返回首页

SZI:firewall IDS IPS DLP SIEM

本文分解关键 SZI:firewall(无状态、有状态、NGFW)、带有分析方法的 IDS/IPS、防止泄漏的 DLP、SIEM 和 sandbox。描述工作原理、部署类型和应用场景,适用于 IB 专家。

Firewall、IDS/IPS、DLP:IB 中的基本 SZI
Advertisement 728x90

核心网络安全工具:防火墙、IDS/IPS、DLP 与 SIEM

防火墙、入侵检测与防御系统、DLP 和 SIEM 构成了企业网络安全的核心防护栈。这些工具负责过滤流量、监控异常并防止数据泄露,覆盖多个协议层。本文将为中高级网络安全从业者剖析其原理、类型及实际应用场景。

防火墙:从无状态到下一代

防火墙部署在路由器后方的网络边界,控制本地网络与互联网间的所有流量。它遵循“默认拒绝,除非明确允许”的策略——无规则即无访问。

无状态防火墙 独立检查每个数据包,依据源 IP、源端口、目标 IP 和目标端口等规则进行过滤。它忽略连接上下文,需要为进出流量设置镜像规则。随着规则数量激增,扩展变得困难。

Google AdInline article slot

有状态防火墙 维护连接状态表,自动允许返回流量。它工作在 L4(传输层),无法检测应用层攻击。

NGFW(下一代防火墙) 深入检查数据包负载:

  • 识别应用而非依赖端口(如 Telegram 通过 443 端口)。
  • 按域名阻断。
  • 集成杀毒、沙箱及 IPS/IDS。

示例:阻断 YouTube 和在线商城,能显著提升性能,减少非工作流量。

Google AdInline article slot

IDS/IPS:检测与阻断入侵

IPS(入侵防御系统)采用串联部署——流量经防火墙后通过它。它实时阻断恶意流量并警报安全团队。

分析方法:

  • 签名式:匹配数据库(字节序列、哈希、SQL 注入)。先重组分片数据包。
  • 异常式:建立正常流量基线(如工作时间内进出流量均衡)。阻断偏差,但易产生误报。
  • 启发式:针对可疑行为制定规则(如暴力登录、DNS 洪泛)。

IDS(入侵检测系统)连接交换机的 SPAN 端口,分析流量副本并生成警报,但不阻断。适合关键区域,避免误报中断业务。

Google AdInline article slot

DLP:阻止数据泄露

DLP(数据防泄漏)扫描网络流量和终端活动,检测敏感数据外泄。它监控邮件、网络上传、即时通讯、U 盘、打印机、剪贴板和截屏。

检测方法:

  • 正则表达式:匹配护照号、税号、信用卡(易被替换数字为字母绕过)。
  • 数字指纹:参考文档的哈希值,抗重命名或轻微修改。
  • 语义分析:关键词如“商业机密”。
  • 标签:如“机密”标记。
  • 行为分析:异常行为(如会计师午夜复制客户数据库)。

DLP 类型

| 类型 | 部署方式 | 优势 | 劣势 |

|-----|------------|------|------|

| 终端型(软件) | 设备代理 | 捕获本地活动(U 盘、打印) | 资源消耗大,每台设备需安装 |

| 网络型 | 网络边缘 | 覆盖所有人(含移动设备),无需代理 | 遗漏纯本地操作 |

SIEM 与沙箱:日志聚合与威胁隔离

SIEM(安全信息与事件管理)收集所有安全工具日志,关联事件发现安全事件,提供集中监控。

沙箱将可疑文件或流量隔离至虚拟环境观察行为(如勒索软件)。常集成于 NGFW。

关键要点

  • 边界防火墙不可或缺;应用层(L7)检查选 NGFW。
  • 激进阻断用串联 IPS,被动监控用 IDS。
  • DLP 结合签名与行为;根据需求选终端或网络型。
  • SIEM 与沙箱完善防护栈,实现全面威胁可见性。

— Editorial Team

Advertisement 728x90

继续阅读