Security ❀ 安全设备学习规范（汇总较多厂商的众多安全设备整理而出的文档）

Posted 2021-10-11 国家级干饭型选手°

文章目录

• 1、网络配置
• • （1）部署方式
  • （2）配置IP与路由
  • （3）冗余机制
  • （4）会话同步
  • （5）账户管理
  • （6）故障诊断
• 2、证书授权
• • （1）序列号
  • （2）Hash值
• 3、设备联动
• • （1）平台对接
  • （2）集群部署
  • （3）API接口
  • （4）北向/南向扩展
• 4、防护对象
• • （1）资产定义
  • （2）地址池/域名集
• 5、安全策略
• • （1）DPI-深度报文检测技术
  • • 特征识别
    • 关联识别
    • 行为识别
  • （2）特征库
  • （3）应用统计
• 6、日志审计
• • （1）安全日志
  • （2）系统日志

安全设备学习规范是鄙人总结的一篇设备学习文档，针对较多厂商部分安全产品的使用教程进行整理并汇总，将其输出便于后人学习与拓展。

1、网络配置

网络配置即是安全设备加入到业务局域网的行为，其内容分别有以下几点；

（1）部署方式

• 串联部署：安全设备串联接入网络环境，对网络拓扑改动相对较大，需要接入上下联接口（此处串联部署可支持接入二层接口或三层接口，根据设备而定，如NIPS-网络入侵检测系统接入为二层虚拟线接口、NF-下一代防火墙接入为三层IP地址接口）
• 网关部署：以出口设备接入网络环境，对网络拓扑改动最大
• 旁路部署：以额外设备接入网络环境，对网络拓扑基本没有改变（物理旁路，支持流量串联，也可设计为接收镜像流量）
  

（2）配置IP与路由

• IP地址、掩码、网关、DNS：安全设备接口分为管理口、业务口、虚拟线、镜像口、子接口、二层口，若有使用则管理口、业务口、子接口需要配置IP地址，不需要解析域名则不配置DNS地址；
• 静态路由：安全防护设备基本IP配置分为业务口与管理口，业务口配置默认路由，管理口配置静态路由，配置内容主要为：目标网段+子网掩码+下一跳地址/出接口+度量值+优先级；
• 动态路由协议：路由协议主要是为了防止静态路由太多或变更频繁而做的设定，主要支持协议为RIP、OSPF、ISIS、BGP；

（3）冗余机制

• VRRP：由于单个设备的不稳定性，需要建立冗余机制来防止设备故障造成的损失，VRRP为网关冗余协议，可以使得两个设备虚拟一个IP地址作为网关，主设备down机之后，备设备接管主设备工作，使得业务平衡切换，不会导致长时间断网；
• HA：高可用技术不仅仅限于网关冗余，其余机制同VRRP协议；
  

（4）会话同步

• 正常情况下，业务流量走A线路进行网络访问，此时由于A线路安全设备故障导致业务流量切换，A线路的TCP会话未在B线路上进行同步，会导致所有会话重新建立连接，此时一旦业务流量中会话数量过多就会导致业务中断，直到新的会话建立完毕；需要避免前述现象就需要在A线路未损坏的情况下同步TCP会话数据到B线路上，防止A线路突然故障导致切换的业务中断；
  

（5）账户管理

• 系统管理员：安全设备默认携带账户，最高管理权限账户，一般为admin/admin；
• 普通管理员：系统管理员创建账户，方便运维人员使用，权限由系统管理员进行管理；
• 日志审计员：主要用于审核系统日志，默认不开启，由系统管理员开启后方可使用；
  

（6）故障诊断

• 网络故障诊断：主要判断网络引起的设备故障，主要为网络不可达、端口不可达、页面报错等现象；
• 设备故障诊断：设备硬件故障，主要为板卡替换和返厂维修，具体预防措施为安全设备巡检；

2、证书授权

证书授权即是安全设备得到其厂商允许开通授权后进行防护策略的使用手段，重要安全防护功能必须通过此授权方可使用，此过程需要经济支持；

（1）序列号

• 硬件设备开通授权为序列号；

（2）Hash值

• 软件设备开通授权为Hash值；

3、设备联动

设备联动即是单个设备加入某个集合或团体而进行的设备功能操作，此操作使得设备方便运维、性能增强；

（1）平台对接

• 单台设备的运维相对简单，十台设备的运维较为繁琐，百台与千台设备的运维就比较麻烦了，为了减少运维人员的工作和方便审计，因此需要某个平台接入安全防护设备，使得平台可以对安全设备下发防护策略、配置防护对象、修改防护内容、审计防护日志信息、建立不同的防护场景与机制；

（2）集群部署

集群部署分为三种情况，分别为：

• 性能提升集群：此类集群主要是为了提升单一设备/服务器性能而构建的集群；
• 负载均衡集群：此类集群主要是为了进行流量负载均衡而构建的集群，负载均衡主要算法有轮询、加权轮询等（负载均衡的相关算法种类很多，不同厂商设备支持的算法不同，轮询与加权轮询是最基础的负载均衡算法，图标中的白色数字为设备的性能倍数）；
• 分布式部署集群：此类集群主要是为了进行不同部署位置而构建的集群，可以理解为上海、深圳、北京的服务器构建一个集群用于业务使用；
  

（3）API接口

• 软件对接接口，具体为研发开发的接口代码，此处不做概述；
  此接口主要用于对接其他设备，由于不同厂商的平台位于不同层面因此需要对接上层/下层平台/设备，因此需要API接口对外提供对接服务来满足此需求；

（4）北向/南向扩展

• 同API接口，此为API接口的目标；

4、防护对象

防护对象即是内网资产梳理过程，使得防护设备有目标可以防护，并且进行策略拦截限制；

（1）资产定义

• 资产为客户内网经过梳理后的服务器或主机信息，将此信息输入进入安全防护设备后，一旦防护策略针对于SIP/DIP产生安全日志信息，会将其汇总并整理并向运维人员展示出来，便于信息梳理，从而进行修复与审核；
  资产主要分为网站资产与主机资产，网站资产为URL信息，主机资产为固定IP地址，其余信息均为备注信息，方便使得运维识别此资产具体是什么设备、运行何种业务；
  

（2）地址池/域名集

• 地址池为一段地址的集合，由于IP地址单个排列的占位过高，因此一连串的地址可以使用地址池进行配置与调用，便于管理；
• 域名集为域名的集合，域名的URI不同代表不同的资源，因此将其前缀相同的域名进行整理并输出为域名集，其作用与效果同地址池一样；
  

5、安全策略

安全策略即是安全设备防护策略的配置，分类多种多样；

• 入侵检测与防护
• Web应用防火墙
• 数据库审计系统
• 抗DoS防护设备
• 下一代防火墙

安全防护设备多种多样，其防护策略大同小异，最主要的使用规则为DPI-深度包检测、DFI-深度流检测，此两种协议均SAC中的一种协议应用；

智能应用控制SAC（Mmart Application Control）是一个智能的应用识别与分类引擎，利用深度报文检测技术，对报文的第4-7层内容和一些动态协议进行检测和识别，识别出应用协议后，可以通过流分类对应用协议进行分类，并指定QoS动作，以实施精细化的QoS服务；

（1）DPI-深度报文检测技术

• 传统流量分类技术只能检测IP报文的4层以下的内容，包括源地址、目的地址、源端口、目的端口以及业务类型等（五元组）；而深度报文检测技术在分析报文头部的基础上，增加了对应用层的分析，是一种基于应用层的流量检测和控制技术；
  典型的深度报文检测技术识别包括：特征识别、关联识别、行为识别等，此三类识别技术分别适用于不同类型的协议，相互之间无法替代，通过综合的运用这三大技术，能够有效的识别网络上的各类应用，从而实现对网络数据流的深度控制；

特征识别

• 特征识别是深度报文检测技术的基础技术，不同的应用通常会采用不同的协议，而不同的协议具有各自的特征， 这些特征可能是特定的端口、特定的字符串或者是特定的比特序列，能标识该协议的特征称之为特征码；
  特征识别技术，即通过匹配数据报文中的特征码来确定其应用，协议的特征不仅仅在单个报文中体现，某些协议报文的特征是分布早多个报文中的，需要对多个报文进行采集和分析才能识别出协议类型；

关联识别

• 对于某些数据流，控制通道和数据通道是分开的（例如FTP的20和21端口），会在网络中建立两个会话连接，这类应用需要先识别出控制流，再根据控制流的信息识别出相应的数据流；
  关联识别可以将同一应用协议的控制流和数据流关联起来，通过对控制流的分析，分析出通讯双方需要在哪个通道上建立何种类型的数据流，并在协议识别时将控制通道流和该控制通道流协商出来的数据通道流关联起来；
  深度报文检测技术在对控制通道流进行深度解析时，提取出其中协商的数据通道流的源三元组和目的三元组信息，并加入关联表，在后续的识别过程中，可以通过关联表项对数据通道流进行快速识别；

行为识别

• 行为模式识别技术必须对终端的各种行为进行研究，并在此基础上建立行为识别模型，基于行为识别模型，行为模式识别技术可以根据客户已经实施的行为，判断用户正在进行的动作或者即将实施的动作，行为模式识别技术通常用于那些无法由协议本身就能判断的业务（如垃圾邮件还是普通邮件，其业务流没有区别，只有进一步的分析，通过邮件的大小、频率、目的邮件和源邮件地址、变化的频率、被拒绝的频率等综合因素进行分析，建立综合识别模型，从而进行判断）；

（2）特征库

• 对于大部分协议来说，应用识别是通过特征码的匹配来实现的，但是应用软件会不断进行升级和更新，其特征码也会发生改变，导致原有特征码无法正确或者精确匹配应用协议，因此特征码需要及时更新，如果在产品软件包中固化特征码，每次更新特征码时就需要更新产品软件版本，用户使用很不方便；将特征码以特征文件库的方式提供给用户，与软件包分离，实现了特征码的动态加载和调用，用户不需要更新产品软件版本，不需要重启设备就可以很方便的更新升级应用识别能力，另外当出现一种新应用时，直接通过特征库的加载就能够满足动态支持；

（3）应用统计

• 在接口使用应用统计功能时，设备会自动识别经过接口的流量并进行分类，对不同应用的流量进行统计，网络管理员可以及时掌握流量特征，从而优化网络部署，合理分配资源；

6、日志审计

日志审计即是安全策略拦截生成的安全日志 + 系统运行日志，此两部分日志共同构成了设备的运行审计功能，方便后续进行操作归责与验证判定；

（1）安全日志

• 安全日志为安全防护策略拦截的结果信息，根据此信息可以进行判断是否为攻击信息，可以确认攻击时间、攻击者IP地址、攻击目标IP地址、攻击方式、攻击数据包/流（部分安全设备可以保存攻击流，取决于其策略是否支持与配置）；
  对于安全日志，大多数都会将多个安全防护设备的安全日志发送至一个平台端，该平台端针对多个防护设备的安全日志进行统计并审核其攻击信息，得到的结果为统计表，此行为可以使得运维人员与安全服务人员便于进行攻击判断与设备巡检；
  

（2）系统日志

• 系统运行日志，包括接口up/down、VRRP切换，设备硬件温度检测信息、设备CPU与内存使用程度信息等多种系统故障检测日志信息；