【25软考网工】第六章（7）网络安全防护系统

一、网络安全防护系统

1. Web应用防火墙

1）Web应用防火墙的定义与原理WAF

• 定义: Web应用防火墙(WAF,Web Application Firewall)是一种用于HTTP应用的防火墙，工作在应用层。
• 原理: 通过深入检测Web流量，匹配Web攻击特征库，发现攻击并阻断。

2）常见的Web攻击类型

• SQL注入: 攻击者通过构造恶意SQL语句，企图获取或篡改数据库数据。
• XSS: 跨站脚本攻击，攻击者通过注入恶意脚本，窃取用户信息或执行未授权操作。
• 反序列化: 利用反序列化漏洞执行任意代码。
• 远程命令执行: 攻击者通过漏洞远程执行服务器命令。
• 文件上传: 上传恶意文件，如WebShell，获取服务器控制权。
• WebShell: 攻击者在服务器上植入的后门程序，用于持久控制服务器。

3）WAF的功能

• Web攻击防护: 通过特征匹配，阻断SQL注入、跨站脚本攻击、Web扫描等攻击行为。
• Web登录攻击防护: 包括暴力破解防护、撞库防护、弱口令防护等。
• 漏洞利用防护: 包括防护反序列化漏洞利用、远程命令执行利用等软件漏洞利用攻击。
• Web恶意行为防护: 包括恶意注册防护、高频交易防护、薅羊毛行为防护、短信验证码滥刷防护等。
• 恶意流量防护: 主要是DoS，包括CC攻击防护、人机识别、TCP Flood攻击防护等。

2. 漏洞扫描

• 定义: 漏洞扫描系统是一种自动检测远程或本地主机安全性弱点的程序。
• 功能: 对系统脆弱性进行分析评估，检查网络范围内的设备、网络服务、操作系统、数据库等系统的安全性，提供决策支持。相当于网络“体检”，及时发现问题并解决问题。
• 技术要求：在技术上扫描发现漏洞
• 管理要求: 不仅需要相应的设备和技术，还需定期漏扫，如每月一次全面漏扫，每周对核心业务系统进行漏洞扫描。

3. 统一威胁管理UTM和下一代防火墙NGFW

1）统一威胁管理UTM定义与核心功能

• 定义: 统一威胁管理(UTM，Unifed Threat Management)集成防火墙、入侵检测、入侵防护、防病毒功能于一台设备中，形成统一安全管理平台。
• 核心功能: 防火墙是其核心功能，同时集成其他多种安全功能。

2）UTM的优点与缺点

优 点:

• 降低成本: 整合各安全防护功能，减少设备采购和管理成本。
• 降低部署和管理难度: 统一平台，简化部署和管理流程。
• 提高协同工作效率: 各安全功能间协同工作，提升整体安全效率。

缺点 :

• 单项防护能力弱: 功能多而不精，单项防护能力相对较弱。
• 抗风险能力下降: 功能过度集中，一旦设备故障，多项安全功能将失效。
• 性能要求高: 对设备性能要求较高，多功能开启时性能损耗大。

3）下一代防火墙NGFW概述

• 定义: 下一代防火墙(NGFW,Next Generation Firewall)相当于UTM的升级版，集成多功能，但采用一次拆包，多次检查的方式，性能损耗小。

4）NGFW与UTM的核心原理区别

• UTM: 每个功能都要进行一次拆包和封装，效率较低。
• NGFW: 一次拆包后，进行多次安全检查，性能损耗相对较小。

5）等保一体机介绍及底层原理

• 定义:等保一体机（Unified Security Gateway）是一种集成了多种网络安全功能的设备，包括防火墙、入侵检测和防御系统（IDS/IPS）、虚拟专用网络（VPN）、反病毒和内容过滤等。它的设计目的是为企业提供全面的网络安全保护，简化管理和降低成本。
• 等保一体机底层是一台服务器，通过NFV方式运行多个虚拟机，每个虚拟机实现不同的安全功能，如虚拟防火墙、虚拟IPS、虚拟防病毒等。
• 商业模式: 基础防火墙功能免费，其他安全功能如虚拟IPS、防病毒等需购买授权，按年收费。

6）等保一体机与云安全的关系

• 云安全体现: 等保一体机是私有云安全的一种体现，通过购买服务的方式实现安全功能，与公有云上的安全服务模式类似，但部署在本地。
• 云安全类型: 云安全包括本地私有云和公有云（如阿里云、腾讯云）上的安全服务。

4. 数据库审计

1）数据库安全审计概述

• 技术基础: 基于数据库网络流量采集、协议解析与还原技术
• 核心功能: 实现细粒度操作审计的合规性管理和对数据库遭受的攻击进行实时风险告警，实现数据库网络行为的监控与审计，提高数据资产安全。
• 类比设备: 类似WAF但针对数据库应用，WAF主要防护Web应用
• 部署方式: 通常旁挂部署（审计模式），也可串行部署（过滤模式，类似IPS）

2）主要功能

1.操作行为审计:

• 通过SQL语法分析实现精准审计
• 典型案例：记录"删库"等高风险操作

2.操作行为回溯:

• 支持历史操作检索和回放
• 应用场景：排查数据库死锁等故障原因

3.三层应用关联审计:

• 实现客户端IP、用户与数据库操作的关联
• 典型案例：医疗系统"统方"分析（可追踪科室/医生开药偏好）

4.统计分析和报表 :

• 多维度报表：风险分布、会话分布、语句类型等
• 支持自动生成可视化报表

3）部署与应用

部署要点:

• 需通过端口镜像获取数据库流量
• 典型案例：医院核心交换机旁挂部署

实施注意事项:

• 生产环境密码管理需谨慎（不可擅自重置）
• 老旧设备存在"灰尘平衡"风险（长期运行设备不宜随意重启）

行业应 用:

• 医疗行业需特别注意"统方"数据敏感性
• 兼具审计和过滤功能（串行部署时可实现恶意操作拦截）

5. 态势感知

1）态势感知的定义与原理

数 据采集:

• 日志采集：安全设备、操作系统、中间件等
• 流量采集：网络流量传感器

分析 技术:

大数据分析处 理非结构化数据

• 多维度自动化关联分析

响应 机制:

• 基于风险等级和资产重要性，依据相应的策略，对威胁和异常行为进行分级处置
• 典型响应：联动网络设备下发ACL策略

2）态势感知的功能

1.日 志采集和监测:

• 分布式探针收集各类资产日志

2.威胁 分析:

• 去噪处理后进行关联分析
• 攻击者画像：溯源攻击源和真实意图

3.威胁预警:

• 快速发现安全事件线索
• 实现精准可视化预警
• 系统联动:
  • 实际应用中联动效果存在局限
  • 类比：类似自动驾驶L2级别，尚未达到完全自动化

6. 大数据安全平台/态势感知平台

1）态势感知平台简介

• 别称与功能 ：又称态势感知平台 ，核心功能是通过大数据分析海量日志和关键节点流量，提供可视化安全态势展示
• 应用场景：特别适合向非技术领导汇报，配合大屏展示能直观呈现安全态势（案例：7天内攻击趋势、TOP攻击类型统计）
• 局限性：虽然能解决部分安全问题，但实际智能化程度可能低于用户预期

2）态势感知的核心原理

数据采集：

• 日志采集：服务器日志、PC端日志、安全设备（防火墙/沙箱/上网行为管理）报警日志
• 流量采集：在网络出口、服务器区域等关键节点部署流量探针

处理架构：

• 分布式处理：探针先进行本地预处理，再将结果传回平台
• 后端分析：基于大数据技术对收集的海量数据进行深度分析

技术特点：前端探针（如华为防火墙/交换机内置探针）与后端分析平台协同工作

3）攻击者溯源功能展示

• 溯源要素：
  • 攻击IP（如103.86.52.15）、地理信息（案例：巴基斯坦经纬度30.441851,69.359703）
  • 攻击类型统计（如目录穿越、XSS注入攻击）
  • 时间范围分析（支持最近7天等时段）
• 可视化输出：支持生成溯源报告，展示攻击路径和关联信息

4）分钟级联动防护与全网协同

• 响应机制：平台发现威胁后，分钟内可向全网网元设备发送阻断指令
• 设备协同：
  • 网络侧：路由器/交换机/NGFW
  • 终端侧：探针/沙箱/VPN
  • 服务器侧：AntiDDoS/日志采集系统
• 检测维度：异常检测、可疑行为检测、企业自定义威胁模型

7. 华为沙箱

1）工作原理

• 功能：检测文件中存在的未知威胁
• 检测对象：
  • Windows可执行文件（EXE/dll）
  • Web组件（JavaScript/Flash/JavaApplet）
  • 文档类（Office/PDF/WPS）
  • 图片（JPEG/PNG/JPG）及压缩/加壳文件
• 工作原理：在虚拟环境中运行可疑文件，观察是否导致虚拟机异常（如黑屏/蓝屏）

2）部署方案

• 典型位置：
  • 防火墙旁挂（主要部署方式）
  • 网络出口、服务器区域、核心部门边界
• 防护重点：防范内网可疑文件传播和横向感染
• 适用场景：文件交互频繁的环境（总部/分支机构均可部署）

8. 运维安全管理与审计系统（堡垒机）

1）堡垒机的定义与作用

• 唯一通道作用：运维人员必须通过堡垒机才能访问内网的服务器、网络设备、数据库等资源，成为运维操作的核心入口（唯一通道）。传统方式需为每个运维人员在每台设备单独开设账号，而堡垒机实现统一入口管理。
• 外包管控实例：当存在外包人员时，通过堡垒机可限制其仅能访问特定服务器（如仅1台），且权限可精细控制（如禁用rm−rf等高危命令），而内部管理员可访问全部3台服务器。
• 审计追溯能力：全程记录操作行为并支持视频回放（10帧/秒的FLV格式，每小时仅占10MB存储），实现操作可视化回溯，为安全事件提供"送你进去"的取证依据。
• 实时阻断：对于高危命令的操作实时阻断，实现集中报警、技术处理机审计定责

2）堡垒机的功能

• 运维身份多重认证机制：采用"账号密码+数字证书"双因素认证登录堡垒机，现代产品多实现单点登录（登录后自动关联有权限的设备，无需重复认证）。
• 统一账户管理：对所有被运维的IT资产账号的集中管理和监控。
  • 权限差异化：可设置张三能访问3台服务器（root权限），李四仅能访问1台（普通用户权限）。
• 统一资源授权：建立运维人员与设备的对应关系，按需授权，桉授权范围运维，通过配置登录、上传、下载等权限，杜绝非授权访问和运维行为。
• 集中运维监控和审计：实时监控运维人员正在进行的各种操作，可以随时阻断运维操作；通过设置高危命令清单，自动组织运维人员进行高危命令执行。
  • 高危命令阻断：预设高危命令清单（如shut down、fdisk），实时阻断并触发告警。
• 运维过程回溯：通过视频回放的审计界面，以真是、直观、可视的方式重现操作过程。

运维监控三要素：

• 实时操作监控与强制中断能力
• 细粒度权限控制（上传/下载/命令执行等）
• 操作日志与视频双轨记录

3）堡垒机的实际应用与效果

• 运维效率提升：相比传统每台设备单独管理账号的方式，集中管理降低90%账号维护工作量。
• 安全防护案例：某外包人员尝试执行rm/∗ 命令时，堡垒机立即阻断并触发告警，事后通过操作视频确认责任人。
• 存储优化方案：采用低帧率录屏（10帧/秒）和FLV压缩技术，500GB硬盘可存储超过5年的运维录像。

9. 蜜罐

• 主动防御技术：作为IPS技术的演进方向，通过模拟存在漏洞的主机（如伪造192.168.1.100的Web服务）诱骗攻击者。
• 攻击者往往在蜜罐上浪费时间，延缓对真正目标的攻击。
• 双重价值体现：
  • 延缓攻击：消耗攻击者70%时间在伪目标上
  • 取证分析：记录攻击者完整的whoami、nmap等探测行为
• 典型部署场景：金融系统中常与堡垒机配合使用，形成"入口防御+攻击取证"的纵深防御体系

10. 应用案例

1）例题:减少SQL注入攻击的方法(网工2023年11月第67题)

• 正确选项分析：选择C选项WAF(Web应用程序防火墙)，因为WAF能直接检测和拦截SQL注入攻击行为
• 错误选项分析：
  • A选项数据库加密：主要用于防止数据泄密，对注入攻击无效
  • B选项定期备份：可应对勒索病毒，但无法阻止注入攻击本身
  • D选项分离部署：仅提升性能，不能防御注入攻击
• 典型注入案例：攻击者可能通过注入修改数据库内容（如添加/删除记录）或执行非法操作
• 答案：C

2）例题:统一威胁管理定义(网规2023年11月第28题)

• 核心概念：UTM(统一威胁管理)是集成防火墙、防病毒、内容过滤等技术的主动防御系统
• 技术演进：UTM是下一代防火墙(NGFW)的前身，但开启多功能后性能下降明显
• 产品现状：UTM已被NGFW取代，属于多年前的老产品
• 答案：A

3）例题:UTM功能(网工2024年11月第55题)

• 包含功能：
  • 恶意软件过滤
  • 访问控制（典型防火墙功能）
  • 垃圾邮件拦截
• 不包含功能：A选项重要数据加密和备份
• 记忆要点：UTM侧重实时防护，不涉及数据备份等后期处理
• 答案：A

4）例题:部署堡垒机变化和改善风险(网规2024年11月案例分析三/问题4)

• 运维操作变化：
  • 运维人员必须通过堡垒机作为唯一入口访问服务器
  • 管理员权限严格划分，禁止越权操作
• 安全改善：
  • 统一管理入口，减少服务器直接暴露
  • 严格权限控制防止误操作/恶意操作
  • 完整记录运维日志便于审计
• 核心价值：运维审计记录和权限管控是关键功能

5）例题:网络安全态势感知系统核心技术原理

• 核心原理：
  • 采集阶段：收集安全日志和关键节点流量
  • 分析阶段：进行大数据关联分析
  • 展示阶段：通过图形化界面呈现安全态势
  • 响应阶段：自动/手动联动设备处置威胁
• 设备分类：
  • 日志收集：防火墙、IDS、EDR(终端检测响应)、日志审计系统等
  • 流量采集：专用探针、带探针功能的防火墙/交换机
  • 分析展示：态势感知平台(如华为HiSec Insight)
  • 策略执行：防火墙、交换机、安全管理平台(如SecoManager)
• 架构类比：
  • 态势感知=总司令(决策中心)
  • 安全管理平台=将军(策略执行)
  • 安全设备=士兵(具体防护)

11. 华为态势感知组件

• 核心组件：
  • 态势感知平台：HiSec Insight基于Hadoop实现大数据分析，支持多维度安全态势展示
  • 网络控制器：iMaster NCE-Campus管理网络设备，实现策略自动化
  • 安全控制器：SecoManager统一管理安全策略，形成防护闭环
• 执行层组件：
  • 防火墙：边界防护，防御入侵攻击(如暴力破解)和病毒传播
  • 终端安全软件：检测终端合规性，支持与沙箱联动分析可疑文件
• 工作流程：采集→分析→可视化→响应四阶段闭环

二、知识小结