常见安全产品整理(防火墙,WAF,EDR)
参考文档:
防火墙
什么是防火墙
防火墙是一种位于内部网络与外部网络之间的网络安全系统,根据预定的安全策略监视、过滤和控制传入和传出网络的流量,保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。
防火墙作为网络部署中安全防护的第一道防线,可灵活应用于网络边界、子网隔离等位置,具体如企业网络入口、大型网络内部子网隔离、数据中心边界等。
有哪些类型的防火墙
常见的有
包过滤防火墙:基于网络层和传输层,通过分析经过防火墙的每个IP数据包的源地址、目标地址、协议类型以及端口号等信息,与事先设定好的安全策略进行匹配,决定这些数据包是否被允许通过。
应用代理防火墙:基于应用层的防火墙技术,它通过代理服务器来处理进出网络的数据包。应用代理防火墙可以对数据包的内容进行过滤和检查,可以识别应用层协议(如HTTP、FTP),并可以对数据包进行加密和解密。
状态检测防火墙:在包过滤防火墙基础上发展而来,除了具有包过滤防火墙的基础功能外,它还能够跟踪和分析数据流的状态信息,如会话过程中的数据包顺序、连接状态等。
它们通过不同的技术手段实现对网络流量的监控和过滤。
防火墙是如何工作的
防火墙已经发展了几十年,功能非常多,如安全策略、网络攻击防范、用于安全接入的IPsec VPN和SSL VPN、NAT地址转换、入侵防御、反病毒等。但是,防火墙之所以被称为防火墙,最基本最核心的功能是安全策略。
安全策略其实就是网络的门禁系统
首先,基本的防暴能力,能够抵御一些最基本的网络攻击和DDoS泛洪流量的攻击。
然后,就是门禁系统的核心——预设的安全策略。根据预先设定好的规则(如IP地址和端口,也包括流量所属的应用程序、流量发起的用户、地理位置及时间等),控制流量出入
如果门禁系统允许流量通过,防火墙的功能并没有完结,还可以进一步对流量做进一步的“搜身检查”,比如入侵检测、反病毒、网页过滤、数据防泄漏等等,这些都是进一步的内容安全检查。如果发现了风险,防火墙可以按照既定设置拦截流量,或者发出告警事件。
防火墙的基本性能指标是什么
防火墙在网络安全中扮演着至关重要的角色,防火墙的性能直接关系到整个网络的安全性和稳定性。评估防火墙的性能是否满足网络需求的三个最基本的性能指标是:
最大并发连接数:表示同一时刻能够最大能够维持的流的数量
最大新建连接速率:表示每秒防火墙可以建立的新连接的数量
最大吞吐量:表示每秒最大可以通过防火墙的数据量,一般用每秒通过的比特数或每秒通过的报文数来衡量
防火墙与路由器和交换机有什么区别
防火墙、路由器和交换机都是网络设备,但它们的功能和作用有所不同。
路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;
交换机则通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;
防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。
路由器与交换机的本质是转发,防火墙的本质是控制。
WAF(Web应用防火墙)
基础概念:WAF专注于保护Web应用程序,通过对HTTP/HTTPS流量进行监控、过滤和分析,防止诸如SQL注入、跨站脚本攻击(XSS)等恶意攻击。它通常部署在网络应用服务器的前端,能够实时监测和拦截对Web应用的攻击请求。
EDR(终端检测和响应)
技术原理:EDR的核心是数据采集、行为监控与分析、威胁检测和响应机制。它通过在终端设备上安装轻量级代理,实时收集系统日志、网络流量、进程活动等数据,利用大数据分析、机器学习等技术进行行为分析,建立正常行为的基线,并与实际行为进行比较,以识别异常或可疑行为