常见网络安全设备

1、常见网络安全设备精品管理制度、管理方案、合同、协议、一起学习进步Web应用防火墙（WAF ）为什么需要WAF?WAF （web application firewall）的出现是由于传统防火墙无法对应用层的攻击进行 有效抵抗，并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的 Web应用防火墙系统（简称“WAF”）。什么是WAF?WAF是一种基础的安全保护模块，通过特征提取和分块检索技术进行特征匹配，主要针 对HTTP访问的Web程序保护。WAF部署在Web应用程序前面，在用户请求到达Web服务器前对用户请求进行扫描和 过滤，分析并校验每个用户请求的网络包，确保每个用户请

2、求有效且安全，对无效或有攻击 行为的请求进行阻断或隔离。通过检查HTTP流量，可以防止源自Web应用程序的安全漏洞（如SQL注入，跨站脚本 （XSS），文件包含和安全配置错误）的攻击。与传统防火墙的区别WAF区别于常规防火墙，因为WAF能够过滤特定Web应用程序的内容，而常规防火墙则 充当服务器之间的安全门。WAF不是全能的WAF不是一个最终的安全解决方案，而是它们要与其他网络周边安全解决方案（如网络 防火墙和入侵防御系统）一起使用，以提供全面的防御策略。入侵检测系统（IDS ）什么是IDS？IDS是英文Intrusion Detection Systems”的缩写，中文意思是“入侵检测系 统

3、”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现 各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。跟防火墙的比较假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进 入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络 流量流经它便可以工作。部署位置选择因此，对IDS的部署唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路 上。在这里，”所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的

4、 网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝 大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在：尽可能靠近攻击源；这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上防火墙和IDS可以分开操作，IDS是个临控系统，可以自行选择合适的，或是符合需求 的，比如发现规则或监控不完善，可以更改设置及规则，或是重新设置！主要组成部分事件产生器，从计算环境中获得事件，并向系统的其他部分提供此事件；事件分析器，分析数据；响应单元，发出警报或采取主动反应措施；事件数

5、据库，存放各种数据。主要任务主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。工作流程信息收集信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息 一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵 信息4个方面。数据分析数据分析是入侵检测的核心。它首先构建分析器，把收集到的信息经过预处理，建立一 个行为分析引擎或模型，然后向模型中植入时间数据，在知识库中保存植入数据的模型。数 据

6、分析一般通过模式匹配、统计分析和完整性分析3种手段进行。前两种方法用于实时入侵 检测，而完整性分析则用于事后分析。可用5种统计模型进行数据分析：操作模型、方差、 多元模型、马尔柯夫过程模型、时间序列分析。统计分析的最大优点是可以学习用户的使用 习惯。（3）实时记录、报警或有限度反击入侵检测系统在发现入侵后会及时做出响应，包括切断网络连接、记录事件和报警等。响应一般分为主动响应（阻止攻击或影响进而改变攻击的进程）和被动响应（报告和记录所 检测出的问题）两种类型。主动响应由用户驱动或系统本身自动执行，可对入侵者采取行动 （如断开连接）、修正系统环境或收集有用信息；被动响应则包括告警和通知、简单网络

7、管 理协议（SNMP）陷阱和插件等。另外，还可以按策略配置响应，可分别采取立即、紧急、适 时、本地的长期和全局的长期等行动。缺点（1）误报、漏报率高（2）没有主动防御能力（3）不能解析加密数据流入侵预防系统（IPS ）什么是入侵预防系统入侵预防系统（Intrusion Prevention System， IPS），又称为入侵侦测与预防系统（intrusion detection and prevention systems， IDPS），是计算机网络安全设施，是对 防病毒软件（Antivirus Softwares）和防火墙的补充。入侵预防系统是一部能够监视网络 或网络设备的网络数据传输行为

8、的计算机网络安全设备，能够即时的中断、调整或隔离一些 不正常或是具有伤害性的网络数据传输行为。为什么在存在传统防火墙和IDS时，还会出现IPS？虽然防火墙可以根据英特网地址（IP-Addresses）或服务端口（Ports）过滤数据包。 但是，它对于利用合法网址和端口而从事的破坏活动则无能为力。因为，防火墙极少深入数 据包检查内容。在ISO/OSI网络层次模型（见OSI模型）中，防火墙主要在第二到第四层起作用，它的 作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火 墙和除病毒软件二者在第四到第五层之间留下的空档，几年前，工业界已经有入侵检测系统 投入使用。入侵侦

9、查系统在发现异常情况后及时向网络安全管理人员或防火墙系统发出警 报。可惜这时灾害往往已经形成。虽然，亡羊补牢，尤未为晚，但是，防卫机制最好应该是 在危害形成之前先期起作用。随后应运而生的入侵反应系统（IRS: Intrusion Response Systems）作为对入侵侦查系统的补充能够在发现入侵时，迅速做出反应，并自动采取阻止 措施。而入侵预防系统则作为二者的进一步发展，汲取了二者的长处。IPS如何工作入侵预防系统专门深入网络数据内部，查找它所认识的攻击代码特征，过滤有害数据 流，丢弃有害数据包，并进行记载，以便事后分析。除此之外，更重要的是，大多数入侵预 防系统同时结合考虑应用程序或网

10、络传输层的异常情况，来辅助识别入侵和攻击。比如，用 户或用户程序违反安全条例、数据包在不应该出现的时段出现、操作系统或应用程序弱点的 空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于 已知病毒特征。应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防 措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为 防火墙和防病毒软件的补充来投入使用。在必要时，它还可以为追究攻击者的刑事责任而 提供法律上有效的证据（forensic）。入侵预防技术异常侦查。正如入侵侦查系统，入侵预防系统知道正常数据以及数据之间关系的通常的

11、 样子，可以对照识别异常。在遇到动态代码（ActiveX，JavaApplet，各种指令语言script languages等等）时， 先把它们放在沙盘内，观察其行为动向，如果发现有可疑情况，则停止传输，禁止执行。有些入侵预防系统结合协议异常、传输异常和特征侦查，对通过网关或防火墙进入网络 内部的有害代码实行有效阻止。内核基础上的防护机制。用户程序通过系统指令享用资源（如存储区、输入输出设备、 中央处理器等）。入侵预防系统可以截获有害的系统请求。对Library、Registry、重要文件和重要的文件夹进行防守和保护。与IDS相比,IPS的优势同时具备检测和防御功能ips不仅能检测攻击还能阻止

12、攻击，做到检测和防御兼顾， 而且是在入口处就开始检测，而不是等到进入内部网络后再检测，这样，检测效率和内网 的安全性都大大提高。可检测到IDS检测不到的攻击行为IPS是在应用层的内容检测基础上加上主动响应和过 滤功能，弥补了传统的防火墙+IDS方案不能完成更多内容检查的不足，填补了网络安全产 品基于内容的安全检查的空白IPS是一种失效既阻断机制当IPS被攻击失效后，它会阻断网络连接，就像防火墙一 样，使被保护资源与外界隔断。安全运营中心（SOC）什么是安全运营中心？SOC，全称是Security Operations Center，是一个以IT资产为基础，以业务信息系 统为核心，以客户体验为指

13、引，从监控、审计、风险和运维四个维度建立起来的一套可度量 的统一业务支撑平台，使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与 事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态 化，最终实现业务信息系统的持续安全运营。本质上，SOC不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还 有运维（运营），SOC是技术、流程和人的有机结合。SOC产品是SOC系统的技术支撑平台， 这是SOC产品的价值所在。为什么会出现SOC?过去我们都让安全专家来管理各种类型的防火墙、IDS和诸如此类的安全措施，这主要 是因为安全问题一般都发生在网络中非常具体的某

14、个地点。但是，现在的情况已经变化，安 全问题已经不再像当年那么简单。安全是一个动态的过程，因为敌方攻击手段在变，攻击方 法在变，漏洞不断出现；我方业务在变，软件在变，人员在变，妄图通过一个系统、一个方 案解决所有的问题是不现实的，也是不可能的，安全需要不断地运营、持续地优化。安全措 施应当被实施在应用层、网络层和存储层上。它已经成为您的端对端应用服务中的一部分， 与网络性能的地位非常接近。安全管理平台在未来安全建设中的地位尤其重要，它能够站在管理者的角度去俯瞰 整个安全体系建设，对其中每一层产品都可以进行全面、集中、统一的监测、调度和指挥控 制。可以说，未来的态势感知的根基就是安全管理平台。主

15、要功能（以venustech公司的soc产品为例）面向业务的统一安全管理系统内置业务建模工具，用户可以构建业务拓扑，反映业务支撑系统的资产构成，并自 动构建业务健康指标体系，从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度计 算业务的健康度，协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。全面的日志采集可以通过多种方式来收集设备和业务系统的日志，例如Syslog、SNMP Trap、FTP、 OPSEC LEA、NETBIOS、ODBC、WMI、Shell 脚本、Web Service 等等。智能化安全事件关联分析借助先进的智能事件关联分析引擎，系统能够实时不间断地对所有范

16、式化后的日志流进 行安全事件关联分析。系统为安全分析师提供了三种事件关联分析技术，分别是：基于规则 的关联分析、基于情境的关联分析和基于行为的关联分析，并提供了丰富的可视化安全事件 分析视图，充分提升分析效率，结合威胁情报，更好的帮助安全分析师发现安全问题。全面的脆弱性管理系统实现与天镜漏扫、网御漏扫和绿盟漏扫系统的实时高效联动，内置安全配置核查功 能，从技术和管理两个维度进行全面的资产和业务脆弱性管控。主动化的预警管理用户可以通过预警管理功能发布内部及外部的早期预警信息，并与网络中的IP资产进 行关联，分析出可能受影响的资产，提前让用户了解业务系统可能遭受的攻击和潜在的安全 隐患。系统支持内

17、部预警和外部预警；预警类型包括安全通告、攻击预警、漏洞预警和病毒 预警等；预警信息包括预备预警、正式预警和归档预警三个状态。主动化的网络威胁情报利用系统提供主动化的威胁情报采集，通过采集实时威胁情报，结合规则关联和观察列表等 分析方式，使安全管理人员及时发现来自己发现的外部攻击源的威胁。基于风险矩阵的量化安全风险评估系统参照GB/T 20984-2007信息安全风险评估规范、ISO 27005:2008信息安全风险管 理，以及OWASP威胁建模项目中风险计算模型的要求，设计了一套实用化的风险计算模型， 实现了量化的安全风险估算和评估。指标化宏观态势感知针对系统收集到的海量安全事件，系统借助地址

18、熵分析、热点分析、威胁态势分析、 KPI分析等数据挖掘技术，帮助管理员从宏观层面把握整体安全态势，对重大威胁进行识 别、定位、预测和跟踪。多样的安全响应管理系统具备完善的响应管理功能，能够根据用户设定的各种触发条件，通过多种方式（例 如邮件、短信、声音、SNMP Trap、即时消息、工单等）通知用户，并触发响应处理流程， 直至跟踪到问题处理完毕，从而实现安全事件的闭环管理。丰富灵活的报表报告出具报表报告是安全管理平台的重要用途，系统内置了丰富的报表模板，包括统计报 表、明细报表、综合审计报告，审计人员可以根据需要生成不同的报表。系统内置报表生成 调度器，可以定时自动生成日报、周报、月报、季报、

19、年报，并支持以邮件等方式自动投 递，支持以PDF、Excel、Word等格式导出，支持打印。系统还内置一套报表编辑器，用户可以自行设计报表，包括报表的页面版式、统计内 容、显示风格等流安全分析除了采集各类安全事件，系统还能够采集形如NetFlow的流量数据并进行可视化展示。 针对采集来的NetFlow流量数据的分析，系统能够建立网络流量模型，通过泰合特有的基于 流量基线的分析算法，发现网络异常行为。知识管理系统具有国内完善的安全管理知识库系统，内容涵盖安全事件库、安全策略库、安全公 告库、预警信息库、漏洞库、关联规则库、处理预案库、案例库、报表库等，并提供定期或 者不定期的知识库升级服务。用户

20、管理系统采用三权分立的管理体制，默认设置了用户管理员、系统管理员、审计管理员分别 管理。系统用户管理采用基于角色的访问控制策略，即依据对系统中角色行为来限制对资源 的访问。自身系统管理实现了系统自身安全及维护管理。主要包括组织管理、系统数据库及功能组件运行状态 监控、日志维护及其他一些与系统本身相关的运行维护的管理和配置功能。一体化的安全管控界面系统提供了强大的一体化安全管控功能界面，为不同层级的用户提供了多视角、多层次 的管理视图。信息安全和事件管理(SIEM )SIEM，信息安全和事件管理，全称是 security information and event management， 由SE

21、M和SIM两部分构成。什么是SIEM?SIEM软件能给企业安全人员提供其IT环境中所发生活动的洞见和轨迹记录。SIEM技术最早是从日志管理发展起来的。它将安全事件管理(SEM)实时分析日志和 事件数据以提供威胁监视、事件关联和事件响应，与安全信息管理(SIM)收集、分析并 报告日志数据，结合了起来。SIEM的运作机制是什么？SIEM软件收集并聚合公司所有技术基础设施所产生的日志数据，数据来源从主机系统 及应用，到防火墙及杀软过滤器之类网络和安全设备都有。收集到数据后，SIEM软件就开始识别并分类事件，对事件进行分析。该软件的主要目标有两个：产出安全相关事件的报告，比如成功/失败的登录、恶意软件

22、活动和其他可能的恶意活 动。如果分析表明某活动违反了预定义的规则集，有潜在的安全问题，就发出警报。除了传统的日志数据，很多SIEM技术还引入了威胁情报馈送，更有多种SIEM产品具备 安全分析能力，不仅监视网络行为，还监测用户行为，可针对某动作是否恶意活动给出更多 情报。如今，大型企业通常都将SIEM视为支撑安全运营中心(SOC)的基础。如何最大化SIEM的价值？首先，SIEM技术是资源密集型工具，需要经验丰富的人员来实现、维护和调整一一这 种员工不是所有企业都能完全投入的。(团队)想要最大化SIEM软件产出，就需要拥有高品质的数据。数据源越大，该工具产出越 好，越能识别出异常值。(数据)软件的

23、局限在检测可接受活动和合法潜在威胁上，SIEM并非完全准确，正是这种差异，导致了很 多SIEM部署中出现了大量误报。该情况需要企业内有强力监管和有效规程，避免安全团队 被警报过载拖垮。漏洞扫描器(Vulnerability Scanner)漏洞扫描是检查计算机或网络上可能利用的漏洞点，以识别安全漏洞。什么是漏洞扫描器？漏洞扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速的准确的发现 扫描目标存在的漏洞并提供给使用者扫描结果。漏洞扫描器的工作原理工作原理是扫描器向目标计算机发送数据包，然后根据对方反馈的信息来判断对方的操 作系统类型、开发端口、提供的服务等敏感信息。漏洞扫描器的作用通

24、过扫描器，提前探知到系统的漏洞，预先修复。分类端口扫描器(Port scanner)例如Nmap网络漏洞扫描器(Network vulnerability scanner )例如 Nessus, Qualys, SAINT, OpenVAS, INFRA Security Scanner, NexposeWeb 应用安全扫描器(Web application security scanner )例如 Nikto, Qualys, Sucuri, High-Tech Bridge, Burp Suite, OWASP ZAP, w3af。数据库安全扫描器(atabase security sca

25、nner )基于主机的漏洞扫描器(Host based vulnerability scanner )例如LynisERP 安全扫描器(ERP security scanner )单一漏洞测试(Single vulnerability tests )统一威胁管理(UTM )什么是UTM？统一威胁管理(UTM，Unified Threat Management)，顾名思义，就是在单个硬件或软 件上，提供多种安全功能。这跟传统的安全设备不同，传统的安全设备一般只解决一种问 题。包含的功能基础功能：网络防火墙(Network Firewall)入侵检测(Intrusion Detection)入侵预

26、防(Intrusion Prevention)可能会有的功能：防病毒网关(Gateway Anti-Virus)应用层防火墙和控制器(Application Layer Firewall and control)深度包检测(Deep packet inspection)Web 代理和内容过滤(Web Proxy & content filtering)数据丢失预防(DLP)安全信息和事件管理(SIEM)虚拟专用网络(VPN)网络沼泽(Network Tarpit)UTM的优势是什么？UTM通过为管理员提供统一管理的方式，使得安全系统的管理人员可以集中管理他们的 安全防御，而不需要拥有多个单一功

27、能的设备，每个设备都需要人去熟悉、关注和支持；一体化方法简化了安装、配置和维护；与多个安全系统相比，节省了时间、金钱和人员。UTM的缺点是什么？单点故障虽然UTM提供了一个单一设备管理的简便性，但这引入了单点故障，一旦UTM设备出问 题，整个安全防御会失效。内部防御薄弱由于UTM的设计原则违背了深度防御原则，虽然UTM在防御外部威胁非常有效，但面对 内部威胁就无法发挥作用了。抗DDOS产品抗DDOS产品的防御方式拒绝服务攻击的防御方式通常为入侵检测，流量过滤和多重验证，旨在堵塞网络带宽的 流量将被过滤，而正常的流量可正常通过。扩大带宽流量清洗和封ipCDN防火墙(Firewall )什么是防火

28、墙在计算机科学领域中，防火墙(英文：Firewall)是一个架设在互联网与企业内网之间 的信息安全系统，根据企业预定的策略来监控往来的传输。防火墙可能是一台专属的网络设 备或是运行于主机上来检查各个网络接口上的网络传输。它是目前最重要的一种网络防护设 备，从专业角度来说，防火墙是位于两个（或多个）网络间，实行网络间访问或控制的一组组 件集合之硬件或软件。功能防火墙最基本的功能就是隔离网络，通过将网络划分成不同的区域（通常情况下称为ZONE），制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。类型网络层（数据包过滤型）防火墙运作于TCP/IP协议堆栈上。管理者会先根据企业/组

29、织的策略预先设置好数据包通过的 规则或采用内置规则，只允许匹配规则的数据包通过。应用层防火墙应用层防火墙是在TCP/IP堆栈的“应用层”上运作，使用浏览器时所产生的数据流或 是使用FTP时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有数 据包，并且封锁其他的数据包（通常是直接将数据包丢弃）。理论上，这一类的防火墙可以完 全阻绝外部的数据流进受保护的机器里。代理服务代理（Proxy）服务器（可以是一台专属的网络设备，或是在一般电脑上的一套软件） 采用应用程序的运作方式，回应其所收到的数据包（例：连接要求）来实现防火墙的功能， 而封锁/抛弃其他数据包。缺点正常状况下，所有互联网的

30、数据包软件都应经过防火墙的过滤，这将造成网络交通的瓶 颈。例如在攻击性数据包出现时，攻击者会不时寄出数据包，让防火墙疲于过滤数据包，而 使一些合法数据包软件亦无法正常进出防火墙。虚拟专用网（VPN ）什么是VPN？虚拟私人网络（英语：Virtual Private Network，缩写为VPN）是一种常用于连接 中、大型企业或团体与团体间的私人网络的通讯方法。虚拟私人网络的讯息透过公用的网络 架构（例如：互联网）来传送内部网的网络讯息。它利用已加密的通道协议（Tunneling Protocol）来达到保密、发送端认证、消息准确性等私人消息安全效果。这种技术可以用不 安全的网络（例如：互联网）

31、来发送可靠、安全的消息。需要注意的是，加密消息与否是可 以控制的。没有加密的虚拟专用网消息依然有被窃取的危险。上网行为管理什么是上网行为管理？上网行为管理，就是通过软件或硬件，控制用户访问网络的权限。功能包括行为管理、 应用控制、流量管控、信息管控、非法热点管控、行为分析、无线网络管理等。云主机安全云服务商在云主机中部署自己的agent程序，做监控、管理和安全监测。功能木马查杀对各类恶意文件进行检测，包括各类WebShell后门和二进制木马，对检测出来的恶意 文件进行访问控制和隔离操作，防止恶意文件的再次利用。密码破解拦截对密码恶意破解类行为进行检测和拦截，共享全网恶意IP库，自动化实施拦截策

32、 略。登录行为审计根据登录流水数据，识别常用的登录区域，对可疑的登录行为提供实时告警通知。漏洞管理对主机上存在的高危漏洞风险进行实时预警和提供修复方案，包括系统漏洞、web类漏 洞，帮助企业快速应对漏洞风险。资产管理支持对机器进行分组标签管理，基于组件识别技术，快速掌握服务器中软件、进程、端 口的分布情况。数据库审计（DBAudit）数据库审计服务，是为了保证单位或者个人核心数据的安全，可针对数据库SQL注入、 风险操作等数据库风险操作行为进行记录与告警。功能用户行为发现审计关联应用层和数据库层的访问操作可溯源到应用者的身份和行为多维度线索分析风险和危害线索：高中低的风险等级、SQL注入、黑名

33、单语句、违反授权策略的SQL行 为会话线索：根据时间、用户、IP、应用程序、和客户端多角度分析详细语句线索：提供用户、IP、客户端工具、访问时间、操作对象、SQL操作类型、成 功与否、访问时长、影响行数等多种检索条件异常操作、SQL注入、黑白名单实时告警异常操作风险：通过IP、用户、数据库客户端工具、时间、敏感对象、返回行数、系 统对象、高危操作等多种元素细粒度定义要求监控的风险访问行为SQL注入：系统提供了系统性的SQL注入库，以及基于正则表达式或语法抽象的SQL注 入描述，发现异常立即告警黑白名单：提供准确而抽象的方式，对系统中的特定访问SQL语句进行描述，使这些 SQL语句出现时能够迅速

34、报警针对各种异常行为的精细化报表会话行为：登录失败报表、会话分析报表SQL行为：新型SQL报表、SQL语句执行历史报表、失败SQL报表风险行为：告警报表、通知报表、SQL注入报表、批量数据访问行为报表政策性报表：塞班斯报表堡垒机（运维审计与管控系统）为什么需要堡垒机当今的时代是一个信息化社会，信息系统已成为各企事业单位业务运营的基础，由于信 息系统运维人员掌握着信息系统的最高权限，一旦运维操作出现安全问题将会给企业或单位 带来巨大的损失。因此，加强对运维人员操作行为的监管与审计是信息安全发展的必然趋 势。在此背景之下，针对运维操作管理与审计的堡垒机应运而生。堡垒机提供了一套多维度 的运维操作控

35、管控与审计解决方案，使得管理人员可以全面对各种资源（如网络设备、服务 器、安全设备和数据库等）进行集中账号管理、细粒度的权限管理和访问审计，帮助企业提 升内部风险控制水平。分类网关型堡垒机网关型的堡垒机被部署在外部网络和内部网络之间，其本身不直接向外部提供服务而是 作为进入内部网络的一个检查点，用于提供对内部网络特定资源的安全访问控制。这类堡垒 机不提供路由功能，将内外网从网络层隔离开来，因此除非授权访问外还可以过滤掉一些针 对内网的来自应用层以下的攻击，为内部网络资源提供了一道安全屏障。但由于此类堡垒机 需要处理应用层的数据内容，性能消耗很大，所以随着网络进出口处流量越来越大，部署在 网关位

36、置的堡垒机逐渐成为了性能瓶颈，因此网关型的堡垒机逐渐被日趋成熟的防火墙、 UTM、IPS、网闸等安全产品所取代。运维审计型堡垒机第二种类型的堡垒机是审计型堡垒机，有时也被称作“内控堡垒机”，这种类型的堡垒 机也是当前应用最为普遍的一种。运维审计型堡垒机的原理与网关型堡垒机类似，但其部署位置与应用场景不同且更为复 杂。运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前面，对运维人员 的操作权限进行控制和操作行为审计;运维审计型堡垒机即解决了运维人员权限难以控制混 乱局面，又可对违规操作行为进行控制和审计，而且由于运维操作本身不会产生大规模的流 量，堡垒机不会成为性能的瓶颈，所以堡垒机

37、作为运维操作审计的手段得到了快速发展。最早将堡垒机用于运维操作审计的是金融、运营商等高端行业的用户，由于这些用户的 信息化水平相对较高发展也比较快，随着信息系统安全建设发展其对运维操作审计的需求表 现也更为突出，而且这些用户更容易受到“信息系统等级保护”、“萨班斯法案”等法规 政策的约束，因此基于堡垒机作为运维操作审计手段的上述特点，这些高端行业用户率先将 堡垒机应用于运维操作审计。堡垒机运维操作审计的工作原理作为运维操作审计手段的堡垒机的核心功能是用于实现对运维操作人员的权限控制与操 作行为审计。主要技术思路如何实现对运维人员的权限控制与审计呢？堡垒机必须能够截获运维人员的操作，并能 够分析出其操作的内容。堡垒机的部署方式，确保它能够截获运维人员的所有操作行为，分 析出其中的操作内容以实现权限控制和行为审计的目的，同时堡垒机还采用了应用代理的技 术。运维审计型堡垒机对于运维操作人员相当于一台代理服务器(Proxy Server)运维人员在操作过程中首先连接到堡垒机，然后向堡垒机提交操作请求；该请求通过堡垒机的权限检查后，堡垒机的应用代理模块将代替用户连接到目标设 备完