infosec的博客

数据库防火墙是保护数据库安全的重要防护措施，除了主动防护来自应用的攻击比如撞库或者注入， 还可以防范来自内部的敏感信息泄露。

眼见为真是我们在处理大多数判断的时候采取的一个有效措施，这条基本的判断方法也许存在出入， 但是通过视觉的确能增加我们处理信息的速度，提升我们决策的准确性。这一篇博文我们还是继续来探讨如何进行数据可视化， 如何把网络中的流量进行汇总分析，最终以一张美丽的页面展示在我们面前。在上一篇博文中， 我介绍了sflow+flowRT的组合，一个用来收集网络流量， 一个用来提供流量的展示页面。这些都是一些开源的解决方案。不要因为公司有钱，就小瞧开源化方案。我相信随着云平台的开花结果， 开源化的解决方案还是会绽放出美丽的

在我的上一篇博文中介绍了为啥要走流量可视化，如何做流量可视化。那么本篇博文就着重来看看如何实现流量可是话。我的这个系列都是基于开源软件来实现信息安全体系建设的，本篇博文也不例外。我准备介绍一下sflow以及如何使用sflow的插件来实现流量可视化。在具体讲述如何利用sflow进行流量可视化建设的之前，让我们先来了解一下sflow究竟是个啥东西。sFlow是一种采样技术，可满足网络流量监控解决方案的关键要求. 1,sFlow是一种行业标准，具有广泛的网络设备和软件应用程序供应商提供的可互操作的实现。

背景介绍 我们通常会说想要防住威胁，首先就要看到威胁。这里面的看不只是用眼睛看，更重要的是要感知到威胁的存在。无论是以图形化展示，还是根据规则生成告警，这都是感知威胁的一种有效手段。在进行流量可视化或者威胁可视化系统建设的时候，我们需要考虑一个问题是要看见所有的流量，还是把焦点放在有价值的流量，或者潜在的威胁上。如果把所有的流量都以报表形式展现在电脑屏幕上，看起来会比较美观，但是在处理具体威胁的时候，可能会适得其反。

我们在进行网络安全层面体系建设的时候， 需要涉及到很多安全产品。我在这个系列话题里面也从防火墙， 入侵检测 等边界安全产品介绍过来的。UTM的中文名字叫统一通信管理，说白了就是把一些涉及到安全边界的安全产品融合到一起，都装到一个盒子里面。针对大公司核能需要一些大吞吐的平台来防护内网安全，但是针对一些小的公司， 他们可能没有这部分的预算，购买那么多那么昂贵的产品。于是乎UTM应运而生，而且我们看了一下UTM产品的厂商，貌似以国内的安全公司居多。UTM具体能提供哪些安全防护的功能呢？我们来一起看一下：应用识

![在这里插入图片描述](https://img-blog.csdnimg.cn/20201109162712221.png#pic_center杀毒软件是最容易被人们想到的安全控制手段，从江民，kv300，瑞星时代， 人们唯一能接受购买的软件， 估计就是这类杀毒软件。这些产品都已经成为了昨日黄花，但是软度软件的价值还是一直都没有被动摇过。现在人们防护病毒的方法也有很多， 不仅仅是在终端进行方病毒， 在NGFW， IPS，防病毒墙， UTM等几个方面也都在积极的围病毒。现在的防病毒产品越来越多， 操作系统

数据完整性检查工具是部署在服务器或者主机上的一款终端软件。数据完整性检查工具既可以理解为数据安全工具，也可以理解为网络入侵检测工具。因为通常网络入侵会造成文件或数据的破坏，有的时候工具者也会修改系统文件或者数据文件。这种修改包括对文件内容的修改，访问权限的修改。这两种行为通常都是在攻击者成功入侵攻击对象之后发生的。虽然我们在网络边界部署了安全产品，比如防火墙，入侵检测，防病毒网关等产品，但是我们还是不能保证我们的网络固若金汤。即使是我们架设了金钟罩铁布衫，攻击者还是能够找到我们网络防御中的漏洞。在我们防御手

virutal private network是一种最普遍，同时也是最廉价的安全手段。我们通常把virutal private network的安全管控归纳到访问控制领域。一方面控制接入的人或者终端另一方面，控制公司的资产。从virutal private network实现的技术方式看，包括SSL和Ipsec两种加密方式。不能单纯的说哪种方式更好，因为这两种方式都能够实现高强度的通信保护。在实施virutal private network项目的时候，风险通常不会出现在传输阶段，更多的时候是出现在用户的访

VPN是一种最普遍，同时也是最廉价的安全手段。我们通常把VPN的安全管控归纳到访问控制领域。一方面控制接入的人或者终端另一方面，控制公司的资产。从vpn实现的技术方式看，包括SSL和Ipsec两种加密方式。不能单纯的说哪种方式更好，因为这两种方式都能够实现高强度的通信保护。在实施VPN项目的时候，风险通常不会出现在传输阶段，更多的时候是出现在用户的访问信息和访问中端，没有实施严格的控制，或者用户的密码被破解掉。为了缓解VPN这种接入方式带来的风险。我建议在vpn访问的目的专要实施适当的访问控制。同时要将VP

在之前的博文中介绍了NIDS， IDS就像是我们在网络的关键节点上假设的一双双水汪汪的大眼睛。IDS能帮我们深度检测流过的数据包，针对数据包中的特征来触发告警，并记录日志。同时我们也可以根据资产的重要程度，来实施的捕捉流量包，在帮助我们分析网络流量的同时， 也可以配合合规部门来检查内部人员的网络行为。在NIDS博文里面， 我重点以Snort为例子来介绍NIDS如何在网络中玩耍。我们可以在对Snort的深度理解之后，使用好这个工具。当我们在使用NIDS的时候还会面临几个解决不了的问题，在这些NIDS鞭长莫及

我们之前提到在边界处搭建信息安全体系，需要依赖防火墙，但是防火墙就像我们生活当中的一扇门，只是负责开和关我们不能够感知到是谁进来或者谁出去。比如说我们在制定防火墙策略的时候，我们制定的规则是人可以出去，不能进来。但是具体是什么样的人可以进来？什么样的人不能够进来？这个功能防火墙无法满足。入侵检测系统恰恰能够弥补防火墙的这个缺点。对数据包进行深度检测，同时可以利用特征库或者白名单管控网络，也可以通过杀毒引擎对进出的数据包进行病毒查杀。商业化的入侵检测系统有很多，他们当中很多都是通过开源的入侵检测系统进化而来

我在这里开博的主要目的是想研究一下开源的安全产品，同时也把自己的一些经验和想法分享给大家。在之前的一篇博文中， 我介绍了开源防火墙产品FreeBSD。其实这类的开源产品很多，基本上都能满足一些小型的公司需求或者虚拟化上的安全防护需求。但是我们在企业中更多的时候，还是会选择一些硬件防火墙，因为硬件防火墙从管理上，可靠性上，技术支持上都有一些无可比拟的优势。但并不是说开源的防火墙就是银样镴枪头的样子货，我们在对开源防火墙的研究和实施过程中， 让我们有机会深度了解何为防火墙，主要都能防啥，为啥能放啥。有了对技

每每当我们提及到网络安全的时候， 不可避免的需要考虑到防火墙的配置。我们通常用防火墙来隔离两个或者几个区域，每个区域具备不同的安全级别或者不同的使用目的。在使用防火墙的时候， 我们首先考虑的是在内部和外部的边界处，启用防火墙进行网络安全防护，其实在每两个不同的地址段之间我们都需要有一个适当的设备进行网络流量控制。网络流量控制的粒度越细，安全的防护效果越好，但是副作用就是会增加变更的频率和误杀的可能性。防火墙从类型上来说， 包含包过滤型，应用防火墙还有状态包检测防火墙。我们目前最常用的硬件防火墙基本上都具

信息安全体系建设（一）# 如何定义信息安全体系下面我引用一张来自网络上的信息安全体系图，如有侵权，请随时通知某人。这里面将安全分成了几个不同的层面，也是一种深层防御的理念。虽然这张图包含的安全面还不够广， 比如服务器安全，中间件安全等， 但是这张图可以很好的诠释了安全需要分层来处理。通常我们会把最外面一圈，紫色之外的部分认为是非受信任区，也就是不安全区域。中心的球体可以当做我们需要保护的核心资产。在进行信息安全体系建设的过程中， 我们首先需要明确的是核心资产， 那些资产是需要我们保.