导图社区 NGFW下一代防火墙-功能规划
这是一篇关于NGFW下一代防火墙-功能规划的思维导图,总结了看见的能力、治理的能力、呈现的能力等。
社区模板帮助中心,点此进入>>
互联网9大思维
组织架构-单商户商城webAPP 思维导图。
域控上线
python思维导图
css
CSS
计算机操作系统思维导图
计算机组成原理
IMX6UL(A7)
考试学情分析系统
NGFW
看见的能力
内外网资产暴露面-映射表
参考深信服NGAF和SIP的相关功能反推一部分功能实现。
域名、外网IP、外网端口、HTTP请求的host字段、内网IP、内网端口
看见网络应用的能力
主流网络应用识别
集成开源或商业的应用识别引擎、应用识别库
行业应用软件识别
自建行业应用指纹库,识别特定的行业应用系统
看见安全漏洞的能力
基于流量分析识别漏洞
Tenable PAS漏洞识别
SQLMap怎么识别数据库漏洞的?
安赛科技WebIDS的原理说明
识别弱口令漏洞、明文传输密码
看见威胁攻击的能力
成功攻击行为的检测
ETPro商业版规则库中筛选
0day-1day的poc规则倒推
结合红蓝团队经验,专注于getshell行为回显检测
一部分来源于威胁情报检测结果、webshell回连、非法外联检测结果
安全媒体论坛挖掘
威胁情报检测
贵在精而不在多。
病毒木马检测
集成商业或开源防病毒引擎与病毒库
异常流量发现
基于TopN的统计分析、基于特征的分析
私接路由
能够识别出一个用户/IP 下所使用的终端个数,不论这个用户/IP 采用的是分时分段上网,还是采用 NAT 路由或是代理同时上网的情形。
终端操作系统类型
HTTP User-Agent提取终端操作系统类型
从网络流量中提取终端操作系统类型
网络应用程序特征
360安全卫士、搜狗输入法等网络应用在连接互联网发送数据包时会携带与主机绑定的唯一的32 位特征码
IP包的ID字段轨迹特征
Windows XP/7系统在发送 TCP 数据包时,其 IP 包中的 ID 字段是 呈递增的,如果一个用户后有多台 Windows 7 、windows xp 系统,可以观察 到其 ID 的域轨迹有多条。
蠕虫扫描
操作系统蠕虫扫描特征
源IP相同,随机或遍历主机IP,访问的目标端口基本一致,平均包长小,发包请求多,回应少;
基于源数据包的部分字段,进行 TopN 统计排序
TCP SYN:TCP SYN 发包数远大于 TCP ACK收包数;
TCP ACK
TCP ACK+FIN
邮件系统蠕虫扫描特征
DPI 进行包重组后分析
发送邮件频率高、邮件标题内容相近、邮件附件相同
密码猜测(暴力破解)
特征+统计
ARP攻击
ARP格式违规(伪造的MAC地址)
ARP请求风暴
ARP太多的主动应答
ARP扫描
IP地址冲突
DDoS
基于网络攻击特征
> 机器学习设定的正常流量阀值 * 130%
非法外联
TeamView、RDP、远控木马、挖矿木马……
隐匿通讯
看见藏在加密流量中的威胁:Cisco ETA算法论文解读。
识别加密流量内容
NGFW VPN通道内的内容
识别SSL通讯内容,结合SSL卸载、HTTPS代理功能实现
呈现的能力
让用户看见的能力
让用户看见威胁攻击
失陷主机、蠕虫病毒、挖矿木马、勒索病毒、境外IP访问;
让用户看见问题故障:
让用户看见应用资产;
看见的方式
微信告警
系统首页
安全报告
系统日志
邮件告警
声音告警(浏览器)
治理的能力
自防御治理的能力
协同防御治理的能力
Restful_API
发送威胁情报和安全策略的能力
接收威胁情报和安全策略的能力
对接云安全运营中心
对接态势感知系统
对接ATD高级威胁检测系统
对接网络设备
