网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

下图是一个典型的企业业务网络架构包含常见的安全设备。

基础安全设备包含构造业务安全防御系统的常用安全设备，能够搭建深度防御体系的各种安全设备、安全软件。大型的互联网结构不太一样，主要为数据流量很大，传统安全厂家的设备很难满足需求，攻击检测和防护会自己开发，本文还是以传统业务网络为主。传统业务网络包含的安全设备一般有以下几种：

网络入侵检测

用于检测网络入侵事件，常见部署在核心交换上，用于收集核心交换机的镜像流量，通过检测攻击特征形成告警事件。

网络流量分析

镜像流量分析，通常也是连接到核心交换，可以分析流量，可以回溯流量，遇到分析安全事件的时候可以通过回溯流量分析攻击过程。

安全防护类产品同样有检测攻击的能力，检测出攻击才能进行防护，也常见防护类的产品只做检测用。

抗拒绝服务产品

部署在主链路上，内部网络的抗D设备可以处理低于出口带宽的 DDoS 流量，超过的一般用云抗D服务。

防火墙

用于做网络边界区分，虽然下一代防火墙有很多花哨的功能，但是在实际应用中最有用的还是网络访问控制。常见部署在核心路由和核心交换机之间，或者在应用服务器和数据库服务器之间，或者不同的业务之间，有边界隔离需求的都可以部署。

WAF（Web应用防火墙）

现在几乎所有的应用都使用Web的方式提供，相比较传统防火墙设备，Web应用防火墙提供了应用层的防护能力，更专业一些。常见部署在应用服务器与核心交换之间，或者核心交换与核心防火墙之间。

也有的业务系统比较复杂，WAF已旁路镜像流量的方式作为Web的入侵检测设备存在，只检测Web攻击事件。

网络入侵防御

逻辑是串在主链路上，真用作防御功能的情况还是比较少，需要业务简单，交互情况少的情况下。误报和漏报需要平衡好。

企业杀毒软件

目前普遍部署在企业网络的杀毒软件都是基于 Windows 版的，使用统一管理，可以从整体查看病毒在组织网络中的感染情况。企业网策略比较保守，发现病毒只是告警，不直接删除或清除，有可能导致系统文件出错。越来越多的组织使用 Linux 作为主要操作系统，很少有合适的杀毒软件部署。还有种 APT 的产品，杀毒是其中的一个组件或模块。

漏洞扫描工具

国内最常见的绿盟的扫描器了，扫描漏洞了，当然会出现漏报和误报，也需要安全运维人员有能力验证发现的漏洞。

配置核查工具

实现统一的安全配置标准以便规范日常的安全配置操作，快速有效地对网络中种类、数量繁多的设备和软件进行安全配置检测，集中收集核查结果，快速出报告。

网站安全监控

可以对网站漏洞、网站内容、网站可用性监控的设备，属于主动扫描类的工具。

漏扫、配置检查、网站监控都是属于主动扫描的设备。

堡垒机

有时候也叫运维审计系统，可以配合 Windows 域或其他认证系统，对运维人员的操作进行审计。网络的访问控制做的好的话，个人认为堡垒机是安全运维里面最有用的设备之一。

日志审计

传统日志审计，后台使用关系型数据库的，局限性很大，相当于各种日志数据处理后放到一个数据库中，安全事件发生后可以用作做事件回溯查询。数据量大了后表现就是查询速度很慢。另外一般设备是一个盒子，保存的数据量也有限。

数据库审计

镜像应用到数据库的流量，可以获得所有的数据库操作请求，通过设定一定的规则也能检测针对数据库的攻击。

有些适合企业办公网使用的安全设备，如上网行为管理、网络准入系统等不在这里介绍了。

主要有3块工作需比较多的工作量，一个是安全设备日志审计，一个是设备配置，最后一个是配合其他部门做漏洞扫描、通告和修复。

2.1.1 安全设备日志审计

组织购买了安全产品，也在供应商的支持下部署了安全产品，之后就需要人员来查看相关日志，一个入侵检测设备的告警事件每天可能从几千到几万条，就算粗略的过一遍也不差不多需要一个小时，然后看WAF日志、杀毒软件日志等等。网络环境复杂、规模较大，安全设备多，人工看日志都看不完。也可以依赖供应商的巡检，周期比较长，不同供应商只做自己产品的巡检，做出的报告可能作用不大（比没有要好）。

2.1.2 设备配置工作