网络安全设备功能及部署方式
Host C Host D
❖ 基于源IP地址 ❖ 基于目的IP地址 ❖ 基于源端口 ❖ 基于目的端口 ❖ 基于时间 ❖基于用户 ❖ 基于流量 ❖ 基于文件 ❖ 基于网址 ❖ 基于MAC地址
网络安全设备功能及部署方式
防火墙与路由器类比
路由器主要功能 防火墙主要功能
路由 具有访问控制功能.
. 访问控制 具有路由功能.
http://202.102.1.3
Internet
网络安全设备功能及部署方式
12.4.1.5
防火墙的基本访问控制功能
Access list 192.168.1.3 to 202.2.33.2 Access 202.1.2.3 to 192.168.1.3 block Access default pass
持 – 路由支持 – ADSL拨号功能 – SNMP网管支持 – 日志审计 – 高可用性
网络安全设备功能及部署方式
• 扩展功能
– 防病毒 – VPN
• IPSEC VPN • PPTP/L2TP
防火墙的网络地址映射
192.168.1.2 192.168.1.3
192.168.1.5
192.168.1.4
终端 IP:12.12.12.10/23
网络安全设备功能及部署方式
WAF的部署
• 旁路部署:
单位内网
WAF
服务器群
交换机
Internet网用户
路由器
Internet
终端
网络安全设备功能及部署方式
网闸
网闸的功能:
物理层面的网络安全隔离
对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但 是为了交换数据,隔离硬件在两个网络对应的硬件上进行切换,通 过对硬件上的存储芯片的读写,完成数据的交换。
实时,其时延必须满足业务要求 准实时,可接受秒级时延
立刻影响网络报文
对网络及业务无直接影响
作用范围有限制
监控范围广
网络安全设备功能及部署方式
IPS的部署
独立部署
InInteternrneet t
Transport Network
Application Presentation
Session Transport Network
XX
网络安全设备功能及部署方式
主流安全设备概括
防火墙 入侵防御系统(IPS) 防毒墙 WEB应用防火墙(WAF) 网闸 上网行为管理
网络安全设备功能及部署方式
防火墙
• 基本功能
– 地址转换 – 访问控制 – VLAN支持 – IP/MAC绑定 – 带宽管理(QoS) – 入侵检测和攻击防御 – 用户认证 – 动态IP环境支持 – 数据库长连接应用支
通常情况下,WAF放在企业对外提供网站服务的DMZ区域或者放 在数据中心服务区域,也可以与防火墙或IPS等网关设备串联在 一起(这种情况较少)。总之,决定WAF部署位置的是WEB服 务器的位置。因为WEB服务器是WAF所保护的对象。部署时当 然要使WAF尽量靠近WEB服务器。
网络安全设备功能及部署方式
HA
网络安全设备功能及部署方式
办公区1 办公区2 数据系统
防毒墙
过滤垃圾邮件,病毒,蠕虫。可以针对重点网段进行 深度的保护。一般部署在防火墙与服务器之间。专门 的蠕虫库进行识别,同时还采用入侵防御(IPS)技术、 IP/端口/数据包封锁技术,优化了蠕虫识别机制,不 仅可以过滤已知蠕虫,还可以在未知蠕虫爆发时进行 拦截。
❖ 内网服务器的私有地址映射成公网IP ❖ 隐藏内部网络的结构
192.168.1.6 202.102.1.3
MAP 192.168.1.2:80 TO MAP 192.168.1.3:21 TO MAP 192.168.1.5:25 TO MAP 192.168.1.4:53 TO
202.102.1.3:80 202.102.1.3:21 202.102.1.3:25 202.102.1.3:53
网络安全设备功能及部署方式
WEB应用防火墙(WAF)
WAF是一款专门针对企业网站进行安全防护的产品。能够针对 Web应用攻击提供更全面、更精准的防护,尤其对一些可以"绕 过"传统防火墙和IPS的攻击方法,可以精准地阻断。正因如此, WAF可以对:数据盗窃、网页篡改、网站挂马、虚假信息传播、 针对客户端的攻击等行为,提供完善的解决方案。 WAF一般部署在web服务器的下一跳
• 速率或流量控制
• 行为管理
IPS可提供有效的、防火墙无法提供的应用层安全防护功能。 但为了避免误报,IPS对未知攻击的防御能力几乎没有
网络安全设备功能及部署方式
入侵防御系统(IPS)
入侵防御系统(IPS)与入侵检测系统(IDS)
入侵防御IPS
入侵检测IDS
IPS
IDS
在线,流量必须通过IPS
旁路,通过镜像获得数据
WAF的功能及作用
WEB攻击防护 网页防篡改
WEB加速
WAF
DDOS攻击防护 漏洞扫描
敏感信息过滤
状态监控告警
网站效能分析
网络安全设备功能及部署方式
WAF的部署
• 在线部署
单位内网
Internet网用户
Internet
web服务器群
交换机
IP:124.124.124.1/27
WAF 桥IP:124.124.124.2/27
网络安全设备功能及部署方式
防毒墙的功能毒过滤
专注访问控制
阻断病毒体传输
控制非授权访问
工作范围ISO2-7层
工作范围ISO2-4层
识别数据包IP并还原传 输文件
识别数据包IP
运用病毒分析技术处置 病毒体
对比规则控制访问方向
具有防火墙访问控制功 能模块
不具有病毒过滤功能
防止已知与未知的木马程序
通常见到的木马大部分是基于TCP的,木马在工作的时候客户端和服务器端 需要建立连接,而安全隔离网闸由于使用了自定义的私有协议(不同于通 用协议)。使得支持传统网络结构的所有协议均失效,从原理实现上就切 断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过 安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。
防火墙是路由器访问控制功能的专业化产品 防火墙的路由功能部分环境替代路由器 防火墙的路由功能无法完全取代路由器的路由专业功能 许多环境中防火墙与路由器同时存在承担各自主要功能
网络安全设备功能及部署方式
IPS在网络中的作用
IPS
安全域A
• 阻拦已知攻击(重点)
安全域B
• 为已知漏洞提供虚拟补丁(重点)
