3.4 網絡安全管理設備

數據參考：CISP官方?

一、IDS (入侵檢測系統)

入侵檢測系統（IDS）是一種網絡安全設備，用于監測和檢測網絡中的入侵行為，并采取相應的響應措施。它通過監聽網絡中傳輸的數據包，對這些數據包進行分析和解讀，以判斷是否存在潛在的攻擊行為或安全漏洞。

入侵檢測系統的主要作用包括：

提供主動防御：入侵檢測系統能夠主動監測網絡中的流量和數據包，及時發現并響應潛在的入侵行為。與防火墻等其他安全設備相結合，形成一個綜合的網絡安全防御體系，增強網絡的整體安全性。
補充防火墻功能：雖然防火墻是網絡安全的重要組成部分，但其功能主要是基于規則的訪問控制，對于特定的攻擊或未知的攻擊可能無法提供及時的防御。入侵檢測系統通過實時監測和分析網絡流量，可以發現新型攻擊、異常行為或未知漏洞，并立即采取措施加以阻斷或報警。
構建網絡安全防御體系的重要環節：入侵檢測系統作為網絡安全防御體系的重要組成部分，與其他安全設備（如防火墻、入侵防御系統等）協同工作，共同構建強大的網絡安全防御體系。它提供了一種更深入的檢測和響應機制，增強了網絡的整體安全性和靈活性。

入侵檢測類型

網絡入侵檢測系統（NIDS）：NIDS部署在網絡邊界或關鍵網絡節點上，通過監聽網絡流量并分析數據包來檢測潛在的入侵行為。它可以監測整個網絡中的通信流量，并對不符合安全策略或異常行為進行檢測和報告。NIDS能夠識別常見的攻擊模式、惡意代碼和未授權訪問等網絡安全事件。
主機入侵檢測系統（HIDS）：HIDS是部署在單個主機上，用于監測和檢測該主機上的入侵行為。它通過監控主機的操作系統、應用程序和日志等信息，檢測是否存在異常行為、未授權訪問或惡意活動。HIDS可以發現主機級別的攻擊，如未經授權的文件更改、異常進程行為或病毒感染等。

?入侵檢測系統功能

發現并報告系統中未授權或違反安全策略行為
為網絡安全策略的制定提供指導

網絡入侵檢測系統（NIDS）具有以下優點：

旁路安裝：NIDS通常以旁路方式部署，即位于網絡流量的傳輸路徑上，不會對網絡性能產生顯著影響。這種安裝方式不需要對現有網絡設備進行修改或配置，降低了部署的復雜性和風險。
設備性能要求不高：相對于其他網絡安全設備（如防火墻），NIDS對設備性能要求不高。它主要關注網絡流量的監測和分析，而不需要進行復雜的訪問控制或數據包過濾操作。因此，NIDS不容易成為網絡性能的瓶頸。

然而，網絡入侵檢測系統也存在一些局限性：

無法對加密數據進行分析檢測：由于加密算法的存在，NIDS無法對經過加密處理的數據進行深入分析和檢測。當網絡流量使用加密協議傳輸時，NIDS只能識別加密流量，但無法詳細分析其中的內容和潛在的攻擊行為。
高速交換網絡中處理負荷較重：在高速交換網絡中，網絡流量非常龐大和復雜，對NIDS的處理負荷較重。為了保持高速網絡的延遲低和吞吐量高，NIDS需要具備強大的處理能力和高效的算法，以避免成為性能瓶頸。
無法對攻擊行為后果進行判斷：NIDS主要關注檢測和報告網絡中的攻擊行為，但無法直接判斷攻擊的后果。它只能提供關于攻擊事件的警報和日志記錄，需要由安全管理員進一步分析，并采取相應的響應措施。

主機入侵檢測系統（HIDS）具有以下優點：

網絡報文監視所有系統行為：HIDS可以監視主機上的所有系統行為，包括系統日志、賬戶系統、文件讀寫等。它能夠全面地監測和分析主機上的活動，發現潛在的入侵行為和異常行為。
能夠檢測到攻擊行為的后果：相比網絡入侵檢測系統，HIDS更加接近主機操作系統和應用程序層面，因此能夠更好地檢測到攻擊行為的后果。例如，它可以識別未經授權的文件更改、異常進程行為或病毒感染等。
適用于加密網絡環境：HIDS可以在加密網絡環境中工作，因為它主要基于主機行為的監測和分析，而不是對網絡流量進行深入分析。這使得HIDS成為保護加密網絡環境中主機安全的有力工具。

然而，主機入侵檢測系統也存在一些局限性：

可移植性差，開發和測試壓力大：由于HIDS需要安裝在每臺主機上并與不同的操作系統和應用程序進行集成，其可移植性較差。開發和測試針對各種主機環境的HIDS也會面臨一定的壓力。
消耗主機硬件資源：HIDS需要在主機上運行，并消耗一定的CPU、內存和存儲資源。這可能會對主機的性能產生一定的影響，特別是在資源受限或需要高性能的主機上。
僅能保護安裝了產品的主機：HIDS只能保護安裝了該系統的主機，而無法直接保護其他主機或網絡設備。如果某個主機未安裝HIDS，就無法檢測到該主機上的入侵行為。

誤用檢測技術

建立入侵行為模型(攻擊特征)
假設可以識別和表示所有可能的特征
基于系統和基于用戶的誤用

異常檢測技術

設定“正常”的行為模式·
假設所有的入侵行為是異常的
基于系統和基于用戶的異常?

入侵檢測系統的部署

基于對全網數據報文進行分析：這種部署方式涉及在網絡中設置監控設備，以捕獲經過網絡的所有數據報文。入侵檢測系統會對這些數據報文進行分析和識別，以檢測可能的入侵行為。該方式可以幫助發現網絡層面的入侵嘗試，例如端口掃描、DoS（拒絕服務）攻擊等。然而，由于需要處理大量的數據報文，對系統資源要求較高。
基于對服務器區的報文進行分析：這種部署方式將入侵檢測系統集中部署在服務器所在的特定網絡區域。它會監視該區域內發生的數據報文，以及從該區域出去的流量。這種方式相對于全網分析具有更高的效率和精確度，因為它能夠重點關注與服務器相關的數據流量和活動。這對于檢測與服務器相關的入侵，如漏洞利用、惡意文件上傳等非常有效。
基于對關鍵主機或服務器的報文進行分析：這種部署方式將入侵檢測系統僅部署在關鍵主機或服務器上。它會監控和分析該主機或服務器的入站和出站報文，以便及時發現和阻止針對這些關鍵設備的入侵行為。這種方式適用于重要數據存儲、關鍵業務應用等需要高度保護的主機或服務器。

?入侵檢測系統相關挑戰和問題的解答

用戶知識要求高：確實，使用入侵檢測系統需要一定的專業知識和技能。用戶需要了解系統的配置、操作和管理，并理解如何解讀和響應系統生成的警報信息。為了降低用戶的負擔，可以提供易于使用的用戶界面和清晰的文檔，以輔助用戶操作和理解系統。
處理性能要求高：隨著網絡的快速發展，入侵檢測系統需要具備足夠的處理性能來應對不斷增長的網絡流量和復雜的攻擊方式。這對于硬件和軟件的選擇和優化提出了挑戰。一種可能的解決方案是采用分布式部署和并行處理技術，以提高系統的處理能力和效率。
虛警率高：入侵檢測系統的虛警率是指系統誤報的頻率。由于入侵檢測系統需要根據預定義的規則和模型進行判斷，存在一定的誤報可能性。為了降低虛警率，可以通過增加更精確的規則和模型、結合機器學習等技術來提高系統的準確性。
警告信息記錄不完整：確保警告信息的完整性和可追溯性非常重要。系統應該能夠記錄和存儲所有的警告信息，包括相關的上下文和事件信息，以便后續的分析和調查。此外，可以利用日志管理和安全信息與事件管理（SIEM）系統來幫助收集、分析和關聯警告信息，以便生成更有用的結果。
對其他數據的檢測可能受限：在應對自身的攻擊時，入侵檢測系統可能會集中精力于特定的目標或區域，導致對其他數據的檢測受限。為了彌補這個問題，可以考慮引入多層次和多角度的入侵檢測技術，覆蓋更廣泛的數據范圍和攻擊方式，以提高整體的安全性和防御能力。

二、網絡安全審計

安全審計系統

按照一定的安全策略，對系統日志、網絡數據、用戶活動、環境狀況進行檢查，以發現系統漏洞、違規操作等行為的安全設備，與其他網絡安全產品 (防火墻入侵檢測系統、漏洞掃描等)功能上相互獨立，同時也相互補充、保護網絡的整體安全。
網絡審計
主機審計
安全審計系統實際是記錄與審查用戶操作計算機系統和網絡活動,通過對系統記錄和行為進行獨立審查,對可能存在的攻擊者起威懾和警示作用、發現系統的不安全狀態以及時進行調整并對安全策略的變更進行評價及反饋等。

三、漏洞掃描系統

漏洞

????????漏洞是指信息系統、軟件、網絡等環境中存在的安全弱點或缺陷，可能被攻擊者利用來獲取未經授權的訪問權限、執行惡意操作、竊取敏感信息等。漏洞可以出現在系統設計、實現、配置等各個方面，包括軟件代碼中的程序錯誤、系統配置錯誤、不安全的網絡協議等。

漏洞掃描

????????漏洞掃描（Vulnerability scanning）是一種主動的網絡安全技術，用于檢測和發現信息系統中存在的安全漏洞。通過使用專門的掃描工具，系統管理員可以定期對網絡設備、操作系統、應用程序等進行掃描，以便及時發現系統中存在的漏洞和配置缺陷。

????????漏洞掃描的目的是幫助組織識別潛在的安全風險，使其能夠及時采取措施來修復這些漏洞。掃描工具會自動檢查系統的各個方面，包括開放的端口、服務、補丁情況、配置設置等，然后與已知的漏洞數據庫進行比對，找出可能存在的安全漏洞。

????????漏洞掃描系統是網絡安全管理人員的重要工具，可以發現系統中的安全漏洞和配置缺陷。通過定期進行漏洞掃描，管理人員可以了解系統的安全狀況，并采取相應的措施來修復漏洞，以提高系統的整體安全性。

????????然而，需要注意的是，漏洞掃描系統在一定程度上也可能受到攻擊者的濫用。攻擊者可以使用漏洞掃描系統來尋找系統中的安全漏洞和入侵途徑，從而發起攻擊。因此，在使用漏洞掃描系統時，需要采取必要的安全措施，如訪問控制、認證等，以防止未經授權的個人或組織使用系統。

????????此外，漏洞掃描技術通常與防火墻和入侵檢測系統等其他安全措施相結合使用，以形成完善的安全防護體系。漏洞掃描提供了安全弱點的發現，而防火墻和入侵檢測系統能夠阻止惡意流量或檢測入侵行為，進一步提高網絡的安全性。

四、VPN（虛擬專網）

????????虛擬私人網絡（Virtual Private Network，VPN）是一種利用隧道技術在公共網絡中創建一個虛擬的、臨時的、專用的安全通道，用于保護用戶的網絡連接和數據傳輸。

VPN實現技術：

點對點隧道協議（PPTP）：一種用于創建隧道連接的早期協議。
層二隧道協議（L2TP）：結合了PPTP和Layer 2 Forwarding Protocol（L2F），增強了安全性和可靠性。（是一種在第二層工作的隧道協議）
IP安全協議（IPsec）：一套廣泛采用的安全協議，提供數據加密和身份驗證功能。
通用路由封裝（GRE）：一種將IP數據包封裝在其他協議中傳輸的技術。

密碼技術：

對稱加密：使用相同的密鑰進行加密和解密，速度較快。常見的算法有AES、DES和3DES等。
非對稱加密：使用一對密鑰，公鑰用于加密數據，私鑰用于解密數據。常見的算法有RSA和Elliptic Curve Cryptography（ECC）等。
SSL（Secure Sockets Layer）：一種加密協議，用于在Web瀏覽器和服務器之間建立安全連接。
TLS（Transport Layer Security）：SSL的繼任者，用于保護通信過程中的機密性和完整性。

虛擬私有網絡（Virtual Private Network，VPN）相對于建立或租用專線具有以下優勢：

成本低：與專線相比，通過VPN建立遠程訪問的成本更低。使用互聯網作為傳輸介質，無需額外投資專線費用。
安全性高：VPN提供了強大的加密和身份認證機制，確保數據在傳輸過程中的安全性。通過建立VPN隧道，所有數據都被封裝起來，并加密傳輸，防止數據被竊聽或篡改。
簡單、靈活、方便：建立VPN連接相對簡單，并且能夠適應不同的網絡環境。用戶只需安裝VPN客戶端，并通過互聯網連接到VPN服務器，即可實現遠程訪問。
提供服務保證：VPN可以提供身份認證、訪問控制、安全管理和流量管理等服務，確保只有授權用戶能夠訪問內部資源，并對流量進行管理和優化。
豐富的應用場景：VPN滿足了需要通過互聯網進行遠程訪問企業內部資源的組織的需求。無論是遠程辦公、跨地區辦公、移動辦公，還是遠程用戶訪問內部系統，VPN都能提供安全、可靠的連接。

通過VPN接入，遠程用戶能夠在確保安全的同時訪問內部資源，無論是企業組織還是私人機構都能受益于此。VPN提供了一種靈活且成本效益高的方式，滿足了遠程訪問的需求。

VPN的搭建：

選擇合適的VPN服務提供商：首先，您需要選擇一個可信賴的VPN服務提供商。他們將提供VPN服務器和相應的軟件/應用程序。請確保選擇的供應商符合您的需求，并提供安全、穩定的連接。
配置VPN服務器：供應商通常會提供VPN服務器，您需要根據供應商提供的說明來配置服務器。這可能涉及到設置網絡參數、安全協議、加密方式、用戶認證等。
購買和配置VPN硬件設備：如果您決定自己搭建VPN，您需要購買適用于VPN的硬件設備，如VPN路由器、防火墻、VPN集線器等。這些設備將幫助您創建和管理VPN連接。
網絡設置和配置：您需要對網絡進行一些設置和配置，包括IP地址分配、子網劃分、路由設置等。這將確保VPN網絡正常運行并且與其他網絡正確連接。
VPN客戶端設置和配置：遠程用戶需要安裝VPN客戶端軟件，并按照供應商提供的指南進行配置。這些指南通常包括服務器地址、身份驗證方法以及其他相關設置。
安全性和監控：為確保VPN的安全性，您需要采取一些措施，如使用強密碼、定期更新軟件和固件、進行流量監控等。這將有助于防止潛在的安全漏洞或入侵。