快速了解常见安全设备1-入侵检测和防火墙

最近有点偷懒，写的不多，不过接下来，计划每两天不少于一篇，直到这个春节假期结束吧。

我也不谙此道，所以，只能从我了解的地方解答，我想技术交流，首先要懂技术，但是技术太宽泛了，作为安全人士，那么就了解一下作为企业园区常见的那些安全设备有哪些，都是干什么的吧。那么我们就按照等保合规要求去说说常见的安全设备吧，OK，lets go！

1、入侵检测

刚写下这几个字，我就有点想百度了，我不知道自己口语话的表达方式会否影响专业性。还是自己讲吧，一般来说呢，入侵检测，就是IDS，采用旁路的方式，旁路一般指的就是采用镜像检测的方式，不改变网络结构，相对应的还有就是串接，可以粗暴的理解为把一根网线剪短了，然后中间加一个设备进行过滤。有些人打比方说或安全设备多，就像糖葫芦一样，就是如此，那根钎子可以理解为光纤或者网线，然后那些山楂可以是负载均衡，防火墙，IDS，WAF等等。呀，扯远了。入侵检测设备可以有多个口，接入多个镜像流量。当然还要有个管理口（几乎所有的安全设备都需要一个管理口，就是给管理员WEB方式登录使用的），这个管理口，不是说一定要公网IP地址，公网地址一般都要花钱的，所以内网地址就可以了，只要网络可达。

个人觉得，态势感知等设备，其实都是从入侵检测逐步演进过来的，只不过功能更加全面，其基本原理都是对流量进行分析，查找其中的攻击事件，攻击行为，就是对入侵的迹象进行查找，并给出相应的提示和警告。所有的行为都是通过网络进行的，也就是只要你做了，理论上，在流量里都会留下痕迹的，就看有没有水平去在流量把这些攻击行为识别出来。我们说IDS有两个重要指标，误报率和漏报率。误报率：报了100个攻击事件，结果95个都是假的。漏报率：有3个真正的入侵行为事件没有识别出来。

说到IDS，还有对应的IPS，IDS是入侵检测，IPS是入侵防御。要防御，就是要有动作，有响应。那么怎么才能响应呢，摄像头只能检测发现问题，要有动作的话，必须有一定的权限，比如门卫，它可以不让你进入小区，但是摄像头是做不到的。IPS一般是串接在网络中，所以它可以做到。因为所有数据都要经过它，它牛B，它就可以阻断你继续前进的步伐。IDS只能看着。

每个安全厂商都有一个标志性的产品，如果没记错，启明就是做IDS出身的。现在大部分安全厂商都能做这个，开源界里有个很著名的Snort,也是轻量级的IDS的代表。

2、防火墙

竟然把防火墙放在了第二个，可能是心里默认各个企业都有了这个产品了。Firewall。FW。防火墙，毫无疑问，必须串接在网络中，不然没有意义了，就是糖葫芦里的第一个山楂，或者就理解为小区里把门的吧，一般呢，防火墙这个门卫，会有双向检测，就是外面来的人进入小区，要检查，正常的放行，但是有些一下子短时间来了很多，明显是搞事情的，就拒绝进入（还记得在那个图书馆里和你提过的DDOS吗）。还有一种就是外出的，比如小区的人要出去，有时也会要检测，如果你是要出去干坏事，那么sorry，不可以出去。一般情况，防火墙主要检查外来的，对内部出去的，不太做过多检测，这个也取决于防火墙的性能哈。也就是一个重要指标，并发量。就是外面同时来了10个人要进的小区，门卫是否有能力即刻处理好，而不用过多排队等待。多说一下，木马，你肯定知道，一般都是黑客在外面发号施令，控制小区内的人做事情，但是防火墙可能会干掉黑客发过来的信号，但是早就有了反弹木马，就是小区里的人主动去联系黑客，要求被安排。。。那么门卫可能默认小区里的都是正常的，于是一些安全问题就会发生。

网上找了一个图，如下它的位置有些不同，最顶端放了一个抗DDOS系统，这个也可以理解成一个专业的防火墙，这种设备做的事情单一，但是对性能要求很高。一些黑客要搞定你内网网络，就是向你网络发送大流量，几个G的流量，普通设备一下就挂了，然后服务就中断了。

防火墙是必备的，因为它是串接在网络中，如果单台设备，就可能会产生所谓的单点故障，就是一个坏了，影响下方串接的所有业务，所以这种核心的设备，建议都采用HA，就是高可用的方式，貌似我和你说过的，还提过心跳检测，记得否。防火墙会和很多安全设备进行联动，比如入侵检测设备，WAF设备等，那些设备如果不是串接在网络中，就很难实时准确高效的进行攻击阻断，他们可以把发现的问题IP，反馈给翻过墙，防火墙可以搞定。联动就类似，居委会大妈发现了可以人员，然后告诉们门卫，门卫是退役军人转业，干起来更专业。那么防火墙是怎么阻断的呢，简单说一下吧。还记得提过网络流量里都是一些数据包，数据包有源IP，源MAC，目的IP，目的MAC，还有载荷就是传输的数据。防火墙呢，有很多策略，比如黑白名单，黑名单上记录的就是一些恶意IP等，流量来了，它一看，LL，在黑名单上，就不让LL进小区。然后呢如果是白名单，比如LJ，然后啥也不查了，直接放进小区。如果都不在黑白名单，就看行为，行为呢就是短时间内表现出来的迹象，和正常人不一样。还有些呢，看数据，就是检查进小区的人携带的包裹，里面是否有管制类的东西，比如一些具有攻击性的武器。哎呀，忽然觉得，我这个举的例子真棒。前面提到的联动，可以简单理解为那些其他的设备（比如小区里巡逻的大妈），反馈给门卫的黑名单。防火墙的大厂家很多了，山石，天融信，checkpoint，这个都是硬件。

3、上网行为管理。

本没有想到这个，但是图里有，顺带一提吧。这个设备应该也是必要的，因为上级有各种要求，比如关于日志留档备查。还有就是各种日常管理统计。简答提几点吧。比如网络中到底是哪些业务占用了有限的带宽，影响正常工作。可以通过行为管理发现，然后做一些流量控制的设置，比如给网页访问留多少带宽，下载带宽最高是多少等。既然是上网行为管理，所以对园区里的用户什么时间，什么身份，访问了哪些页面等都会有记录。这个也是要求，一旦问题，精确定位查找。大概就这样吧。

文章太长了，会看的累，那就分节吧。第一节就这样啦。