信息安全-网安产品（WAF、蜜罐、漏洞扫描工具、安全事件系统）

本期看点

前期已发布IT建设之路（专业技术篇）之“企业IT管理”、“IT技术架构”，目前正在发布的章节是“信息安全”，后续还会有“应用架构”、“数据架构”。

       IT建设之路专业技术篇预计更新100期，码字不易，欢迎关注不迷路。

    网络安全产品，是如何进行防御的？本期介绍WEB应用防火墙WAF、蜜罐、漏洞扫描工具、安全事件系统SIEM。

目录

信息安全

1. 信息安全原则策略
   1.1 原则  
   1.2 策略    
   1.3 访问控制
   1.4 区域划分
   1.5 密码分级
   1.6 区域划分
   1.7 变更与控制管理
   1.8 保护机制
   1.9 政策与法规
   1.10 安全角色与职责
2. 网络安全防护
   2.1 经典的网络安全事件
   2.2 构建自己的防御体系  
   2.3 网络安全威胁类型
   2.4 网络安全产品  ←←本文
3. 终端安全
   3.1 终端安全管理
   3.2 操作系统和数据库安全管理
4. 信息安全管理体系

01

WEB应用防火墙WAF

WEB应用防火墙 (WAF) 旨在提供7层应用层级别的防护，主要是对web类型的应用的保护，好比web应用的贴身保镖，waf的安全能力是强大的，可对SQL注入、XSS跨站、CSRF,获取敏感信息、利用开源组件漏洞 ，暴力破解，爬虫，0day，webshell 进行防护。

WAF是一道位于应用层的防线，能够理解和分析HTTP流量，并在数据达到服务器之前预先拦截恶意请求。

01

WAF如何判断恶意流量

WAF通过一系列的策略、规则和过滤机制来区分和阻止恶意流量，同时允许安全流量通过。它能够识别和拦截诸如SQL注入、跨站脚本（XSS）、文件包含、无效的用户输入等安全威胁，以下是WAF如何判断流量性质的几种方法：

1. 签名基础检测：WAF使用签名（已知的攻击模式和恶意负载的特征）来识别已知攻击。这类似于杀毒软件的方式，WAF会将流过的请求与恶意请求的数据库进行比对，一旦发现匹配，该请求就被标识为恶意的并被阻止。

2. 异常检测：通过设置正常Web应用流量的基线（比如正常请求的速率、用户通常的行为等），WAF能够检测到异常行为。这种方法依赖于统计分析，一旦流量行为偏离了既定的正常模式，WAF可能会将其视为潜在的攻击。

3. IP声誉和地理位置过滤：WAF可能会参考IP地址的声誉数据库，拦截来自已知为恶意源或位于特定国家/地区的请求。IP声誉列表经常更新，以确保由于新发现的攻击活动而封禁或解封IP。

4. 行为分析：通过分析用户的行为模式，WAF可以识别出不寻常或潜在恶意的行为。例如，如果一个IP地址在很短的时间内提交了大量的登录请求，WAF可能会识别这一行为是暴力破解攻击的迹象，并对该流量采取行动。

5. HTTP协议验证：WAF会对进入的HTTP请求进行严格的协议检查，确保它们遵守HTTP协议的标准。任何显著违反协议规范的请求都有可能被视为恶意的。

6. 自定义规则和策略：为了迎合特定Web应用的保护需求，WAF允许管理员定义自己的安全规则和策略。这些规则可以基于字符串匹配、正则表达式或特定的请求属性（如头部、URI、参数等）来识别和拦截攻击。

02

WAF工作机制

WAF 通过过滤、监控和拦截恶意 HTTP 或 HTTPS 流量对 Web 应用的访问来保护您的 Web 应用，并能够阻止未经授权的数据离开应用。

WAF 的操作方式与代理服务器类似，虽然同为“中介”，但后者旨在保护客户端身份，前者却被称为反向代理，因为其使命在于保护 Web 应用服务器免受潜在恶意客户端的影响。

WAF 不拘泥于形式，是软件、设备，亦是即服务。策略可定制，以满足对 Web 应用或 Web 应用组合的独特需求。

虽然许多 WAF 要求您定期更新策略以解决新的漏洞，但机器学习的进步使一些 WAF 能够自动更新。随着威胁环境愈发复杂和不确定，这种自动化变得越来越重要。

03

WAF部署方式

1、透明模式，通过将硬件串接在用户网络中，这种模式下无需改变用户的内网环境，实施简单，但是也带来了新的故障点，增加了问题排查复杂度。

2、反向代理模式，反向代理需要将流量统一通过waf来代理出去，但是这样web站点维护清晰，waf的故障并不会引起整个网络的故障。

02

蜜罐

蜜罐是一种通过伪装正常应用来迷惑攻击者的手段，可以是应用服务器，如OA， vcenter,gitlab,vpn等应用。也可以是文件形式，让攻击者获取到以后误以为得到机密文件，而将自己的信息暴露给防守者。

01

蜜罐如何诱惑攻击者并留下攻击者信息的

迷惑攻击者的方法：

1. 设立诱饵: 蜜罐通常被设计成看起来包含有价值信息的系统或网络资源，如数据库服务器、Web服务等，以吸引攻击者的注意力。

2. 伪装技术: 它们采用各种伪装技术让自己看起来与目标网络中的真实系统一样或是略显脆弱，从而更具诱惑力。

3. 模拟真实服务: 通过模拟真实的网络服务和应用程序的响应，蜜罐能够让攻击者相信自己正在与真实的系统互动。

4. 低交互与高交互: 蜜罐既可以是低交互的，提供有限的交互能力；也可以是高交互的，允许攻击者进行更深入的探索，从而记录更详细的活动。

为什么能留下攻击者信息：

1. 日志记录: 蜜罐会详细记录进入系统的所有行为，包括IP地址、所尝试的攻击方法、访问的URL、提交的表单数据、执行的命令等。

2. 行为分析: 记录的数据可以用来分析攻击者的行动模式、所用工具和漏洞利用尝试，这对于了解攻击者的技术水平和意图非常有用。

3. 蜜罐管理工具: 一些蜜罐解决方案提供管理工具，用于汇总和分析从一个或多个蜜罐中收集到的数据，这有助于组织更快地识别和响应攻击。

4. 网络流量分析: 蜜罐旨在分析与之交互的流量，这可以揭示攻击者的来源、使用的恶意软件样本，甚至攻击背后的基础设施。

下图为通过蜜罐获取到的攻击者信息：

02

蜜罐工作机制

蜜罐通过模拟一个或多个看似真实但实际上是受控的系统环境，吸引并交互攻击者，从而实现其目标。这些系统既可以模拟软件、操作系统的脆弱性，也可以模拟网络服务、甚至整个网络环境。

• 服务模拟：蜜罐软件可以模拟各种网络服务（如HTTP、SSH、FTP等），使攻击者认为他们正在与真实服务进行交互。

• 系统模拟：通过模拟操作系统的响应，蜜罐能让攻击者相信他们正在与真正的目标系统互动，从而执行进一步的攻击动作。

03

蜜罐如何部署

蜜罐通常部署在内网的各个区域，正常情况下这些蜜罐是没人会去访问的，只有潜入公司的黑客通过端口扫描等探测手段发现在这些蜜罐，所以蜜罐一旦有告警，就需要特别注意了。

推荐Hfish是一款不错的免费蜜罐。

03

网络漏洞扫描工具

漏洞评估通常分为白盒和黑盒，网络漏扫则属于黑盒的一种，它可以快速发现企业中的IT资产的脆弱性，让相关人员了解漏洞情况并进行整改，提高企业整体的安全能力。

常见的漏扫工具有Nessus，AWVS，Goby。

04

安全事件管理系统（SIEM）

SIEM(security information and event management)安全事件管理是一种解决方案，可帮助组织在有机会破坏业务运营之前识别潜在的安全威胁和漏洞。

它可以发现用户行为异常并使用人工智能来自动化与威胁检测和事件响应相关的许多手动流程，并已成为现代安全运营中心 (SOC) 用于安全和合规管理用例的主要内容。

SIEM包括日志管理，关联事件分析，事件监控和安全警报，合规管理和报告。之前提到的Eastic可以作为SIEM平台。

下期将介绍：信息安全-终端安全，终端安全与网络安全是信息安全的一体两面，即使网络安全做的再好，也会因为终端安全做的不好功亏一篑。

内容还行？点击上面鼓励他们一下吧！

注：部分文字和图片源自互联网，整理并分享文章是为了更好地传递IT知识经验。若侵犯了您的合法权益，请后台留言。如情况属实，我们会第一时间删除并向您致歉。