こんにちは、ネットワーク ワーカーの友人です
今年はクラウド コンピューティングの人気がネットワーク セキュリティよりもはるかに高いと常々感じていますが、私の心の中ではネットワーク セキュリティの方が依然として興味深い技術的方向性です。
学びたい人もたくさんいますし、始めたい人もたくさんいます。しかし、正しい方向性と方法を見つけられる人はほとんどいません。
ネットワークセキュリティを学ぶにはどうすればよいですか?
実は、始めるからといって徹底的に学ぶ必要はなく、弱電に携わる人は常にネットワークのことを知りたがり、ネットワークを学ぶ人は常に開発のことを知りたがり、弱電に携わる人は常に開発のことを知りたがります。安全で良いと感じながら開発に取り組んでいます...これは生まれ変わりです。
この業界は深く学べば本当に何百年も学ぶことができますが、簡単に学べることはありません。すべてを勝ち取るための基本的な方法は、落ち着いて粘り強く続けることです。
ネットワーク セキュリティについて学びたいと考えている出稼ぎ労働者のほとんどは、セキュリティ テクノロジや製品を学んだことがなく、プログラミングに触れたこともない可能性があり、いくつかのプロジェクトに取り組んできたことは言うまでもありません。
ネットワーク セキュリティを学習する最初のステップは、セキュリティを深く学習することではなく、学習後の内容を効率的に行えるようにしっかりとした基礎を身につけることです。
これまで関連作品に触れたことがなく、資料やビデオを散見しただけであれば、ヤン氏は間違いなく次のようなキャッチフレーズをあなたに浴びせるでしょう。
「まずは基礎を固めましょう、お兄さん!」
今日は、ネットワーク セキュリティに関する基本的な知識を共有し、皆さんのお役に立てればと思います。
本日の記事閲覧特典:「ネットワークセキュリティナレッジグラフ」
私にプライベート メッセージを送り、パスワード「ネットワーク セキュリティ」を送信してこのネットワーク セキュリティの知識マップを入手してください。これは Xiaobai の学習に大いに役立ちます。Yang 氏がそれを自分で整理します。
01 ファイアウォール(ファイアウォール)
定義:ファイアウォールの目的は誰もが知っていますが、ファイアウォールは外部からの攻撃を防御するものであり、内部のウイルス (ARP ウイルスなど) や攻撃にはあまり影響を与えないことに留意する必要があると思います。
関数 :
ファイアウォールの機能は主に 2 つのネットワーク間の境界を保護することですが、企業では、企業イントラネットとインターネット間の NAT、パケット フィルタリング ルール、ポート マッピングなどの機能がより多く使用されます。これは、実稼働ネットワークとオフィス ネットワーク間の論理的な分離に使用され、その主な機能はパケット フィルタリング ルールの使用です。
導入モード: ゲートウェイ モード、トランスペアレント モード
ゲートウェイ モードは、現在最もよく使用されているモードです。ルータを置き換えて、より多くの機能を提供できます。さまざまなタイプの企業に適しています。透過的導入とは、既存のネットワーク構造を変更せずに、透過的なブリッジ モードでファイアウォールを直列に接続することです。企業ネットワークの中央では、パケット フィルタリング ルールによってアクセス制御が実行され、セキュリティ ドメインが分割されます。
ゲートウェイ モードとトランスペアレント モードをいつ使用するかについては、ニーズに応じて決定する必要があり、絶対的な導入方法はありません。DMZ にサーバーを配置するかどうかは、サーバーの数と重要性によって決まり、つまり、サーバーをどのように配置するかはユーザー自身の選択となります。
高可用性: ネットワークの信頼性を確保するために、すべてのデバイスがアクティブ/アクティブ、アクティブ/スタンバイ、その他の展開をサポートするようになりました。
02 ウイルス対策の壁
定義: ファイアウォールと比較して、一般にファイアウォールの機能を持ち、防御の対象はより標的を絞ったもの、つまりウイルスです。
機能: ファイアウォールと同じですが、ウイルス署名データベースを追加し、データをウイルス署名データベースと比較し、ウイルスをスキャンして駆除します。
導入方法: ファイアウォールと同じですが、ほとんどの場合、ウイルスの防止と駆除のために、ファイアウォールまたはルーターの背後、またはサーバーの前に透過モードで導入されます。
03侵入 防御(IPS)
定義: ファイアウォールと比較して、一般にファイアウォールの機能を持ち、防御の対象はより標的を絞ったもの、つまり攻撃です。ファイアウォールは 5 つの要素を制御することでパケット フィルタリングの効果を実現し、侵入防御 IPS はデータ パケット (ディープ パケット インスペクション DPI) を検出して、ワーム、ウイルス、トロイの木馬、サービス妨害などの攻撃を検出して阻止します。
機能: ファイアウォールと同じですが、攻撃を防御するために IPS シグネチャ データベースを追加します。
導入方法: ウイルス対策ウォールと同じ。
特に、 ファイアウォールは、ルールを満たすデータ パケットの送信を許可し、データ パケットにウイルス コードや攻撃コードが含まれているかどうかをチェックしませんが、ウイルス対策ウォールと侵入防御は、データをより詳細に検査することでこれを補います。パケット。
04 Unified Threat Security Gateway (UTM)
定義: 単純に理解すると、脅威を統合するとは、実際には上記の 3 つのデバイスを統合することです。
機能: ファイアウォール、ウイルス対策ウォール、侵入防止の機能を同時に備えています。
導入方法: ファイアウォール機能の代替となるため、導入方法はファイアウォールと同様です。
現在、ほとんどのメーカーはウイルス対策および侵入防御をファイアウォール モジュールとして使用していますが、ハードウェアのパフォーマンスやコストに関係なく、ウイルス対策および侵入防御モジュールを備えたファイアウォールは実際には UTM と同じです。
UTM とファイアウォール、ウイルス対策、侵入検知が同時にネットワークに登場する理由については。
まず、実際のニーズに応じて、サーバー領域の前面にファイアウォールを展開して、外部ネットワーク上のウイルスから保護すると同時に、サーバー上の内部ネットワーク ユーザーからの攻撃を検出して防止します。
第二に、お金を使うこと、これは誰もが理解しています。つまり、これは同じ文であり、デバイスの導入は依然としてユーザーに依存しているということです。
05 IPSEC VPN
IPSEC VPN をネットワーク セキュリティ保護に組み込むのは、実際には、ほとんどの場合、IPSEC VPN の使用は上記の機器を通じて行われ、暗号化されたトンネルを介してネットワークにアクセスすること自体がネットワークの一種のセキュリティ保護であるためです。
定義: IPSec プロトコルを使用してリモート アクセスを実現する VPN テクノロジー。
機能: IPSEC VPN を使用して、クライアントまたはあるネットワークを別のネットワークに接続します。そのほとんどは、本社に接続するために支社で使用されます。
導入モード: ゲートウェイ モード、バイパス モード
基本的にゲートウェイ機器はIPSEC VPN機能を備えているため、ゲートウェイ機器上でIPSEC VPN機能を直接有効にする場合が多く、場合によっては新たにIPSEC VPN機器を購入し、既存のVPN機器に影響を与えずにバイパス導入を行う場合もあります。 , 導入後は、IPSEC VPN デバイスのセキュリティ ルールを解除し、ポート マッピングを実行するなどの作業が必要です。
Windows サーバーを使用して VPN を展開することもできます。ハードウェア デバイスと比較して、お客様自身での導入にコストはかかりませんが、IPSEC VPN はオペレーティング システムの影響を受け、その安定性はハードウェア デバイスよりも劣ります。
上記の機器の一般的なメーカー:
ジュニパー チェック ポイント フォーティネット (フライング タワー) Cisco Tianrong Xinshan Shiwangke Venusstar Chenconvinced Green League Network Yuxingyun Wangshenzhou Huasai Barracuda Deep H3C
06 門番
定義: 正式名はセキュリティ分離ゲートキーパーです。セキュリティアイソレーションゲートキーパーは、様々な制御機能を備えた特殊なハードウェアにより、回線上のネットワーク間のリンク層接続を遮断し、ネットワーク間で安全かつ節度あるアプリケーションデータのやり取りを行うことができるネットワークセキュリティ装置です。
機能: 主に 2 つのネットワーク間でデータを分離して交換するためのゲートキーパーは、中国の特徴を持つ製品です。
導入方法: 2 セットのネットワーク間
一般に、防火では 2 組のネットワーク間で論理的な分離が実装されますが、ゲートキーパーは関連要件を満たしており、物理的な分離、ネットワーク内の TCP などのプロトコルのブロック、およびデータ交換のためのプライベート プロトコルの使用に使用できます。一般に、企業では使用量が少なくなります。やや背の高いユニットはゲートキーパーを使用します。
07 SSL VPN
定義: SSL プロトコルを使用した VPN 技術であり、IPSEC VPN よりも使いやすく、ブラウザーで使用できます。
機能: モバイル オフィスの急速な発展に伴い、SSL VPN の使用がますます増加しています。モバイル オフィスでの使用に加え、ブラウザから SSL VPN にログインして他のネットワークに接続することも非常に便利です。IPSEC VPN の傾向が高まっています。 SSL VPN はアプリケーションへの公開を優先しますが、ネットワーク アクセスには許可されません。
導入: SSL VPN の導入では、ユーザー ネットワークを変更せずにモバイル オフィスなどの機能を実現するため、バイパス導入方式が一般的に採用されています。
08 WAF(Web Application Firewall) Webアプリケーション保護システム
定義: WAF の保護面は名前から Web アプリケーションであることがわかりますが、端的に言えば、保護の対象となるのは Web サイトや B/S 構造のさまざまなシステムです。
機能: HTTP/HTTPS プロトコルを分析し、SQL インジェクション攻撃、XSS 攻撃 Web 攻撃を保護し、URL ベースのアクセス制御、HTTP プロトコルへの準拠、Web 機密情報の保護、ファイルのアップロードとダウンロードの制御、Web フォームのキーワード フィルタリングを備えています。Web ページのトロイの木馬防御、Web シェル防御、Web アプリケーション配信機能。
デプロイメント: 通常、保護のために Web アプリケーション サーバーの前にデプロイされます。
IPS も一部の Web 攻撃を検出できますが、WAF ほど対象を絞っていないため、保護対象に応じてデバイスを使い分けるのがよいでしょう。
09ネットワーク セキュリティ監査
定義: ネットワーク側面の関連コンテンツの監査
機能: インターネット動作に対する効果的な動作監査、コンテンツ監査、動作アラーム、動作制御、および関連する監査機能を提供します。インターネット行動監査記録とセキュリティ保護対策に対するユーザーの要件を満たし、完全なオンライン記録を提供し、情報追跡、システム セキュリティ管理、リスク防止を容易にします。
導入: バイパス導入モードを採用し、コア スイッチにミラー ポートを設定してミラー データを監査デバイスに送信します。
10 データベースセキュリティ監査
定義: データベース セキュリティ監査システムは、主にデータベース サーバー上のさまざまな操作を監視および記録するために使用されます。
機能: データベース上のあらゆる種類の操作を監査し、各 SQL コマンドを正確に監査し、強力なレポート機能を備えています。
導入: バイパス導入モードを採用し、コア スイッチにミラー ポートを設定してミラー データを監査デバイスに送信します。
11 ログ監査
定義: 情報システムにおけるシステムのセキュリティイベント、ユーザーのアクセス記録、システムの操作ログ、システムの稼働状況などの各種情報を一元的に収集し、標準化、フィルタリング、マージ、アラーム分析等を行った上で、帳票形式で一元的に保管すること。ログを統一フォーマットで管理・管理し、豊富なログ統計機能や相関分析機能と組み合わせて、情報システムのログを包括的に監査します。
機能: ネットワーク デバイス、セキュリティ デバイス、ホスト、およびアプリケーション システム ログの包括的かつ標準化された処理を通じて、さまざまなセキュリティ脅威や異常な動作イベントを適時に検出できるため、管理者にグローバルな視点を提供し、顧客のビジネスの中断のない運用を保証します。 セキュリティの導入:バイパスモード導入。通常、デバイスが監査デバイスにログを送信するか、サーバーにエージェントがインストールされており、エージェントが監査デバイスにログを送信します。
12 運用保守セキュリティ監査(要塞マシン)
定義: 特定のネットワーク環境において、内部の正当なユーザーによるコンプライアンス違反操作によって引き起こされるシステム損傷やデータ漏洩からネットワークとデータを保護するために、さまざまな技術的手段を使用してネットワーク環境内のあらゆるデータを実際に収集および監視します。これは、システム ステータス、セキュリティ イベント、コンポーネントのネットワーク アクティビティを集中的に警報、記録、分析、処理するための技術的手段です。
機能: 主に、運用および保守要員の保守プロセスの包括的な追跡、制御、記録、および再生を目的としており、事前計画と予防、イベント中のリアルタイム監視、違反への対応、イベント後の内部管理作業を支援します。コンプライアンス報告、事故の追跡と再生
導入: バイパス モード導入。ファイアウォールを使用してサーバーへのアクセスを制限し、ネットワーク デバイス/サーバー/データベースなどのシステムを要塞ホスト経由でのみ操作します。
監査製品の最終的な目的は監査であることがわかりますが、監査の内容は異なります。ニーズに応じて異なる監査製品が選択されます。攻撃、不正操作、不正操作、誤操作などが発生すると、メリットが得られます。事後処理証拠用。
13 侵入検知 (IDS)
定義: 侵入攻撃を検出するため
機能: コンピュータ ネットワークまたはコンピュータ システムのいくつかの重要なポイントに関する情報を収集および分析することにより、ネットワークまたはシステムにセキュリティ ポリシー違反や攻撃の兆候があるかどうかがわかります。
導入: バイパス導入モードが採用されており、コア スイッチのミラーリング ポートを設定することにより、ミラーリングされたデータが侵入検知デバイスに送信されます。
侵入検知は侵入や攻撃行為を検知することですが、攻撃や異常なデータを監視しながら監査も行うため、監査にも侵入検知システムが導入されます。侵入検知システムは、セキュリティシステムの第 3 レベルに必須の設備です。
14 インターネット行動管理
定義: 名前が示すように、オンラインでの行動を管理することです
機能: インターネット ユーザーのトラフィックの管理、インターネットの行動ログの監査、アプリケーション ソフトウェアまたはサイトのトラフィックのブロックまたは制限、キーワードのフィルターなど。
導入: ゲートウェイ導入、透過的導入、バイパス導入
ゲートウェイの導入: 中小企業のネットワークは比較的シンプルで、インターネット動作管理をルーターやファイアウォールに代わるゲートウェイとして使用すると同時に、インターネット動作管理機能を持たせることができます。
透過的な展開: ほとんどの場合、企業は透過的な展開モードを選択し、ゲートウェイとコア スイッチの間にデバイスを展開してオンライン データを管理します。
バイパス展開: インターネット動作管理監査機能のみが必要な場合は、バイパス展開モードも選択でき、インターネット動作管理にデータを送信するためにコア スイッチ上にミラー ポートが設定されます。
個人的には、インターネットの動作管理はネットワーク最適化製品に属するべきだと考えています。フロー制御機能が最も重要な機能です。技術の発展に伴い、WeChat 認証やポータブル Wi-Fi などの機能が継続的に改善されており、多くの人々のお気に入りとなっています。ネットワークワーカー。
15 負荷分散
定義: ネットワークまたはアプリケーションの複数のタスクを同時に共有および完了すること。一般に、リンク負荷とアプリケーション負荷 (サーバー負荷) に分けられます。
機能: ユーザーのビジネス アプリケーションを迅速、安全、確実に社内従業員や外部サービス グループに配信できるようにすること、ネットワーク デバイスとサーバーの帯域幅を拡張すること、スループットを向上させること、ネットワーク データ処理能力を強化すること、およびネットワークを改善すること柔軟性と可用性
導入: バイパス モード、ゲートウェイ モード、プロキシ モード
バイパス モード: 通常、ロード バランシングがアプリケーションの負荷に使用される場合、バイパスは関連するアプリケーション サーバー スイッチにデプロイされ、アプリケーションの負荷を実行します。
ゲートウェイ モード: 通常、リンク負荷が使用される場合、展開にはゲートウェイ モードが使用されます。
さまざまなビジネスの増加に伴い、負荷分散の使用も普及していますが、サーバー負荷としては、Web アプリケーションの負荷とデータベースの負荷が比較的一般的です。国内の通信事業者が嫌悪感を抱き、相互接続や相互通信の問題がより深刻であるという事実を考慮して、リンクロードを使用するユーザーがますます増えています。
16 脆弱性スキャン
定義: 脆弱性スキャンとは、脆弱性データベースに基づいてスキャンなどの手段を通じて、指定されたリモートまたはローカル コンピューター システムのセキュリティ脆弱性を検出し、悪用可能な脆弱性を見つけるセキュリティ検出 (侵入攻撃) 動作を指します。
機能: 独自の脆弱性データベースに従ってターゲットの脆弱性検出を実行し、関連レポートを作成し、脆弱性修復などのアドバイスを提供します。一般に、企業は脆弱性スキャンの使用頻度が低くなります。これは主に、大規模なネットワークや同等の保険検査機関がより多く使用するためです。
導入: バイパス導入 通常、バイパスはコア スイッチに導入され、検出ターゲット ネットワークに到達可能であることのみが必要です。
17 異常流洗浄
異常なトラフィックのトラクション、DDoS トラフィックのクリーニング、P2P 帯域幅制御、トラフィックの再注入も、DDOS 攻撃から保護するための主要な装置です。
展開: 展開のバイパス
18 VPN
定義: VPN (Virtual Private Network) 仮想プライベート ネットワーク。単に何らかの特定のニーズがあるため、ネットワーク間、または端末とネットワークの間に仮想プライベート ネットワークを確立し、暗号化されたトンネル (もちろん暗号化されていないトンネルもあります) を通じてデータ送信が行われます。導入の利便性と確実なセキュリティにより、さまざまなネットワーク環境で広く使用されています。
分類:一般的な VPN には、L2TP VPN、PPTP、VPN、IPSEC、VPN、SSL、VPN、および MPLS VPN が含まれます。
導入:主にゲートウェイ モードとバイパス モードの 2 つの導入があります。
専門的な VPN ハードウェア機器を使用して VPN を構築する場合、ほとんどの場合、既存のネットワークを変更する必要のないバイパス展開モードであり、VPN 機器に問題が発生した場合でも、既存のネットワークに影響を与えることはありません。ファイアウォール/ルーターの組み込み VPN 機能を使用して VPN を確立する場合、ハードウェア展開モードとともに展開されます。
実現方法:
1. 専門的な VPN ソフトウェアを使用して VPN を確立する
利点: 投資が少なく、より柔軟な導入が可能
短所: 安定性はサーバーのハードウェアやオペレーティング システムなどの要因に影響されます。
2. Windows サーバーをメインとして、自分で VPN サーバーをセットアップし、サーバーを使用して VPN を確立します。
利点: 投資が少なく、導入がより柔軟で、Windows システムには付属しています。
短所: 安定性はサーバーのハードウェアやオペレーティング システムなどの要因に影響されるため、自分で設定する必要があります。
3. ファイアウォール/ルーター機器の内蔵VPN機能を利用してVPNを確立する
利点: 投資が少なく、安定性が高い
短所: VPN モジュールが組み込まれた既存の機器を使用するため、VPN アクセスの需要が大きい場合は、機器のパフォーマンス不足がファイアウォール/ルーターの使用に影響を与えるのを避けるために、使用することはお勧めできません。既存の機器の内蔵モジュールとしては、ユーザーの特別な要件を満たすことができません。導入方法は比較的固定されている
4. 専門的な VPN ハードウェア機器を使用して VPN を確立する
利点: この製品は成熟しており、強力な機能と安定したパフォーマンスを備え、さまざまな VPN シナリオに適しています。
短所: より高価、ハードウェア機器に費用がかかる、ユーザー認証に費用がかかる、とにかくすべてに費用がかかる
19 MPLS
VPN 事業者による使用が多く、使用シナリオは主に本社と支店間で使用されます。
他の VPN は、導入が便利でコストが低いため、最も広く使用されている VPN となっています。
L2TP VPN および PPTP VPN は、使用されるトンネリング プロトコルがレイヤ 2 プロトコルに属するため、レイヤ 2 VPN とも呼ばれます。IPSEC VPN は IPSec プロトコルを採用しており、レイヤー 3 VPN に属します。
SSL VPN は、HTTPS プロトコルに基づく VPN テクノロジーであり、使用と保守が簡単かつ安全であり、VPN テクノロジーのリーダーとなっています。
仕上げ: Lao Yang丨 10 年以上の上級ネットワーク エンジニア、乾物を改善するためにネットワーク ワーカーを増やす、公式アカウントに注目してください: ネットワーク エンジニア クラブ