最深入的網絡安全設備知識講解

主要涉及的網絡安全設備簡介:

◇Router:

Router 通常是 Cisco 的 Router 才能加上網絡安全的解決方案，Cisco  新一代 Router 都叫ISR(Integrated Service Router)，可以整合IPS或Voice模塊，在外部的Router通常我們希望它扮演好Router的角色即可，而內部買不動一臺IPS設備時，會建議客戶從現有的Router上加上IPS模塊。

◇Switch:

Switch一般也要到Core等級才可加入IPS模塊，就如同Router一樣，主要就是加上***

偵測的功能，在客戶環境Switch效能ok，也不打算多買設備，可以加入模塊方式來保護網

絡。

◇×××:

×××即Virtual  Private Network，讓在兩個網域的計算機之間可以像在同一個網域內溝通一樣。這代表的是必需做到外部網絡是不能存取或看見我們之間的封包傳送，而這兩個網域之間是可以輕易的相互使用網絡資源。要做到如此，×××必需對流經封包進行加密，以讓對外傳輸過程不被外人有機看見傳輸內容，相對的傳過去的目的地需要一臺解密的機器，可能也是一臺VNP或是一個裝在notebook上的軟件。也因為傳輸過程加密之故，許多希望在傳輸上更安全的需求，也都會尋求×××?！痢痢?nbsp;的發展到現在，主要市場以 SSL ××× 的運作，因為可以利用現有的客戶端程序(如 IE)即可完成加密、解密、驗證的程序，使用端不需一臺×××機器，或是client端程序，在導入一個環境最容易，使用上也最簡便。

◇FireWall: 

FireWall 肯定是最古老的網絡安全產品，但也是最經典的產品，簡單的說，它就像 Port 的開關，如firewall左邊的port可能1~65535都有，但封包想流進來!得先問問Firewall

，這里他只開放了25,80,443的流量進來，其它都別想!!Firewall的第二個大功能就是可以區別網段，如DMZ也可以從Firewall切出來，如此可以確保網絡封包的流向，當流量從外面進來觀顧時，只允許流到DMZ區，不可能流至內部區網內，避免外部網絡與內部網絡封包混雜。第三個功能，也就是能區別從Router上設ACL的功能，SPI(StatefulPacketInspection)封包狀態檢查，可快速地檢查封包的來源與目的地址、通訊協議、通訊 port、封包狀態、或其它標頭信息，以判斷允許或拒絕!

◇IPS/IDS:

這仍然是很年輕的產品，一開始叫IDS(Intrusion Detection System)***偵測系統，顧名

思義:在有人***或***到我的土地內之后我會知道，是一個可以偵測出有沒有人***這個

事件!后來人們體會到，壞人都跑進我家了我才知道，有沒有可能在偵測到的同時做出抵制

的動作呢?于是IPS(Intrusion Prevention System)***防御系統就誕生了，在IPS中寫入

pattern，當流經的封包比對pattern后確定為***行為，馬上對該封包丟棄或阻斷來源聯

機。

一般IPS系統都不只一個網段，如上圖，可以擺在Firewall前面更積極地阻擋對Firewall

的***，或是于Firewall之后，直接比對流經合法port后進來的流量是否為***行為，也可分析流出封包(了解內部員工上網行為、情況)。在真實情況是否要將 IPS 擺在 firewall之前要看硬件throughput，看哪一臺的效能好就擺前面吧。通常IPS的測試期比較長，因為在環境內開啟IPS規則后會有”誤判”情形!實屬正常，除非開的規則太寬松，否則有正常的封包被擋是正常不過的，這時我們就需要對規則調校，所以測IPS是練工的大好機會!

◇Virus Wall:

VirusWall是較簡單的產品，概念就是將防毒引擎放在Gateway，讓所有流經的封包都能比

對過引擎內的病毒特征。說到這，大家應該知道評估ViruWall的重點了!

。什么防毒引擎

。掃毒速度快或慢

防毒永遠沒有人敢打包票可以100%防毒!純粹是機率問題，每家的防毒率都不一定，能補足

的最簡單方法就是導入與原有環境不同的防毒引擎!如原有client端用的是norton，于是viruswall就找一家卡巴的或前方UTM用趨勢的，還可導入McAfee的viruswall。 VirusWall 對裝機工程師而言是很簡單的產品，只需留意客戶希望對哪些 Port 的流量進行

◇WebSecurity

WebSecurity單純地過濾Web流量中的封包，針對每個要求的URL比對數據庫是否為危險、

或釣魚、惡意的目的URL，是的話就直接阻擋聯機。如果連到了目的地之后，可能因為臨時被駭或數據庫內沒有該筆URL，回來的封包再經一次病毒引擎的掃描，由于是針對Web，所以病毒引擎要挑在惡意網站分析較強的引擎。簡單的說，怕user上網中毒、或釣魚網站被受騙，需要導入這個設備。

◇ApplicationFirewall

對于很重視網頁運作服務的公司，對于這項設備應該較有興趣。較簡單的例子是在做***測試時，總是會在客戶的Web網頁可輸入的地方try一下SQL語，當把這設備放在WebServer之前，你的語法會頓時失效，這時會再試一下XSS、cookie、session…呵~時常是沒有成效的試驗。即使WebServer運行的IIS或Apache未更新，擁有眾所周知的漏洞，仍然阻擋住該漏洞的***。當然!就如之前提過的，網絡安全是機率問題，它可以降低被***機率，但不可能無敵!

◇Spam Wall:

電子郵件是一個很棒的廣告途徑，但隨著信息愈來愈發達，越來越多的生意靠著e-mail來

廣告，慢慢的，使用者感受到過多的 e-mail 造成的不便，于是擋垃圾信的設備就誕生啦~

可以叫Anti-spam或Spam  wall。一開始的spam單純地阻擋垃圾郵件，但許多***發現了這個管道，也利用mail，大量發送釣魚連結、附加病毒文件、惡意連結…的信件，于是anti-spam也開始重視對mail的掃毒。一臺好的spam設備在選擇上要效能好(承受郵件***)，誤判率低、有黑、灰、白名單，使用簡單。

◇UTM/ASA:

大補帖 UTM(Unified Threat Management)統一威脅管理設備，其功能包山包海，一般UTM設備可能擁有的功能，會依廠牌所制定的功能而定。概念就是以FireWall為核心，加入各式網絡安全功能!如Cisco的ASA就是以firewall為中心，可加入防毒模塊或是IPS模塊。

一般是比較建議在 300 人以內的環境使用 UTM，簡單又大碗!但，在環境較大的情況下，還是建議將各別功能由各別設備運作。原因很簡單，一樣的防毒引擎來說好了，UTM的特征碼肯定沒有單純VirusWall的特征碼來的多!

◇SIM/MARS:

設備名叫SIM(SecurityInformationManagement)網絡安全訊息管理，或如Cisco較貼切的命名:MARS(Monitoring Analysis and Reporting System)，雖然在網絡的一小角，卻能掌控所有設備情況!這是一臺很了不起的設備!可能會有人覺得各個部份都已有設備進行相關阻擋了!我干麻花大錢來做Report呢?

我們先了解它需做到什么樣的功能，第一個就是收log的功能，它需要將各設備的訊息收

進在一起，Switch,Router,IPS,Firewall,viruswall…，我們必需相信，不可能環境內所有設備都是同一家品牌，所以一定要支持各式阿狗阿貓的牌子!

第二個功能是出 Report，將所有設備的訊息信息串連在一起，做出各式各個階層或部門看

的 Report。較進階的設備還可做到第三個功能，可以協同防御!!判斷威脅在哪里，直接可

以對各網絡設備、網絡安全設備下達合適的防御指令或政策。

這臺設備通常價位相當高!原因是他需要大量的 support(各家廠牌)，除此之外，還需要精

確的分析判斷、并組織各設備回報訊息什么是誤判?什么是威脅?并實時通知相關人員，且建議合適的作法。

◇上網行為管理:

上網行為管理設備在配置上有兩種方式，InlineMode(配置在GateWay)或是MirrorMode(配

置在CoreSwitch)，上圖是從CoreSwitch直接Mirror流量的方式，兩種方式各有優缺，從

Gateway在進行阻擋時較快且直接!但設備掛掉時要考慮hardwarebypass的功力!而Mirror

好處是完全不改變原有架構導入很容易，但是在進行阻擋時，需同時送封包給遠方目的

server與來源client聯機，網絡頻寬資源較吃!到底哪個好，還是依環境而定。這個設備的主要功能就是要看內部使用者的上網情況，進而進行管理。比如結合內部AD Server之后，可以管制愛搞鬼的RD部門不能用P2P、苦悶的工程部不能上***類網站、愛事非的會計部們不能開IM聊天…。也有公司應用AD身份驗證功能，沒有登入AD就沒有網絡可用(真是厲害呀)。

◇側錄:

側錄的概念就像你家附近、或銀行內的監視系統，將看的見的事情一一記錄。這包括了你信箱內的內容、你的聊天記錄、你上過哪些網站、抓了哪些圖片、即使是FTP的檔案，全部都能一一還原，全部重現!!也由于要對全部數據、流量、封包，對儲存系統是很大的負擔!錄的愈多，備份的時間就愈短。所以實務上會將側錄設備裝置如上圖，可能是從IPS過濾封包后，從IPS強力的封包比對能力后，挑選只想側錄的封包內容，如只錄Web流量、或只錄FTP流量。另一種方式是從上網行為管理設備上，得知某個ip或是某個使用者老是在看***網，就來把它上的過程全錄下吧!!我們也常開玩笑，如果MIS知道公司內誰是股市好手，可以跟著下單!當然!這也牽涉到了隱私權的問題，導入時常需與公司政策搭配。

◇NAC:

NAC(NetworkAccessControl)網絡存取控制設備，通常設置在Gateway與client的交界處，

目的是讓所有從Client進來的設備，想存取其上方的網絡時，都要經過它的允許(可能是結合AD的認證或是網頁驗證)，這就是最原始NAC在做的事。隨著市場的發展，通常還需外加新的功能，才能讓客戶接受。需擁有可以保護client端的能力，本身可以上一些patch讓client來更新，如Windows的更新patch、或是某些防毒軟件的patch，以保設End  User的安全，進而保護整個網絡。呵~我猜想未來可會看到類似的新名詞，叫CAP(Client Access Protect)。

◇Wireless Control:

對于無線的管理可能是許多人的痛，這種設備的目的就是要掌控你領空的封包流量。

可能做法有許多種，我僅以我碰過的例子說明。在ServerGroup找一臺Server安裝主控端

軟件，再于想偵測的邊界點放置Sensor，比如在公司的樓的三個點擺了三個Sensor，再搭

配goolgemap抓下公司的衛星圖，再給予適當的比例尺寸后，可以在Server上看見，在地

圖的什么地方有什么樣的無線訊號、訊號強弱、SSID…等相關信息，要終止其與AP聯機時，

只需各送出一個reset封包即可，真是屌呀!(不過價位不低~呵~)

◇IPAM:

對于一些環境較大，需要動態的讓 user 使用網絡資源，或是…或是 MIS 太懶，使用 DHCP

環境時，要管理動態IP是哪一臺計算機在用、或是哪一個人在用，這就是很棒的解決方法。

IPAM(IP Analysis Management) IP分析管理設備，提供DHCP環境內，Mac與IP存取的列

表，當環境中有AD或是RADIUS時，可以看見的記錄將是:時間-Mac-IP-User資料表的關鏈可以讓管理者快速追縱誰在用這個IP，所以設備中也常將環境中的DNS  Server、DHCP Server整合在一起，加強信息的連貫性。

◇Bandwidth Monitor:

你可以試著問 MIS，我們環境平常的流量大概是多少?時常得到不知道怎么測之類的答案。

BandwidthMonitor這項設備的功能就是提供MIS所有網絡環境的頻寬使用量。由于專攻頻寬使用量的分析，可以細致到如:總頻寬使用量、各軟件使用量、各ip使用量、單獨ip頻寬用量、單獨ip軟件使用量、protocol的流量、User名稱的使用量、群組的使用量、Domain的使用量。對于MIS分析網絡的頻寬都被誰占據、或什么軟件用掉，很有幫助。

◇軟件:

使用軟件來進行網絡安全設備管理，主要是因為一些封包到了應用層，還是要靠操作系統、與應用程序來分析，才有辦法進行管理與分析或保護;另一個原因是EndUser的使用狀況永遠無法掌握，透過如資產管理軟件。一般常見的網絡安全軟件如DRM，用來對環境內的特定文件進行加密，比如公司專門設計CAD的圖檔，每張圖都是公司的心血，這時需要的就是將這些圖檔全部加密以保護公司信息外泄的可能。在布屬上需一臺Server，再利用如AD套用GPO將數據布到登入網域的計算機上，未來只要user一開啟要加密的檔案格式就直接加密!!另一個常見的軟件是資產管理軟件，常 Agent 布屬在 Client 端計算機后，Agent 會自動收集所有計算機上的軟、硬件信息，再回傳給資產軟件Server端，這是最初的資產軟件所做的事，可以統整資料進行環境內的軟、硬件資產管理。喜愛掌控所有信息的MIS提出了需求，能了解user端所有東西，有沒有可能對這些軟、硬件直接進行控制呢?是滴!產品往往因為需求而產生，所以現在的資產管理軟件不僅收集客戶端數據，還可直接限制User端的使用情況，比如只能讀取USB不能寫入、禁止上班時間打接龍，也可直接把你的計算機當自已的用。(專業一點的說法叫遠程叫修功能)

所以，也可以直接對user端的桌面使用情形進行錄像!!真是MIS最愛呀!

文章來源：

http://wenku.baidu.com/link?url=ypZzps8gKwQsqn0kK3zIj-zw4vbQUsQJAMv3rhJcEebRnel968eMamT0LgMIOCklL_nmOnephYV9IiQ7Yjcg-_Vr3mlvF7_nGpvEcdq7Ca7