「网络安全」安全设备篇（漏洞扫描器-流量监控-安全审计产品）

什么是漏洞扫描器

漏洞扫描器就是扫描漏洞的工具，它能够及早暴露网络上潜在的威胁，有助于加强系统的安全性。漏洞扫描除了能扫描端口，还能够发现系统存活情况，以及哪些服务在运行。

漏洞扫描器本质上是一类自动检测本地或远程主机安全弱点的程序，能够快速的准确的发现扫描目标存在的漏洞，例如，SQL注入，XSS攻击，CSRF攻击等，并提供给使用者扫描结果，提前探知到漏洞网站安全扫描器，预先修复。

在渗透过程中，一个好的漏洞扫描器在渗透测试中是至关重要的，可以说是渗透成功或者失败的关键点。一款优秀的扫描器会使渗透更加轻松，但有些漏洞，"神器"也是扫不出来的，比如：逻辑漏洞、一些较隐蔽的XSS和SQL注入。所以，渗透的时候，神器一般都是需要人员来配合使用的。

工作原理

漏洞扫描器向目标计算机发送数据包，然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。

分类

端口扫描器（Port scanner ）例如：Nmap

网络漏洞扫描器(Network vulnerability scanner )例如：Nessus, Qualys, SAINT, OpenVAS, INFRA Security Scanner, Nexpose

Web应用安全扫描器（Web application security scanner）例如：Nikto, Qualys, Sucuri, High-Tech Bridge, Burp Suite, OWASP ZAP, w3af。

数据库安全扫描器（atabase security scanner）基于主机的漏洞扫描器（Host based vulnerability scanner ）例如：Lynis

ERP安全扫描器（ERP security scanner）单一漏洞测试（Single vulnerability tests）常见扫描器介绍

NmapNmap被称为扫描器之王，可以进行端口扫描、操作系统的服务判定、操作系统指纹的判定、防火墙及IDS的规避技术。大多数情况，Nmap被用作端口扫描。

NessusNessus是免费的漏洞扫工具，它的安装应用程序、脚本语言都是公开的，但从版本3开始，它转向一个私有的授权协议，其扫描引擎免费，但对其支持和最新的漏洞定义要收费，不过收费是有时间限制的，如果不想付钱的话，可以等待15天，15天之后，其大部分插件都将是免费插件。该扫描器不仅可以检查系统漏洞，还可以检查一部分的配置错误。

LANguardLANguard是网络扫描器，允许使用者扫描局域网内部的电脑，搜集它们的NetBIOS信息、打开端口、共享情况和其他相关资料，这些资料可以被管理员利用来进行安全维护，通过它可以强行关闭指定端口和共享目录。

X-scanX-scan是由国内安全组织Xfocus开发的免费的漏洞扫描工具，运行在Windows环境中。 采用多线程方式对指定IP地址段（或单机）进行安全漏洞检测，具有插件功能，提供了图形界面和命令行两种操作方式。

AppScanIBM AppScan是一款非常好用且功能强大的Web 应用安全测试工具，曾以 Watchfire AppScan 的名称享誉业界，Rational AppScan 可自动化 Web 应用的安全漏洞评估工作，能扫描和检测所有常见的 Web 应用安全漏洞，例如 SQL 注入（SQL-injection）、跨站点脚本攻击（cross-site scripting）、缓冲区溢出（buffer overflow）及最新的 Flash/Flex 应用及 Web 2.0 应用曝露等方面安全漏洞的扫描。

WVSWVS是一款windows平台上的漏洞扫描器，利用该工具可以对网站中可能存在的SQL注入、XSS跨站、文件上传、命令执行等漏洞进行综合扫描。

OWASP Zed（ZAP）来自OWASP项目安排的开源免费东西，提供缝隙扫描、爬虫、Fuzz功用，该东西已集成于Kali Linux体系。

Nikto一款开源软件，不仅可用于扫描发现网页文件缝隙，还支持检查网页服务器和CGI的安全问题。它支持指定特定类型缝隙的扫描、绕过IDC检测等配置。该东西已集成于Kali Linux体系。

AWVSAWVS是一个自动化的Web安全测试工具，它可以扫描Web站点和Web应用。可以快速扫描SQL注入，XSS攻击，目录遍历，文件入侵，PHP代码注入、代码执行等等。可以整体缝隙扫描概略，也可导出陈述，陈述提供缝隙明细阐明、缝隙利用方式、修正建议。缺陷是限制了并行扫描的网站数。

BurpSuite用于缝隙扫描，可设置扫描特定页面，自动扫描完毕，可检查当前页面的缝隙总数和缝隙明细。虽说也有漏扫功用，但其核心功用不在于此，因此漏扫功用还是不如其他专业缝隙扫描东西。

「网络安全」安全设备篇（12）——流量监控

网络流量监控在网络管理、入侵监测、协议分析、流量工程等领域有着广泛应用，网络流量监控是网络流量特征归纳、网络行为分析的重要基础，是网络安全最重要的组成部分。

流量监控重要性

内网各个主机之间的通讯，都是通过数据包来完成的，在数据包中标识了通讯内容、通讯协议、发送源地址以及发送目的地址信息，可以通过分析这些数据，了解当前网络的运行情况，在第一时间排查故障。一些常见的病毒入侵、网络性能问题、网络异常行为都可以通过分析数据包来发现故障源头。

流量监控常用技术

基于主机内嵌软件监测基于主机内嵌软件的流量监测，在主机内安装流量监测软件以完成流量监测任务。通过软件套接字嵌入软件截获往返通信内容。该方式能够截获全部通信报文，可以进行各种协议层的分析，但不能看到全网范围的流量情况。

基于流量镜像协议分析流量镜像（在线TAP）协议把网络设备的某个端口（链路）流量镜像给协议分析仪，通过7层协议解码对网络流量进行检测。协议分析是网络监测最基本的手段，特别适合网络故障分析，但是只针对单条链路，不适合全网监测。

基于硬件探针监测硬件探针是一种用来获取网络流量的硬件设备，使用时将它串接在需要捕获流量的链路中，通过分流链路上的数字信号获取流量信息。一个硬件探针监测一个子网的流量信息（通常是一条链路）。对于全网的监测需要采用分布式方案，在每条链路部署一个探针，再通过后台服务器和数据库，收集所有探针的数据，做全网的流量分析和长期报告。该方式，能够提供丰富的从物理层到应用层的详细信息。但受限于探针的接口速率，一般只针对1000M以下的速率，着重单条链路的流量分析。

基于SNMP协议的流量监测基于SNMP协议的流量监测，通过网络设备MIB收集一些具体设备及流量信息有关的变量。包括：输入字节数、输入非广播包数、输入广播包数、输入包丢弃数、输入包错误数、输入未知协议包数、输出包数、输出非广播包数、输出广播包数、输出包丢弃数、输出包错误数、输出队长等，类似方式还包括RMON。该方式，使用软件方法实现，不需要对网络进行改造或增加部件、配置简单、费用低。但是只包括字节数、报文数等最基本的内容，不适用于复杂的流量监测。

基于Netflow的流量监测基于Netflow的流量监测，提供的流量信息扩大到了基于五元组（源IP地址、目的IP地址、源端口、目的端口、协议号）的字节数和报文数统计，可以区分各个逻辑通道上的流。该监测方法，通常需要在网络设备上附加单独的功能模块实现。

基于镜像端口的流量监测端口镜像（Port Mirroring）能够把交换机一个或多个端口（VLAN）的数据镜像到一个或多个端口。当没有设置镜像端口针对本地网卡进行监控时，所能捕获的仅仅是本机流量以及网络中的广播数据包、组播数据包，而其他主机的通讯数据包是无法获取的。对于交互式网络来说，可以在交换机或路由器上设置镜像端口，指定交换机多个或所有端口镜像到一个端口，这样通过连接该端口并监控，就可以捕获多个端口的总流量数据。该方式能够很容易获取全网的流量数据，但对于分析系统的接收性能以及网络带宽要求较高。

流量监控的意义

流量监控有利于及时了解整个网络的运行态势、网络负载情况、网络安全状况、流量发展趋势、用户行为模式、业务与站点的接受程度，为网络的运行和维护提供重要依据，有利于管理人员进行网络性能分析、异常检测、链路状态监测、容量规划等工作。

流量监控为流量分析提供了基础数据（流量分析主要从带宽、网络协议、基于网段的业务、网络异常流量、应用服务异常等五个方面进行流量分析）。在一个复杂的网络环境中，必须保证重要应用的带宽需求，通过基于带宽的网络流量分析，能够及时明确带宽使用情况，带宽不足时，可以尽快解决。针对不同网络协议进行流量监控和分析，如果某一协议在一个时间段内出现超常暴涨，就有可能是攻击流量或蠕虫病毒出现。大多数组织，将不同业务系统通过VLAN进行逻辑隔离，流量系统可以针对不同的VLAN进行网络流量监控，以监控业务系统是否异常。

「网络安全」安全设备篇（13）——安全审计产品

什么叫安全审计？

网络安全审计（Audit）是指按照一定的安全策略，利用记录、系统活动和用户活动等信息，检查、审查和检验操作事件的环境及活动，从而发现系统漏洞、入侵行为或改善系统性能的过程，它是提高系统安全性的重要手段。

系统活动：包括操作系统活动和应用程序进程的活动。用户活动：包括用户在操作系统和应用程序中的活动，如用户所使用的资源、使用时间、执行的操作等。

安全审计分类

网络安全审计从审计级别上可分为3种类型：系统级审计、应用级审计和用户级审计。

系统级审计系统级审计主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。典型的系统级审计日志还包括部分与安全无关的信息，如系统操作、费用记账和网络性能。这类审计却无法跟踪和记录应用事件，也无法提供足够的细节信息。

应用级审计应用级审计主要针对的是应用程序的活动信息，如打开和关闭数据文件，读取、编辑、删除记录或字段的等特定操作，以及打印报告等。

用户级审计用户级审计主要是审计用户的操作活动信息，如用户直接启动的所有命令，用户所有的鉴别和认证操作，用户所访问的文件和资源等信息。

常见安全审计产品

根据系统审计对象和审计内容的不同，常见的审计产品包括：网络安全审计、数据库安全审计、日志审计、运维安全审计等。

网络安全审计设备网络安全审计设备主要审计网络方面的相关内容。针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。满足用户对互联网行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。通常采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到审计设备。数据库安全系统数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为。审计对数据库的各类操作，精确到每一条SQL命令，并有强大的报表功能。通常采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到审计设备。日志审计设备日志审计产品集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。日志审计产品通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不间断运营安全通常旁路模式部署。通常由设备发送日志到审计设备，或在服务器中安装代理，由代理发送日志到审计设备。运维安全审计系统（堡垒机）在一个特定的网络环境下，为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、记录、分析、处理的一种技术手段。运维安全设计系统主要是针对运维人员维护过程的全面跟踪、控制、记录、回放，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。通常采用旁路模式部署。使用防火墙对服务器访问权限进行限制，只能通过堡垒机对网络设备/服务器/数据库等系统操作。很明显，安全审计产品最终的目的都是审计，只不过是审计的内容不同而已，根据不同需求选择不同的审计产品，一旦出现攻击、非法操作、违规操作、误操作等行为，对事后处理提供有利证据。

安全审计作用

安全审计对系统记录和行为进行独立的审查和估计，主要作用如下：

对可能存在的潜在攻击者起到威慑和警示作用，核心是风险评估。测试系统的控制情况，及时进行调整，保证与安全策略和操作规程协调一致。对已出现的破坏事件，做出评估并提供有效的灾难恢复和追究责任的依据。对系统控制、安全策略与规程中的变更进行评价和反馈，以便修订决策和部署。协助系统管理员及时发现网络系统入侵或潜在的系统漏洞及隐患。

（编辑：武陵站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!