网络安全总结②

上一篇：网络安全总结①

下一篇：

传统防火墙

传统防火墙

技术：访问控制、代理技术、会话机制

工作层次：应用层一下

防御模式：通过防御设备划分边界，基于IP/端口和特征进行判断；以隔离为基础，基于信任原则构建安全框架；以防护为核心，基于静态特征的攻击检测

安全产品：

形态：串糖葫芦式、打补丁式

产品：FW（防火墙）、IPS（入侵防御系统）、AV（防毒墙）、WAF（保护网页）

缺点

①成本高：环境、空间、重复采购

②管理难：多设备，多厂商、安全风险无法分析

③效率低：重复解析、单点故障

防火墙类型--包过滤

原理：手工，类似ACL控制数据包，五元组

优点：仅处理3/4层，简单快速

缺点：ACL多且复杂、不能识别通信状态进行控制（不能动态生成放通回城报文的策略）、不能防范应用层攻击

工作层次：3/4层

防火墙类型--状态检测技术

工作原理：维持会话表通信状态。会话表包括五个元素:源IP地址、源端口、目的IP地址、目的端口和协议号,会有空闲时间

优点：可以识别会话状态控制通信(能动态生成放通回城报文的策略)

缺点：不能防范应用层攻击、应用data不能检测、对FTP等多连接应用兼容性差

工作层次：3/4/5层

防火墙类型--应用代理技术ALG

工作原理：应用数据data检查:动态协商的端口、URL、 ftp操作指令、http请求方法等,允许动态通道(端口都是随机动态协商的,如FTP )的数据进入防火墙

优点：可以检测应用层数据,防范简单的应用层攻击

缺点：软件处理，消耗资源

工作层次：3/4/5/7层

防火墙性能指标

吞吐量

定义：防火墙能同时处理的最大数据量

有效吞吐量：除掉TCP因为丢包和超时重发的数据, 实际的每秒传输有效速率

衡量标准：吞吐量越大，性能越高

时延

定义：数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标，即处理数据包所用的时间

作用：用于测量防火墙处理数据的速度理想的情况，测试的是其存储转发（Store and Forward）的性能

衡量标准：延时越小，性能越高

丢包率

定义：在连续负载的情况下，防火墙由于资源不足，应转发但是未转发的百分比

衡量标准：丢包率越小，防火墙的性能越高

背靠背

定义：指大流量（WFS、备份（VRRP同步等）、路由更新等，这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响）下的处理能力

衡量标准：主要是指防火墙缓冲容量的大小

并发连接数

定义：指防火墙可以同时容纳的最大的连接数目，一个连接就是一个 TCP/UDP的访问

衡量标准：并发连接数指标越大，抗攻击能力也越强

开启阈值：代理阈值（一开始不开启代理，当检测到一定时间内流量达到阈值，开启代理），丢包阈值（开启代理之后的包会交给代理处理，出现异常则开始丢包）

防火墙访问控制技术

定义：指防止对任何资源进行未授权的访问，从而使计算机系统在合法的范围内使用，ACL未授权网络无法访问（包过滤）

原理：按规则匹配，基于五元组（常用）、时间、MAC等

会话机制：首次会记录会话表，后续基于源IP查会话表

会话表：源目IP，源目端口，协议，应用，用户

防火墙代理技术

背景：无防火墙情况下，请求响应可能携带病毒；设置代理防火墙进行检测相对安全

原理：将直接访问变成代理访问，过滤病毒（特征库、病毒库）

缺点：对于一些新型应用层攻击无法进行识别

防火墙会话机制

流程

①首包记录源目的IP、端口

②未命中会话表执行首包流程；查路由表，基于接口所属区域及方向查找包过滤规则；缺省域间包过滤规则为禁止

③命中会话表执行后续包流程；非首包，查找会话表；查到转发

表项

状态防火墙的转发机制

查询会话前基础处理：

①接收报文之后进行MAC地址过滤，解析帧头部给收接口

②判断若是二层则查询出接口，基于vlan剥离头部；若是收接口直接剥离头部

③剥离头部之后解析IP报文，进行IP/MAC绑定

④入接口带宽阈值，单包攻击防范

⑤之后看是否有会话

无会话，首包建立会话：

①状态检测之后查黑名单，Server-map

②服务器映射：在线用户表、应用关联表、路由表

③认证策略：用户首包处理、安全策略匹配、源NAT策略匹配、连接数限制、创建会话

有会话，刷新会话

①刷新在线用户表，基于流的攻击防范

②状态检测

③会话刷新，服务器负载均衡（查路由表、进行安全策略匹配是否黑名单、用户重定向）

发送报文

①带宽策略

②安全策略（内容安全）

安全防护UTM

定义：多功能叠加，是一个设备，将传统FW、AV、IPS、WAF等安全模块集成

特点：

①多功能假集成

②解决了管理问题

③仍然需要多次拆包，多次检测，效率仍然较低

④应用层性能低

防火墙的应用场景

公网边界、WAN边界

保护内网终端:企业网络中80%的安全事件来自于终端,终端已经成为黑客的战略攻击点,僵尸网络是最为严重的安全问题,，黑客利用病毒木马蠕虫等等多种入侵手段控制终端，形成僵尸网络

解决：增加的应用控制、恶意代码防护、入侵检测防护等

WEB服务器区、数据中心

保护服务器:不必要的访问、扫描攻击、DDOS攻击、漏洞攻击、软件已知漏洞、口令暴力破解SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造、弱密码、网站被攻击者篡改

解决：增加的应用控制、入侵检测技术、web防护技术、信息泄露防护等

对防火墙的接口进行分类

根据接口工作区域可分为：二层区域口、三层区域口、虚拟网线区域口）

根据接口属性可分为：

物理接口

①物理接口无法删除或新增，物理接口的数目由硬件型号决定

②路由口、透明口、虚拟网线口、镜像口，前三种接口又可设置WAN 或非WAN属性

③路由口：如果设置为路由接口，则需要给该接口配置IP地址，且该接口具有路由转发功能

④透明接口：相当于普通的交换网口，不需要配置IP地址，不支持路由转发，根据MAC地址表转发数据，部分功能要求接口是WAN属性，当接口设置成透明WAN口时，注意设备上架时接线方向，内外网口接反会导致部分功能失效

⑤虚拟网线接口：也是普通的交换接口，不需要配置IP地址，不支持路由转发，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发。虚拟网线接口的转发性能高于透明接口，单进单出网桥的环境下，推荐使用虚拟网线接口部署

vlan接口

①为VLAN定义IP地址，则会产生 VLAN接口。VLAN接口也是逻辑接口

②为VLAN定义IP地址，则会产生 VLAN接口。VLAN接口也是逻辑接口

聚合接口

将多个以太网接口捆绑在一起所形成的逻辑接口，创建的聚合接口成为一个逻辑接口，而不是底层的物理接口

子接口

①是逻辑接口，只能在路由口下添加子接口

②子接口应用于路由接口需要启用 VLAN或TRUNK的场景

③子接口的下一跳网关和链路故障检测根据实际环境进行配置

解释防火墙的区域

定义：是本地逻辑安全区域的概念；一个或多个接口所连接的网络

作用：用于定义和归类接口，以供防火墙、内容安全、服务器保护等模块调用

注意事项

①一个接口只能属于一个区域

②可以在区域中选择接口；也可以预先设置好区域名称，在接口中选择区域

③定义区域时，需根据控制的需求来规划，可以将一个接口划分到一个区域，或将几个相同需求的接口划分到同一个区域

现代防火墙

产生背景

传统防火墙已无法应对新挑战

缺乏认知的能力

只能看见碎片化的攻击日志

只能看见图形化统计报表

缺乏资金/风险的视角

割裂的保护手段

割裂的保护手段，难以协同配合

静态策略的防御，无法应对新威胁

难以形成动态、有效的保护

现代防火墙特点

可视可控：安全运营应该从简单遵从到充分认知，可视是最有效的手段

用户可视：IP/端口、终端类型、接入方式、情景类型

行为可视：特征、数据包、流量日志、应用、内容

业务可视：IP/端口、情景类型、软件系统信息、漏洞、数据

有效的分析和呈现：风险定位、数据有效分析、图形化展示

攻击路径可视：还原被攻击的路径信息

深度内容检测：可以识别出应用层数据（PDI，深信服等）

防御：“防御能力” 是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛，并在受影响前拦截攻击动作（FW.IDS.AV.IPS等）

检测：“检测能力”用于发现那些逃过防御网络的攻击，该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键，因为企业应该假设自己已处在被攻击状态中。包括异常行为检测、异常流量检测、信息泄露行为检测、业务漏洞检测

持续监测：安全保护应该从被动应对到主动保护，持续检测是最有效手段

介绍下一代防火墙

定义：指一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，即用在网络中不同区域之间的，由各种安全策略建立的一个安全硬件系统。主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成

功能：访问控制（ACL）、地址转换（NAT）、网络环境支持（路由...）、带宽管理功能（限速）、用户认证、高可用性（备份）、入侵检测和攻击防御（网络安全法）

特点：隔离攻击行为、一般位于边界、应用于2-7层（应用层居多）

作用：控制流量、保护内网资源、防止黑客对内网进行攻击

下一代防火墙的分类

按特性：软件防火墙、硬件防火墙

按性能：百兆级防火墙、千兆级防火墙

按结构：单一主机防火墙、路由集成防火墙、分布式防火墙

按技术：包过滤防火墙、应用代理防火墙、状态检测防火墙

按层次：

网络层防火墙：可视为一种 IP 封包过滤器（允许或拒绝封包资料通过的软硬结合装置），运作在底层的 TCP/IP 协议堆栈上。较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是 FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤

应用层防火墙：应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)

下一代防火墙的安全策略（默认拒绝所有）

定义：安全策略是按一定规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略。规则的本质是包过滤

应用：对跨防火墙的网络互访进行控制，对设备本身的访问进行控制

原理（可视可控）：识别、控制

作用：根据定义的规则对经过防火墙的流量进行过滤筛选，再进行下一步操作

分类：接口包过滤，域内安全策略，域间安全策略（信任区可以给非信任区发，非信任区不可以主动给信任区发包但可以回包）

工作步骤：①入数据流经过防火墙。②查找防火墙安全策略，判断是否允许下一步操作。③防火墙根据定义的安全策略对数据包进行处理

防火墙--策略路由

背景：静态路由的匹配条件相对较少：匹配目的IP、子网掩码与下一跳网关

作用：可以弥补静态路由的不足，匹配条件会灵活很多，根据相应策略来匹配：匹配源、目的、协议、出口在外网多条线路情况下，建议配置策略路由

分类

①源地址策略路由——可指定内网哪些IP走指定线路出公网

②多线路负载路由——可指定多条线路进行负载选路

注意事项

①路由优先级：VPN路由>静态路由>策略路由>默认路由。

②每条外网线路必须至少有一条策略路由与之对应，源地址策略路由或多线路负载路由均可

③源地址策略路由，通过直接填写路由的下一跳，可实现从设备非WAN属性的接口转发数据

④多线路负载路由选择的接口，必须开启链路故障检测功能，才能实现线路故障自动切换

⑤多条策略路由，按照从上往下的顺序匹配，一旦匹配到某条策略路由后，不再往下匹配

防火墙部署场景

互联网出口终端安全场景

WEB安全场景--资产发现

基于自动化的流量识别分析，发现网络中被遗漏或新增的资产情况，明确需要防护资产

WEB安全场景--脆弱性发现

针对发现的资产，通过本地的web 扫描、实时漏洞以及云端的云扫描、渗透测试等功能发现这些资产的脆弱性，再针对性的配置防护策略

数据中心安全场景

广域网接入安全场景

全网安全互联，展现完整数据简化运维；总部数据集中统一管理；安全状态统一展示问题精准定位，安全一目了然

防火墙部署模式

简介：下一代防火墙具备灵活的网络适应能力，支持：路由模式、透明模式、虚拟网线模式、混合模式、旁路模式

路由模式：

①负责在内外部网络中进行路由寻址，相当于路由器；

②支持动态路由协议（OSPF/RIP/BGP等）；需要修改原拓扑网络对现有环境改动大；

③一般替换出口路由器或老防火墙

透明模式/虚拟网线模式：

①转发数据时,需检查MAC表转发,相当于交换机；

②不支持三层设备功能(路由、NAT、DHCP；

③嵌入或加入原网络环境中 ,不改动原有的网络环境(2/3环境)

混合模式：

①路由模式和透明模式结合,设备在网络结构中,既充当交换机功能,又有路由器功能,类似三层交换机，既有二层接口也有三层接口；

②(三个安全区域)内网有服务器群,服务器直接配置公网IP地址,使用透明模式;内网用户使用私有地址,通过NAT转换上网,使用路由模式,所以这台防火墙就必须部署为混合模式

旁路模式：

①设备旁挂在现有的网络设备上,通过端口镜像技术把流量镜像到下一代防火墙,实现对数据的分析和处理

②实现内网防护和对内网防护数据进行分析,不影响现有旁路模式的网络结构

③（单臂），对网络改动小

④审计

防火墙组网方案

路由模式组网

①需要修改原网络拓扑，对现有环境改动较大

②一般替换出口路由器或老防火墙。

③此组网方式支持更多的安全特性，如NAT、策略路由选择，动态路由协议（OSPF、BGP、RIP等）等

④在此组网方式时，防火墙位于内部网络和外部网络之间，负责在内部网络、外部网络中进行路由寻址，相当于路由器。其与内部网络、外部网络相连的上下行业务接口均工作在三层，需要分别配置不同网段的IP地址

单臂路由模式

是指在路由器的一个接口上通过配置子接口（逻辑接口，并不存在真正物理接口）的方式，实现原来相互隔离的不同VLAN（虚拟局域网）之间的互联互通

透明模式组网

①接口定义

②安全防护策略

③安全控制放通

④不用配置地址转换

⑤管理地址配置，还需要配置路由

⑥虚拟网线部署：和透明部署一样，接口也是二层接口，但被定义成虚拟网线接口；虚拟网络接口是成对存在的，转发数据时，无需检查MAC表，直接从虚拟网线配对的接口转发；虚拟网线接口的转发性能高于透明接口，单进单出网桥的环境下，推荐使用虚拟网线接口部署

混合模式组网

①设备各个网口，既有2层口，又有3层口

②设备在网络结构中，既充当交换机功能，又有路由器功能，类似三层交换机。

③主要部署场景是DMZ区域服务器集群配置公网IP地址或放置在内网复杂的环境中。

旁路模式组网

①需要另外设置接口才能对设备进行管理

②启用管理口reset功能

③设备旁挂在现有的网络设备上，不影响现有的网络结构，通过端口镜像技术把流量镜像到下一代防火墙，实现对数据的分析和处理

④旁路部署支持的功能仅有：APT（僵尸网络）、PVS（实时漏洞分析）、WAF（web应用防护）、IPS（入侵防护系统）、DLP（数据泄密防护）、网站防篡改部分功能（客户端保护）

终端安全

什么是终端安全

终端已经成为黑客的战略攻击点。黑客攻击的目的是获取有价值的“数据”。他们控制终端以后，可以直接种植勒索病毒勒索客户，更严重的是，黑客的目标往往是那些存储着重要 “数据”的服务器。受控的终端将成为黑客的跳板，黑客将通过失陷主机横向扫描内部网络，发现组织网络内部重要的服务器，然后对这些重要服务器发起内部攻击。

介绍僵尸网络（类似APT攻击）

定义

Botnet，也称丧尸网络、机器人网络；黑客利用自己编写的分布式拒绝服务攻击程序或者利用病毒木马蠕虫等等多种入侵手段控制终端，将数万个沦陷的机器，形成僵尸网络，进一步实现终端存储的信息被窃取、终端被引导访问钓鱼网站、终端被利用作为攻击跳板危害其他的各类资源等问题，即黑客常说的僵尸电脑或肉鸡组织成一个个控制节点用来发送伪造包或者是垃圾数据包，使预定攻击目标瘫痪并“拒绝服务”；通常蠕虫病毒也可以被利用组成僵尸网络

危害

看不见的风险、高级持续威胁、本地渗透扩散、敏感信息窃取、脆弱信息收集

防护措施

①移动安全：包含apk包杀毒功能和移动僵尸网络检测功能

②木马远控：对防护区域发出的数据及收到的请求数据都进行木马远控安全检测

③异常流量：包含非标准端口运行对应协议检测，反弹检测，启发式的dos攻击检测等手段

④恶意链接针对可能导致威胁的 URL，如网页挂马、病毒下载链接进行检测拦截

匹配流程

①匹配白名单（匹配上直接放行）

②匹配黑名单（规则库），匹配上根据策略配置执行动作

③黑白名单都匹配不上则上报云端分析，如检测出恶意，由云端下发给AF按策略执行动作

④云端扩充黑名单到新版本恶意链接库

僵尸网络的工作原理

①传统防毒墙和杀毒软件查杀病毒木马的效果有限，在APT（高级持续性威胁）场景下，传统防毒墙和杀毒软件更是形同虚设

②黑客在互联网上做一个木马（恶意代码）到网络中感染终端

③主机受到感染，连接C&C服务器（黑客的），获取指令

④C&C服务器下发指令给受感染主机，扫描网络，感染更多主机

⑤更多主机被感染，组成僵尸网络，连向C&C服务器并获取指令

⑥僵尸主控下发新的代码给C&C服务器，更新僵尸网络

⑦若安装了下一代防火墙，受感染主机上的病毒，木马与外部主机进行可疑通信，可能会下载更多恶意代码，或者泄露内部数据防火墙检测出病毒通信，进行告警/阻断

解决：基于7层应用的深度数据包检测可实现终端安全可控

僵尸网络的检测方式

异常流量检测

定义：通过对当前的网络层及应用层行为与安全模型进行偏离度分析，能够发现隐藏的网络异常行为，并根据行为特征确定攻击类型，发现特征匹配无法发现的攻击

功能：是一种启发式的dos攻击检测手段，能够检测源IP不变的 syn flood、icmp flood、dns flood与udp flood攻击

原理：当特定协议的外发包pps超过配置的阈值时，基于5分钟左右的抓包样本检测数据包是否为单向流量、是否有正常响应内容，得出分析结论，并将发现的攻击提交日志显示

例如：DDOS攻击、死亡之ping

其他检测方式

①对外发起CC攻击

②对外传播恶意文件

③对外发送shellcode

④上下行流量不符

⑤检测出下载文件与后缀名不符

⑥检测出下载恶意文件、恶意PDF等行为

⑦使用标准端口传输非标准协议（如：在80端口中传输RDP协议）

⑧危险的外联方式检测，如使用已知的（IRC、HFS）与僵尸网络进行通讯

⑨.与僵尸网络连接是最基础的判定方式，信息来源包括：上万台在线设备收集、与google等机构合作共享

⑩对于未知的僵尸网络（存在大量DGA生成的C&C域名），通过模拟DGA算法总结特征/总结一般正常域名的构成方式来判定未知的僵尸网络

云端沙盒检测技术---深信服

应用控制策略

基于应用的控制策略：通过匹配数据包特征来进行过滤动作，需要一定数量的包通行后才能判断应用类型，然后进行拦截动作的判断

基于服务的控制策略：通过匹配数据包的五元组（源地址、目的地址、源端口、目的端口、协议号）来进行过滤动作，对于任何包可以立即进行拦截动作判断

web过滤

指针对符合设定条件的访问网页数据进行过滤；包括URL过滤、文件过滤。根据HTTP不同动作进行区分。可以针对HTTPS URL进行过滤

计算机病毒

定义：是编制或者在计算机程序中能插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码

特征：隐蔽性、传染性、破坏性、繁殖性、不可传染性、不可预见性

工作步骤

潜伏阶段：休眠状态，特定的程序被执行

传染阶段：将自身程序复制给其它程序或者磁盘

触发阶段：执行特定功能达到特定的目的

发作阶段：破坏程序感染文件

防御产品

单机版杀毒软件、网络版杀毒软件、杀毒软件+杀毒网关

网关杀毒技术

功能优势

①基于应用层过滤病毒

②过滤出入网关的数据

③网关阻断病毒传输，主动防御病毒于网络之外

④部署简单，方便管理，维护成本低

⑤与杀毒软件联动，建立多层防护

现实方式

代理扫描方式：将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自身的协议栈，通过网关自身的协议栈将文件全部缓存下来后，再送入病毒检测引擎进行病毒检测；网管作为代理可以缓存、解压、分析

流扫描方式：依赖于状态检测技术以及协议解析技术，只会简单的提取文件的特征与本地签名库进行匹配

服务器安全

服务器安全风险

①网站被攻击者篡改------网站篡改保护

②漏洞攻击（针对服务器操作系统等)------IPS

③扫描网站开放的端口以及弱密码------风险分析

④外网发起IP或端口扫描、DDOS攻击等------防火墙

⑤不必要的访问（如只提供HTTP服务）------应用识别、控制

⑥根据软件版本的已知漏洞进行攻击,口令暴力破解，获取用户权限；SQL注入、 XSS跨站⑦脚本攻击、跨站请求伪造等等------服务武器保护

网页防篡改技术

网站篡改带来的后果：①经济损失 ②名誉损失 ③政治风险

黑客篡改网页的途径

上传webshell网页木马，通过木马控制并修改页面

通过正常网站后台管理页面控制并修改页面

防范方法

二次认证：

文件监控：在服务端上安装驱动级的文件监控软件，监控服务器上的程序进程对网站目录文件进行的操作，允许合法程序修改页面；不允许的程序无法修改网站目录内的内容

DOS攻击检测和防御技术

简介

DoS攻击——Denial of Service, 是一种拒绝服务攻击，常用来使服务器或网络瘫痪

DDoS攻击——Distributed Denial of Service, 分布式拒绝服务攻击

目的

消耗带宽、消耗服务器性能、引发服务器宕机

类型

ICMP洪水攻击/UDP洪水攻击/DNS洪水攻击

攻击者通过发送大量所属协议的数据包到达占据服务端带宽，堵塞线路从而造成服务端无法正常提供服务

畸形数据包攻击

攻击者发送畸形的攻击数据引发系统错误的分配大量系统资源，使主机处于挂起状态甚至宕机，如PingofDeath、TearDrop

CC攻击

攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽，一直到宕机崩溃。CC主要是用来攻击页面的

慢速攻击

是CC攻击的一个变种，对任何一个开放了HTTP访问的服务器HTTP服务器，先建立了一个连接，指定一个比较大的contentlength，然后以非常低的速度发包，比如1-10s 发一个字节，然后维持住这个连接不断开。如果客户端持续建立这样的连接，那么服务器上可用的连接将一点一点被占满，从而导致拒绝服务

SYN洪水攻击

攻击者利用TCP协议三次握手的特性，攻击方大量发起的请求包最终将占用服务端的资源，使其服务器资源耗尽或为TCP请求分配的资源耗尽，从而使服务端无法正常提供服务。

通过Syn 代理防御Syn洪水攻击

目的IP激活阈值：指当针对策略设置的目的IP组内某IP发起的syn请求速率数据包超过设定值，则触发AF的syn代理功能

目的IP丢包阈值：指当针对策略设置的目的IP组内某IP发起的syn请求速率数据包超过设定值，则AF不再启用syn代理，直接丢弃syn包

WEB攻击检测和防御技术（WAF）

定义

Web Application Firewall，即Web应用防护；主要用于保护Web服务器不受攻击，防止因遭到攻击导致软件服务中断或被远程控制。（可用性、保密性、完整性）

工作原理

数据泄密防护：银行卡、社保卡、政治敏感词、技术关键字、文件、会员信息等过滤

web防护

网络层dos攻击防护：TCP SYN 洪水、ICMP洪水、CC攻击等；

应用层漏洞利用防护：sql注入、XSS攻击、CSRF、上传漏洞、文件解析漏洞、命令执行漏洞、webshell后门等web应用漏洞

应用场景

WEB服务器区

IDS与IPS

IDS：Intrusion Detection Systems，即入侵检测系统；对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果

IPS：Intrusion Prevention Systems，即入侵防御系统；可对网络、系统的运行状况进行监视，并可发现阻止各种攻击企图、攻击行为

worm蠕虫

扫描：端口扫描、地址猜测、密码猜测、账号猜测

攻击：恶意邮件、自动安装程序、利用已知后门或漏洞、利用Active X控件

寄生：创建新文件、修改已有文件、修改注册表、创建服务、建立后门

传播：邮件、web、FTP、文件共享、

发作：修改/删除文件、网络瘫痪、拒绝服务

IPS常见入侵手段

worm 蠕虫、网络设备、服务器漏洞、后门、木马、间谍软件等

口令暴力破解

字典法：通过各种手段所获取一些网络用户所经常使用的密码，集合在一起的一个文本文件

规则破解：规则法是通过和账号或者用户的个人信息进行破解，如生日、电话等信息

IPS防护

防护原理

通过对数据包应用层里的数据内容进行威胁特征检查，并与IPS规则库进行比对，如果匹配则拒绝该数据包，从而实现应用层IPS的防护

IPS的保护对象

保护客户端：用于保护客户端机器及其应用软件系统不因本身的漏洞而受到攻击

保护服务器：用于保护服务器及其应用软件系统不因服务器或者软件本身存在的漏洞而受到攻击；还用于阻止用户频繁登录指定协议服务器，防止暴力破解攻击

IPS的规则识别分类

保护服务器和客户端（一般是病毒、木马等）：防止包括操作系统本身的漏洞，后门、木马、间谍、蠕虫软件以及恶意代码的攻击

保护服务器软件（如应用服务器提供的应用）：防止针对web、dns、ftp、tftp、telnet、邮件、数据库、媒体服务器应用本身的漏洞以及网络设备进行的攻击和暴力破解

保护客户端软件（如OA、IE等）：防止针对web activex 控件漏洞、web浏览器、文件格式、应用软件进行的攻击