渗透测试行业术语扫盲(第十二篇)—— 防御技术与产品类术语
🛡️ 前言:构建数字世界的“立体防御体系”
面对层出不穷的攻击手段,现代安全防御已从单一的铁壁城墙,演进为多层次、立体化的综合体系。本篇将系统梳理从网络边界到终端主机,从访问入口到数据核心的各类关键防御技术与产品。理解这些“盾牌”如何工作,不仅能让你从防御者视角审视安全,也能让攻击者更懂得如何规避和对抗。
🔹 1. 防火墙
🟦 通俗解释
网络流量的“智能安检员”。它根据预设规则(如IP、端口、协议),决定允许或阻止数据包通过,是划分和守卫网络边界的第一道关卡。
🟧 专业解释
一种网络安全系统,基于一组安全规则监控并控制进出网络的数据流。传统防火墙工作在网络层和传输层,下一代防火墙增加了应用层识别、入侵防御等功能。
🔹 2. IDS / IPS
🟦 通俗解释
- IDS:入侵检测系统,像“监控摄像头”,负责发现可疑行为并报警。
- IPS:入侵防御系统,像“持械保安”,不仅能发现,还能实时阻断攻击。
🟧 专业解释
- IDS:通过旁路部署,监听网络流量,使用特征库或异常行为分析来识别攻击企图,属于事后预警。
- IPS:在线串联部署,能主动丢弃恶意数据包或重置连接,在攻击产生危害前进行实时拦截。
🔹 3. WAF
🟦 通俗解释
专为Web应用设计的“特种防火墙”。它专注于过滤HTTP/HTTPS流量,防御SQL注入、XSS、文件上传等Web攻击。
🟧 专业解释
Web应用防火墙,通过分析HTTP/HTTPS请求,识别并阻断针对Web应用程序的攻击。它通常部署在Web服务器前端,能有效防护应用层漏洞。
🔹 4. 防毒墙 & UTM
🟦 通俗解释
- 防毒墙:部署在网络网关处的“病毒过滤器”,对所有进出流量进行恶意软件扫描。
- UTM:统一威胁管理,一种“安全功能一体机”,集防火墙、IPS、防病毒、VPN等功能于一身。
🟧 专业解释
- 防毒墙:在网络边界处基于特征码和启发式技术检测和清除病毒、蠕虫等恶意软件。
- UTM:将多种安全功能整合在单一硬件平台或解决方案中,简化部署和管理,适合中小企业。
🔹 5. 网闸 & 堡垒机
🟦 通俗解释
- 网闸:用于隔离高安全与低安全网络的“物理摆渡船”,通过专用硬件断开直接连接,实现可控数据交换。
- 堡垒机:运维人员访问内部服务器的“统一安检门和监控室”,实现权限管控、操作审计和会话录制。
🟧 专业解释
- 网闸:使用专用硬件和协议,在物理断开的基础上实现安全数据交换,用于隔离关键网络(如生产网与办公网)。
- 堡垒机:核心功能是运维安全审计,提供统一的运维入口,实现账号管理、授权管理、单点登录和操作行为审计。
🔹 6. 数据库审计 & DLP
🟦 通俗解释
- 数据库审计:专门监控数据库操作的“审计员”,记录谁、在何时、对什么数据、做了何种操作。
- DLP:数据防泄漏,像“数据保镖”,防止敏感数据通过邮件、U盘等途径被非法带出。
🟧 专业解释
- 数据库审计:通过监控数据库访问流量或本地审计日志,分析并记录所有数据库操作,用于满足合规要求和风险溯源。
- DLP:通过内容识别、策略匹配等技术,在数据的存储、使用和传输过程中进行检测和阻断,防止敏感信息泄露。
🔹 7. 上网行为管理与 NAC
🟦 通俗解释
- 上网行为管理:管理内网用户上网的“行政纪律官”,控制可访问网站、记录上网行为。
- NAC:网络准入控制,像“门禁系统”,确保只有符合安全要求(如杀毒软件已更新)的设备才能接入网络。
🟧 专业解释
- 上网行为管理:对组织内部人员的互联网访问进行管控、审计和优化的系统。
- NAC:在终端设备接入网络前,对其安全状态进行检查和评估,并强制执行安全策略。
🔹 8. 沙箱 & 蜜罐
🟦 通俗解释
- 沙箱:运行可疑文件的“隔离观察室”,在其中分析其行为而不危害真实系统。
- 蜜罐:故意暴露的“诱饵系统”,吸引攻击者以研究其手法。
🟧 专业解释
- 沙箱:一种动态分析恶意代码的安全机制,通过模拟系统环境监控程序行为。
- 蜜罐:一种主动防御技术,通过部署虚假资源引诱攻击,用于威胁情报收集和攻击预警。
🔹 9. EDR & EPP
🟦 通俗解释
- EPP:终端防护平台,传统的“终端杀毒软件套件”,侧重预防。
- EDR:终端检测与响应,更高级的“终端侦探”,侧重事后检测、调查和响应。
🟧 专业解释
- EPP:集成了防病毒、防火墙、主机入侵防御等功能的终端安全解决方案,旨在阻止威胁。
- EDR:通过持续监控终端行为、记录详细数据,提供威胁狩猎、事件调查和快速响应的能力。
🔹 10. RASP & 内存保护
🟦 通俗解释
- RASP:嵌入在应用程序内部的“贴身保镖”,从内部监控应用运行时的安全。
- 内存保护:专门防御利用内存漏洞(如溢出)攻击的技术。
🟧 专业解释
- RASP:运行时应用程序自保护。它在应用运行时检测并阻断攻击,上下文感知能力强。
- 内存保护:包括地址空间布局随机化、数据执行保护等技术,旨在增加利用内存漏洞的难度。
🔹 11. 全流量检测 & 欺骗检测
🟦 通俗解释
- 全流量检测:对网络全部原始流量进行“全身体检”,留存用于深度分析和回溯。
- 欺骗检测:主动部署诱饵(如假凭证、假文件),当攻击者触碰时立即告警。
🟧 专业解释
- 全流量检测:通过镜像或分光方式捕获并存储全网原始数据包,用于高级威胁分析和取证。
- 欺骗检测:一种主动防御技术,通过在整个网络环境中散布欺骗性资源,实现早期威胁感知。
🔹 12. 零信任 & SDP
🟦 通俗解释
- 零信任:安全理念——“从不信任,总是验证”。不再默认信任内网,对任何访问请求都进行严格审查。
- SDP:软件定义边界,实现零信任的关键技术,让应用“隐身”,只有授权用户才能看到和访问。
🟧 专业解释
- 零信任:一种以身份为中心的安全架构,核心原则是默认不信任网络内外的任何主体。
- SDP:通过动态创建单向加密隧道,将服务隐藏起来,实现按需、细粒度的安全访问。
🔹 13. IAM/4A & 多因子认证 & 特权账户管理
🟦 通俗解释
- IAM/4A:身份和访问管理的统一管理平台,管“谁”能“登录”“什么”并记录“做了啥”。
- 多因子认证:结合密码、手机验证码、指纹等多种方式的“双/多保险”登录。
- 特权账户管理:对管理员等高权限账户进行“重点监控和保险柜管理”。
🟧 专业解释
- IAM/4A:提供身份认证、授权、账户管理和审计的综合体系。
- 多因子认证:结合两个及以上不同种类的认证因素(知识、 possession、 inherent)进行身份验证。
- 特权账户管理:对IT系统中拥有特殊权限的账户进行全生命周期管理和会话监控。
📌本篇总结
本篇我们全景式地审视了现代网络安全的“防御武器库”。从边界到终端,从预防到检测响应,从访问控制到数据安全,各类技术和产品构成了纵深防御体系。理解这些,你便掌握了评估和设计安全架构的基本语言,无论是作为防御者构建防线,还是作为测试者寻找突破点,都至关重要。
📘下一篇预告
有了坚固的防御体系,还需要高效的指挥中心来运营。下一篇《渗透测试行业术语扫盲(第十三篇)—— 安全运营与审计类术语》将深入安全运营中心的核心,详解SOC、SIEM、SOAR、威胁情报、态势感知等概念,揭示安全团队如何协同工作,让所有这些防御技术产生真正的价值。