网络安全设备功能及部署方式
办公区1
办公区2
Internet Internet
HA
数据系统
防毒墙
过滤垃圾邮件,病毒,蠕虫。可以针对重点网段进行 深度的保护。一般部署在防火墙与服务器之间。专门 的蠕虫库进行识别,同时还采用入侵防御(IPS)技术、 IP/ 端口 / 数据包封锁技术,优化了蠕虫识别机制,不 仅可以过滤已知蠕虫,还可以在未知蠕虫爆发时进行 拦截。
该设备一般部署在网络的出口,对内部网络连接到互联
网的数据进行采集,分析,和识别。实时记录内网用户 的上网行为,过滤不良信息。并对相关的上网的行为, 发送和接收的相关内容进行控制,存储,分析和查询。
上网行为管理在网络中的作用
行为管理 流量监控
用户管理 日志审查统 计
上网行为管理功能
产品功能
应用控制 内容过滤 网址控制 网页搜索 应用审计 流量控制
3.隔离交换模块断开内外网主机系统,彼此连接,进行通讯协商,完成数据交换
4.隔离交换模块断开彼此连接,连接内外网主机系统,外网主机系统从交换缓存读取数据 5.外网主机系统获取数据,进行数据重组,安全检测,与外网主机建立连接 6.从外网往内网交换数据,工作安全隔离网闸
Host C Host D
基于源IP地址 基于目的IP地址 基于源端口 基于目的端口 基于时间 基于用户 基于流量 基于文件 基于网址 基于MAC地址
防火墙与路由器类比
路由器主要功能
路由 具有访问控制功能. . 访问控制 具有路由功能.
防火墙主要功能
防火墙是路由器访问控制功能的专业化产品 防火墙的路由功能部分环境替代路由器 防火墙的路由功能无法完全取代路由器的路由专业功能 许多环境中防火墙与路由器同时存在承担各自主要功能
防止已知与未知的木马程序
通常见到的木马大部分是基于TCP的,木马在工作的时候客户端和服务器端 需要建立连接,而安全隔离网闸由于使用了自定义的私有协议(不同于通 用协议)。使得支持传统网络结构的所有协议均失效,从原理实现上就切 断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过 安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。
•
扩展功能
– 防病毒 – VPN
• • IPSEC VPN PPTP/L2TP
防火墙的网络地址映射
192.168.1.2 192.168.1.3
192.168.1.5
内网服务器的私有地址映射成公网IP 隐藏内部网络的结构 192.168.1.4
192.168.1.6
MAP 192.168.1.2:80 MAP 192.168.1.3:21 MAP 192.168.1.5:25 MAP 192.168.1.4:53
硬件结构
操作系统 协议处理 安全机制 管理安全
单主机
“2+1”结构
单一OS
采用在OSI协议栈的2-7层 进行包过滤 简单的进行包头检查
两主机系统各有独立OS
网闸采用自身定义的私有通信协 议,避免了基于OSI7层模型攻击 综合了访问控制、 内容过滤、抗 攻击、硬件隔离等安全防护技术
攻击者获得了管理权限, 可调整防火墙的安全策 略
防毒墙的功能
防毒墙主要功能
专注病毒过滤
防火墙主要功能
专注访问控制
阻断病毒体传输
控制非授权访问
工作范围ISO2-7层 识别数据包IP并还原传 输文件 运用病毒分析技术处置 病毒体
工作范围ISO2-4层
识别数据包IP
对比规则控制访问方向
具有防火墙访问控制功 能模块
不具有病毒过滤功能
WEB应用防火墙(WAF)
WAF的功能及作用
WEB攻击防护 网页防篡改 WEB加速
WAF
DDOS攻击防护 漏洞扫描 敏感信息过滤 状态监控告警 网站效能分析
WAF的部署
• 在线部署
单位内网
Internet网用户
Internet web服务器群 IP:124.124.124.1/27 交换机 WAF 桥IP:124.124.124.2/27 终端
部署的位置
Internet
管控端
无 法 登 陆
QQ: 596*** 72
上网行为管 理网关
总结
防火墙===============访问控制与NAT 入侵防御系统(IPS)======拦截已知的攻击 防毒墙================专业过滤病毒 WEB应用防火墙(WAF)===专业防护(web)安全 网闸======通过硬件隔离网络,拦截未知的木马程序 上网行为管理===========规范员工的上网行为
两主机系统分别有独立的管理接 口,安全策略分别下达,不可能 被控制
网闸的部署位置
上网行为管理
上网行为控制,规范员工上网行为,提高工作效率 强大的监控和审计,保护内部数据安全、防止机密信息
泄漏 流量控制和带宽管理,优化带宽资源的使用 海量日志存储、丰富的报表功能,为组织决策提供最 有效的数据支持
入侵防御IPS
入侵检测IDS
IPS 在线,流量必须通过IPS 实时,其时延必须满足业务要求 立刻影响网络报文 作用范围有限制
IDS 旁路,通过镜像获得数据 准实时,可接受秒级时延 对网络及业务无直接影响 监控范围广
IPS的部署
独立部署
Application Presentation Session Transport Network Transport Network
备注
基于数据包特征码的应用识别技术,识别超过300多种当前主流应 用,定义所允许,禁止使用的某些应用(如p2p下载,p2p流媒体, IM软件,网络游戏,炒股软件等)。 对于常用的应用(如邮件,FTP)等的内容进行关键字的检测,对出 现关键字的则进行过滤。 用于定义所允许,禁止访问的网站,可以手动添加网址类型。 记录搜索的关键字,进行的控制可以是禁止,记录。 分为即时通信审计,邮件发送审计,邮件接收审计,发帖审计 控制用户,应用的流量 ,可以支持动态流量,静态流量的设置
XX
主流安全设备概括
防火墙 入侵防御系统(IPS) 防毒墙 WEB应用防火墙(WAF) 网闸 上网行为管理
防火墙
• 基本功能
– – – – – – – – – – – – – – 地址转换 访问控制 VLAN支持 IP/MAC绑定 带宽管理(QoS) 入侵检测和攻击防御 用户认证 动态IP环境支持 数据库长连接应用支 持 路由支持 ADSL拨号功能 SNMP网管支持 日志审计 高可用性
IP:12.12.12.10/23
WAF的部署
• 旁路部署:
单位内网 Internet网用户
WAF
Internet 服务器群 交换机 路由器 终端
网闸
网闸的功能:
物理层面的网络安全隔离
对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但 是为了交换数据,隔离硬件在两个网络对应的硬件上进行切换,通 过对硬件上的存储芯片的读写,完成数据的交换。
IPS在网络中的作用
IPS
安全域A
安全域B
• 阻拦已知攻击(重点) • 为已知漏洞提供虚拟补丁(重点)
• 速率或流量控制
• 行为管理
IPS可提供有效的、防火墙无法提供的应用层安全防护功能。 但为了避免误报,IPS对未知攻击的防御能力几乎没有
入侵防御系统(IPS)
入侵防御系统(IPS)与入侵检测系统(IDS)
WAF是一款专门针对企业网站进行安全防护的产品。能够针对
Web应用攻击提供更全面、更精准的防护,尤其对一些可以"绕 过"传统防火墙和IPS的攻击方法,可以精准地阻断。正因如此, WAF可以对:数据盗窃、网页篡改、网站挂马、虚假信息传播、 针对客户端的攻击等行为,提供完善的解决方案。
WAF一般部署在web服务器的下一跳 通常情况下,WAF放在企业对外提供网站服务的DMZ区域或者放 在数据中心服务区域,也可以与防火墙或IPS等网关设备串联在 一起(这种情况较少)。总之,决定WAF部署位置的是WEB服 务器的位置。因为WEB服务器是WAF所保护的对象。部署时当 然要使WAF尽量靠近WEB服务器。
通过添加功能模块可以实现
访问控制 病毒查杀 安全审计
数据隔离交换的过程
隔离交换模块 可 信 任 网 络
内网主机系统 外网主机系统
不 可 信 任 网 络
1.内网主机系统收到数据,进行协议分离,安全检测,然后发送给隔离交换模块 2.隔离交换模块断开彼此连接,连接内外网主机系统,内网主机系统写数据到交换缓冲区
TO TO TO TO
202.102.1.3:80 202.102.1.3:21 202.102.1.3:25 202.102.1.3:53
http://202.102.1.3
202.102.1.3
Internet
12.4.1.5
防火墙的基本访问控制功能
Access list 192.168.1.3 to 202.2.33.2 Access 202.1.2.3 to 192.168.1.3 block Access default pass
