设备介绍
红蓝攻防必定离不开设备的使用或是绕过,下面列举下常见的安全设备及其作用
这里放一个奇安信的产品手册https://kb.qianxin.com
网闸
网闸是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。因此,网闸从物理上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。
防火墙
防火墙(英语:Firewall)在计算机科学领域中是一个架设在互联网与企业内网之间的信息安全系统,根据企业预定的策略来监控往来的传输。防火墙可能是一台专属的网络设备或是运行于主机上来检查各个网络接口上的网络传输。它是目前最重要的一种网络防护设备,从专业角度来说,防火墙是位于两个(或多个)网络间,实行网络间访问或控制的一组组件集合之硬件或软件。 防火墙最基本的功能就是隔离网络,通过将网络划分成不同的区域(通常情况下称为ZONE),制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。例如互联网是不可信任的区域,而内部网络是高度信任的区域。一般部署于网络边界部分,用于进行网络隔离,可在上配置net策略
长亭:防火墙
ips(入侵防御系统)
对经过该设备的网络流量进行分析监控,有拦截功能。IPS是防火墙的重要补充,一般来说防火墙为第一道防线,IPS是第二道防线,现在部分防火墙也会集成IPS的功能
ids(入侵检测系统)
一般都叫态势感知。监控记录网络中的各种攻击企图,只记录,无拦截功能。用于日常的检测和处理事件时的溯源
奇安信:天眼
waf(web防火墙)
web应用防火墙,专门针对HTTP和HTTPS请求进行检测和拦截,可以防止Web应用免受各种常见攻击,比如SQL注入,跨站脚本漏洞(XSS)等。WAF也能够监测并过滤掉某些可能让应用遭受DOS(拒绝服务)攻击的流量。WAF会在HTTP流量抵达应用服务器之前检测可疑访问,同时,它们也能防止从Web应用获取某些未经授权的数据。
cwpp(主机安全管理)
基于代理(Agent)的底层技术方案,和传统部署在网络边界上的安全产品不一样,CWPP部署在操作系统层,因此可以横跨物理机、公有云、私有云、混合云等多种数据中心环境,部署方式更加灵活、防护层面更加丰富。采用服务端agent+远程控制台的部署模式,agent支持云、物理、混合环境部署,能有效安全加固服务器、抵御黑客攻击和恶意代码。提供全面的风险检查,包括漏洞风险、弱密码、系统风险、应用风险、账号风险检查,提供等保或CIS国标标准的检查基线,支持对系统、应用、数据进行基线合规检查
阿里云、华为云 都有各自的主机安全产品
青藤云:万象主机安全
长亭:牧云
edr(终端安全管理)
就是企业级的防病毒软件,拥有集中管理平台,可以实现高效的终端管理,监管、告警、定位、资产管理,例如通过管理平台对下属的所有终端进行系统漏洞修复、病毒查杀、断网、封禁UBS口、分发可信软件。
360:企业版
火绒:企业版
奇安信:天擎
安恒:明御
dlp(数据泄密防护)
数据防泄密工具,主要功能有服务器器加密维护,由硬件或软件,对上传服务器的文档自动中止传输解密,下载文档进行中止传输并加密。文档外发监管,在发送到系统外的文档/移动介质被打开时,需要认证。文档自动备、日志审计等
堡垒机(运维审计系统)
综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过��切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。从单个用户对单个设备更换为多个用户根据需要对应多台设备
开源堡垒机:JumpServer
长亭:堡垒机
蜜罐
诱饵主机,部署于服务器段诱使攻击方对其发起攻击,并可以联动其他设备对其进行处理,通过蜜罐我们可以了解到攻击方式用的工具和手段 蜜罐这种设备是有可能捕捉到0day的
- 核心思路:威胁感知和伪装欺骗
- 核心功能:流量牵引、威胁感知、行为分析、取证溯源
- 核心价值:通过伪装欺骗吸引攻击火力,捕获和分析攻击者行为,提升企业主动防御能力
长亭:[谛听
扫描器
核心能力是快速、准确地发现和识别目标系统中的安全漏洞。它通过使用漏洞插件和扫描引擎,对目标系统进行全面的漏洞扫描和安全评估,帮助用户及时发现潜在的安全风险,并提供详细的漏洞报告和建议的修复措施。
长亭:洞鉴
绿盟:漏扫
安恒:明鉴