境不同的防毒引擎!如原有client端用的是norton,于是viruswall就找一家卡巴的^^或前方UTM用趋势的,还可导入McAfee的viruswallVirusWall对装机工程师而言是很简单的产品,只需留意客户希望对哪些Port的流量进行扫毒,难的是背后更新病毒码的RD们~我只能说,RD们辛苦了!!。
WebSecurityWebSecurity单纯地过滤Web流量中的封包,针对每个要求的URL比对数据库是否为危险、或钓鱼、恶意的目的URL,是的话就直接阻挡联机。
如果连到了目的地之后,可能因为临时被骇或数据库内没有该笔URL,回来的封包再经一次病毒引擎的扫描,由于是针对Web,所以病毒引擎要挑在恶意网站分析较强的引擎。
简单的说,怕user上网中毒、或钓鱼网站被受骗,需要导入这个设备^^。
ApplicationFirewall对于很重视网页运作服务的公司,对于这项设备应该较有兴趣。
较简单的例子是在做渗透测试时,总是会在客户的Web网页可输入的地方try一下SQL语,当把这设备放在WebServer之前,你的语法会顿时失效,好吧~这时会再试一下XSS、cookie、session…呵~时常是没有成效的试验@@即使WebServer运行的IIS或Apache未更新,拥有众所周知的漏洞,仍然阻挡住该漏洞的攻击。
当然!就如之前提过的,资安是机率问题,它可以降低被攻击机率,但不可能无敌!。
Spam Wall:电子邮件是一个很棒的广告途径,但随着信息愈来愈发达,越来越多的生意靠着e-mail来广告,慢慢的,使用者感受到过多的e-mail造成的不便,于是挡垃圾信的设备就诞生啦~可以叫Anti-spam或Spam wall。
一开始的spam单纯地阻挡垃圾邮件,但许多黑客发现了这个管道,也利用mail,大量发送钓鱼连结、附加病毒文件、恶意连结…的信件,于是anti-spam也开始重视对mail的扫毒。
一台好的spam设备在选择上要效能好(承受邮件攻击),误判率低、有黑、灰、白名单,使用简单^^。
UTM/ASA:大补帖UTM(Unified Threat Management)统一威胁管理设备,其功能包山包海,如上图的红色部份为一般UTM设备可能拥有的功能,会依厂牌所制定的功能而定。
概念就是以FireWall为核心,加入各式资安功能!如Cisco的ASA就是以firewall为中心,可加入防毒模块或是IPS模块。
一般是比较建议在300人以内的环境使用UTM,简单又大碗!但,在环境较大的情况下,还是建议将各别功能由各别设备运作。
原因很简单,一样的防毒引擎来说好了,UTM的特征码肯定没有单纯VirusWall的特征码来的多!纵使厂商声称一样,实际测试便知高下^^。
SIM/MARS:躲在右上角的设备名叫SIM(Security Information Management)资安讯息管理,或如Cisco 较贴切的命名:MARS(Monitoring Analysis and Reporting System),虽然在网络的一小角,却能掌控所有设备情况!这是一台很了不起的设备!可能会有人觉得各个部份都已有设备进行相关阻挡了!我干麻花大钱来做Report呢?让我们先了解它需做到什么样的功能,第一个就是收log的功能,它需要将各设备的讯息收进在一起,Switch,Router,IPS,Firewall,viruswall…,我们必需相信,不可能环境内所有设备都是同一家品牌,所以一定要支持各式阿狗阿猫的牌子!第二个功能是出Report,将所有设备的讯息信息串连在一起,做出各式各个阶层或部门看的Report。
较进阶的设备还可做到第三个功能,可以协同防御!!判断威胁在哪里,直接可以对各网络设备、资安设备下达合适的防御指令或政策。
这台设备通常价位相当高!原因是他需要大量的support(各家厂牌),除此之外,还需要精确的分析判断、并组织各设备回报讯息什么是误判?什么是威胁?并实时通知相关人员,且建议合适的作法。
上网行为管理:上网行为管理设备在配置上有两种方式,Inline Mode(配置在GateWay)或是MirrorMode(配置在CoreSwitch),上图是从CoreSwitch直接Mirror流量的方式,两种方式各有优缺,从Gateway在进行阻挡时较快且直接!但设备挂掉时要考虑hardware bypass的功力!而Mirror 好处是完全不改变原有架构导入很容易,但是在进行阻挡时,需同时送封包给远方目的server与来源client联机,网络频宽资源较吃!到底哪个好,还是依环境而定。
这个设备的主要功能就是要看内部使用者的上网情况,进而进行管理。
比如结合内部ADServer之后,可以管制爱搞鬼的RD部门不能用P2P、苦闷的工程部不能上色情类网站、爱事非的会计部们不能开IM聊天…。
也有公司应用AD身份验证功能,没有登入AD就没有网络可用^^(真是厉害呀)。
侧录:侧录的概念就像你家附近、或银行内的监视系统,将看的见的事情一一记录。
这包括了你信箱内的内容、你的聊天记录、你上过哪些网站、抓了哪些图片、即使是FTP的档案,全部都能一一还原,全部重现!!也由于要对全部数据、流量、封包,对储存系统是很大的负担!录的愈多,备份的时间就愈短。