@时光机
2年前 提问
1个回答

网络蜜墙主要功能是什么

007bug
2年前

网络蜜墙主要功能如下:

  • 数据捕捉:蜜网内的所有活动和进出蜜网的信息,能够在攻击者不知道被监视的情况下被捕获。通过Sebek工具进行监视,将监视信息发到Sebek服务器然后通过蜜墙将数据存储并允许数据分析。

  • 数据控制:控制进出蜜网的可疑流量,进一步地,该机制必须确保一旦蜜网中的蜜罐被攻陷,所有的恶意活动必须限制在蜜网内。通过限制连接,例如允许每小时有20个TCP连接、20个UDP数据包交换、50个ICMP数据包和20个其他连接。某些特殊攻击限制连接没效果,要使用入侵检测系统(如snort),重写可疑数据包中的内容使之无效,大多入侵者在一段时间内无法检测到蜜墙的存在,入侵者发现可以攻击,会继续尝试不同形式的攻击,使我们能够更大程度和更长时间地观察他们。

  • 数据分析:帮助你作为蜜网操作员简化捕获数据分析,以及帮助计算机和网络取证。

公司部署蜜罐蜜墙的好处如下:

  • 迷惑攻击者:对于那些已经进入公司网络的黑客,蜜罐可以减缓他们的攻击,通过虚拟系统,企业可以制造出很多蜜罐来吸引攻击者,以减少他们攻击真正有价值的资产的机会。除了采用服务器作蜜罐之外,企业也可以把一些虚假数据放入数据库,这些数据普通用户不会也不能访问到,通过在防火墙等监控软件上设置规则,一旦发现这些数据被访问或下载,则可以提供安全告警。

  • 降低公司网络维护成本:蜜罐有两种类型,一种是研究型蜜罐,这种蜜罐是一个虚拟的具有安全漏洞的系统,用户可以通过Internet访问。通过这个系统,研究人员可以研究黑客攻击的行为。另一种类型是生产型蜜罐,这种蜜罐比较简单,可以是一个Web服务器,工作站,数据库,甚至一些文件。这些蜜罐一旦设置好后,基本不需要维护,而当有人访问这些蜜罐时,企业就可以得到安全告警。

  • 可以帮助培训企业的安全管理团队:在这个专业安全管理人员稀缺的时代,蜜罐可以用来作为基本的培训工具。通过蜜罐来观察攻击者的行为,安全管理人员可以学习到最新的攻击技术。

  • 帮助公司对攻击者进行反制:在外网中部署蜜IP和蜜域名等伪装诱饵,诱使攻击者前来,进而搜集攻击者信息,有效追踪攻击者。当防守方搜集到足够多攻击者信息时,能够借助基础信息库对攻击者进行追踪和溯源,例如恶意程序样本、远程控制站点URL、攻击者IP等信息中暴露出的代码特征、站点注册信息、IP地理位置等,从而定位攻击者实体,借助法律手段追究攻击者责任。