0%
防火墙(Firewall)
工作原理:防火墙是设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它基于预定义规则,控制网络流量的进出。
包过滤防火墙 :检查 IP、TCP、UDP 头信息,包括源地址、目标地址、端口 等信息,根据预先设定的过滤规则决定是否允许数据包通过。状态检测防火墙 :跟踪会话状态,例如 TCP 三次握手的过程,动态生成规则表。它不仅检查数据包的头部信息,还会考虑数据包是否属于已建立的合法连接 。下一代防火墙(NGFW) :集成了深度包检测(DPI)技术,可以深入分析数据包内容,识别应用程序;还具备应用识别能力,能够区分微信与 QQ 流量等;并且能与威胁情报联动,及时获取最新的恶意 IP、域名等信息进行拦截 。
Web 应用防火墙(WAF)
工作原理 :WAF 主要用于保护 Web 应用,通过解析 HTTP/HTTPS 流量,识别 SQL 注入、跨站脚本攻击(XSS)等攻击特征。采用的检测技术包括正则表达式匹配 (针对常见攻击模式编写规则)、语义分析 (如检测 SQL 语句中的 “1=1” 等逻辑异常)、机器学习模型 (通过训练识别攻击行为) 。
入侵检测系统(IDS)
工作原理 :IDS 通常旁路部署 在网络中,通过镜像流量的方式获取网络中的数据,然后对这些数据进行分析,以检测异常行为。检测方法包括特征库匹配 ,即把捕获到的流量与已知攻击特征(如 Snort 规则)进行比对;异常流量建模 ,比如设定正常流量的范围,当流量突增或出现异常模式(如流量突增 500%)时发出告警 。
入侵防御系统(IPS)
工作原理 :IPS 串联部署 在网络链路中,实时检查和处理流经的网络流量。一旦检测到恶意流量,会立即进行拦截。关键技术包括虚拟补丁 ,即无需重启系统就能修复已知漏洞;攻击意图分析 ,通过对攻击行为的分析预测攻击者的下一步动作 。
防病毒网关
工作原理 :防病毒网关一般部署在网络入口处,对流经的网络流量(包括文件传输、电子邮件等)进行扫描。通过特征码匹配 、启发式扫描 等技术,检测其中是否包含病毒、恶意软件等威胁。当发现威胁时,会采取清除病毒、隔离文件、阻断连接 等措施 。
常见考点
防火墙:
防火墙规则配置 :答案是根据网络安全策略,使用 ACL 规则允许或拒绝特定源 IP、目标 IP、端口号的流量通过。例如,允许内部网络 192.168.1.0/24 访问外部 Web 服务器的 80 和 443 端口,可配置规则为 “permit tcp 192.168.1.0 0.0.0.255 any eq 80” 和 “permit tcp 192.168.1.0 0.0.0.255 any eq 443”。基于应用层的规则配置,可通过下一代防火墙识别应用程序,如禁止内部网络使用 P2P 应用程序,可配置规则禁止相应的 P2P 应用端口或基于应用特征进行阻断。防火墙类型对比 :包过滤防火墙优点是处理速度快、开销小,缺点是只能根据 IP 和端口等简单信息过滤,安全性较低,适用于对性能要求高、安全需求简单的场景。状态检测防火墙能跟踪会话状态,安全性较高,性能也较好,适用于大多数企业网络边界防护。下一代防火墙具备深度包检测和应用识别能力,可防御复杂攻击,但性能相对较低,价格较高,适用于对安全要求高的企业、数据中心等场景。防火墙在网络中的部署位置 :通常部署在内外网交界处,如企业出口,阻止外部非法访问进入内部网络;也可部署在内部网络关键子网前,如服务器区前端,保护关键服务器资源;在云环境中,可部署在云入口处,防护云内资源安全。防火墙与其他安全设备的联动 :与 IPS 联动时,当 IPS 检测到攻击,会向防火墙发送告警信息,防火墙根据规则自动添加访问控制条目,阻断攻击源 IP 后续流量。
Web 应用防火墙(WAF):
防护的漏洞类型: 可防护 OWASP Top 10 漏洞中的 SQL 注入,通过检测 SQL 语句中的特殊字符和关键字,如 “SELECT”“INSERT”“UPDATE” 等结合特殊符号的非法组合来识别攻击;防护跨站脚本攻击(XSS),检测 HTML 或 JavaScript 代码中的恶意脚本片段,如 <script>alert('XSS')</script>;还能防护文件包含漏洞、命令注入漏洞等,通过匹配相关攻击特征来拦截流量。CC 攻击防护机制 :通过限制单一 IP 对 Web 应用的请求频率来防护。如设置每分钟每个 IP 对某个页面的请求不得超过 100 次,超过则判定为疑似 CC 攻击,对该 IP 进行短暂封禁或限流。为减少误判,可结合用户行为模式分析,如正常用户请求有一定的时间间隔和页面访问逻辑,若某个 IP 请求过于频繁且无规律,则更可能是攻击。WAF 的部署方式 :透明模式下,WAF 对用户和服务器透明,无需修改网络拓扑和 IP 配置,流量自动经过 WAF 检测,适用于对网络改动要求小的场景。反向代理模式 中,WAF 作为 Web 服务器的代理,客户端请求先到 WAF,再由 WAF 转发到服务器,可隐藏服务器真实 IP,增强安全性,常用于对外提供服务的 Web 服务器防护。动态脱敏技术 :原理是在数据传输过程中,根据预设规则对敏感数据进行实时处理,如将身份证号中间几位用星号替换,银行卡号只显示后 4 位等。在用户访问 Web 应用查询敏感信息时,WAF 对返回数据进行脱敏处理,保护用户隐私。
入侵检测系统(IDS):
检测方法的优缺点 :特征库匹配优点是能准确检测已知攻击,准确率高,缺点是无法检测未知攻击,需不断更新特征库。异常流量建模优点是可检测未知攻击,通过学习正常流量模式 发现异常,缺点是容易产生误报,正常的流量波动可能被误判为攻击。实际中常结合使用,先用特征库匹配检测已知攻击,再用异常流量建模发现未知潜在威胁。实时告警机制 :IDS 通过设置告警策略,当检测到符合条件的攻击或异常流量时,会立即向管理员发送告警信息。可通过邮件、短信、系统日志等方式发送,告警信息包含攻击类型、源 IP、目标 IP、时间等详细信息,方便管理员及时处理。攻击链可视化 :通过收集多个 IDS 传感器的数据,结合日志分析和威胁情报,将攻击过程中的各个阶段进行关联和展示。例如,从攻击者扫描端口开始,到尝试利用漏洞、上传恶意软件等一系列行为,以图形化方式呈现,帮助安全人员了解攻击全貌,更好地制定防御策略。IDS 与其他安全设备的协同 :与防火墙协同,当 IDS 检测到攻击时,可将攻击源 IP 等信息发送给防火墙,防火墙添加规则阻断其后续流量。与 WAF 协同,WAF 专注 Web 应用层攻击,IDS 监控整体网络流量,两者数据共享,可更全面防护 Web 应用和网络环境。
入侵防御系统(IPS):
与 IDS 的区别 :部署方式上,IDS 是旁路部署,只监听流量,不影响正常数据传输;IPS 是串联部署,直接处理流经的流量。功能上,IDS 主要是检测并告警,不阻止攻击;IPS 不仅能检测,还能实时阻断攻击。处理方式上,IDS 对检测到的异常流量只是记录和发出警报,由管理员后续处理;IPS 则根据预设规则自动对攻击流量进行拦截,如丢弃数据包、关闭连接等。阻断 0day 攻击的原理 :基于行为分析技术,IPS 学习正常网络行为模式,建立基线。当流量行为偏离基线,如出现异常的数据包发送频率、特殊的协议交互模式等,且符合一定的异常阈值,就判定为可能的 0day 攻击并进行阻断。但这种方式存在局限性,可能会将一些正常的新应用或业务流量误判为攻击,也可能无法识别一些复杂的、伪装良好的 0day 攻击。联动防火墙的实现方式 :IPS 检测到攻击后,通过安全信息共享协议(如 STIX/TAXII)或自定义接口,将攻击源 IP、攻击类型等信息发送给防火墙。防火墙接收信息后,根据预设的联动规则,自动在访问控制列表中添加相应规则,阻断来自该攻击源的流量。误报和漏报问题 :误报原因可能是规则设置过于严格、正常业务流量符合某些攻击特征等。解决方法是优化规则,根据实际业务流量情况调整阈值,结合多种检测技术提高准确性。漏报可能是因为攻击特征未被识别、检测引擎缺陷等,可通过及时更新检测规则库、升级 IPS 系统版本、优化检测算法来降低漏报率。
防病毒网关:
扫描技术 :特征码匹配是将病毒文件的特征代码提取出来形成特征库,防病毒网关扫描文件时,将文件内容与特征库对比,若匹配则判定为病毒,优点是检测准确,缺点是无法检测新病毒。启发式扫描通过分析文件的行为、结构等特征,判断是否具有病毒特征,可检测未知病毒,但可能存在误报。对不同应用的防护 :防护电子邮件病毒时,对 SMTP、POP3、IMAP 协议传输的邮件内容及附件进行扫描,发现病毒则隔离或删除附件,向发件人或收件人发送告警。对 FTP、HTTP 协议传输文件,实时监控文件传输过程,对下载和上传的文件进行扫描,阻止病毒文件传输。性能优化 :可通过优化硬件配置,如增加内存、CPU 性能来提升处理能力。采用分布式部署方式,将扫描任务分担到多个节点。还可设置文件大小阈值,对超过一定大小的文件不进行扫描或采用快速扫描方式,优先扫描常见病毒类型文件等策略来提高性能。病毒库更新 :病毒库更新很重要,可及时识别新出现的病毒。更新方式有手动和自动两种,自动更新可设置定时任务,从病毒库服务器下载最新病毒特征库。更新过程中可能遇到网络故障、服务器连接问题等,可通过设置备用更新服务器、重试机制来解决,同时要确保更新过程中不影响防病毒网关正常工作,可采用增量更新方式减少更新数据量。