網(wǎng)絡(luò)隔離系統(tǒng)課件

1、網(wǎng)絡(luò)隔離系統(tǒng)-計(jì)算機(jī)網(wǎng)絡(luò)技師培訓(xùn)企順技能培訓(xùn)學(xué)校Lets make your business smooth !7/31/20221隔離技術(shù)隔離的概念隔離技術(shù)的發(fā)展隔離網(wǎng)閘原理產(chǎn)品介紹隔離網(wǎng)閘與防火墻區(qū)別比較隔離網(wǎng)閘產(chǎn)品分類FerryWay三機(jī)系統(tǒng)模型三機(jī)與二機(jī)區(qū)別比較FerryWay的技術(shù)特點(diǎn)FerryWay管理配置管理端軟件審計(jì)端軟件內(nèi)容目錄7/31/20222隔離的概念 網(wǎng)絡(luò)隔離 Network Isolation 協(xié)議隔離 Protocol Isolation Mark Joseph Edwards：協(xié)議隔離和防火墻不屬于同類產(chǎn)品 “Understanding Network Secu

2、rity”7/31/20223隔離技術(shù)的發(fā)展7/31/20224IP包，3層IP包，3層TCP4層TCP4層5至7層5至7層數(shù)據(jù)擺渡OSI第七層外隔離網(wǎng)閘 私有協(xié)議擺渡隔離網(wǎng)閘原理內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)物理、數(shù)據(jù)鏈路 1至2層物理、數(shù)據(jù)鏈路 1至2層7/31/20225隔離技術(shù)隔離的概念隔離技術(shù)的發(fā)展隔離網(wǎng)閘原理產(chǎn)品介紹隔離網(wǎng)閘與防火墻區(qū)別比較隔離網(wǎng)閘產(chǎn)品分類FerryWay三機(jī)系統(tǒng)模型三機(jī)與二機(jī)區(qū)別比較FerryWay的技術(shù)特點(diǎn)FerryWay管理配置管理端軟件審計(jì)端軟件內(nèi)容目錄7/31/202268/scripts/.%c0%af./winnt/system32/cmd.exe?/c+dir+c

3、:InternetInternal UsersFireWallPort 80Web servicesWeb enabled appsIM trafficRich mediaInternet access43%43%55%43%98%80 HTTP “75的成功針對(duì)服務(wù)器的攻擊是通過應(yīng)用層完成的，而不是網(wǎng)絡(luò)層來完成的。網(wǎng)絡(luò)攻擊分析7/31/20227隔離技術(shù)需具備的安全要點(diǎn) 要具有高度的自身安全性 要確保網(wǎng)絡(luò)之間是隔離的 要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù) 要對(duì)網(wǎng)間的訪問進(jìn)行嚴(yán)格的控制和檢查 要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明7/31/20228與防火墻的主要區(qū)別隔離網(wǎng)閘防火墻政策歸類安全隔離

4、與信息交換防火墻功能定位安全第一，通信第二通信第一，安全第二硬件體系多機(jī)系統(tǒng)單機(jī)系統(tǒng)通信協(xié)議專用私有協(xié)議公用協(xié)議安全級(jí)別內(nèi)外皆防防外7/31/20229網(wǎng)閘的分類市場上網(wǎng)閘主要分為兩類： 傳統(tǒng)“2+1”結(jié)構(gòu)為基礎(chǔ)的網(wǎng)閘 三機(jī)架構(gòu)的網(wǎng)閘控制臺(tái)存儲(chǔ)介質(zhì)外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)？7/31/202210基于三機(jī)系統(tǒng)的安全隔離與信息交換模型FerryWay系統(tǒng)模型7/31/202211FerryWay三機(jī)系統(tǒng)原理Hello？處理連接POST處理請(qǐng)求 NOSorry7/31/202212FerryWay三機(jī)系統(tǒng)原理Hello？處理連接POST處理請(qǐng)求 YesYes，You canCommandRequest：He

5、llo？Yes，Im here. Ready7/31/202213三機(jī)與二機(jī)區(qū)別FerryWay“2+1”主機(jī)形態(tài)三機(jī)三系統(tǒng)二主機(jī)+擺渡機(jī)制防范級(jí)別內(nèi)外網(wǎng)相同對(duì)待外網(wǎng)危險(xiǎn)，內(nèi)網(wǎng)安全自身安全性仲裁系統(tǒng)硬件網(wǎng)絡(luò)不可達(dá)仲裁系統(tǒng)硬件網(wǎng)絡(luò)可達(dá)處理能力內(nèi)外端拆封，仲裁端檢測內(nèi)外端既拆封又檢測7/31/202214 攻擊者即使同時(shí)獲得內(nèi)外網(wǎng)機(jī)的權(quán)限，也無法構(gòu)建不受控?cái)?shù)據(jù)通道 內(nèi)/外端機(jī)是內(nèi)/外網(wǎng)網(wǎng)絡(luò)協(xié)議的終點(diǎn)，網(wǎng)絡(luò)協(xié)議不可延伸 信息落地，仲裁機(jī)對(duì)剝離的應(yīng)用層信息進(jìn)行安全檢查，控制網(wǎng)間傳播內(nèi)容，保護(hù)重要資源 仲裁系統(tǒng)網(wǎng)絡(luò)協(xié)議不可達(dá)，自身安全性大大提高三機(jī)模型的特點(diǎn)和優(yōu)勢(shì)7/31/202215隔離技術(shù)隔離的概念

6、隔離技術(shù)的發(fā)展隔離網(wǎng)閘原理產(chǎn)品介紹隔離網(wǎng)閘與防火墻區(qū)別比較隔離網(wǎng)閘產(chǎn)品分類FerryWay三機(jī)系統(tǒng)模型三機(jī)與二機(jī)區(qū)別比較FerryWay的技術(shù)特點(diǎn)FerryWay管理配置管理端軟件審計(jì)端軟件內(nèi)容目錄7/31/2022161. 管理配置界面提供給系統(tǒng)配置管理員對(duì)FerryWay系統(tǒng)進(jìn)行配置的用戶界面。主要功能包括：登錄系統(tǒng)設(shè)置(設(shè)置內(nèi)外端機(jī)IP地址、系統(tǒng)關(guān)閉/重啟)用戶信息應(yīng)用通道安全策略(HTTP/SMTP/POP3)2. 審計(jì)查看界面提供給審計(jì)管理員查看和管理FerryWay系統(tǒng)審計(jì)信息的用戶界面。主要功能包括：登錄查看HTTP/SMTP/POP3/系統(tǒng)的審計(jì)信息查詢指定條件的審計(jì)信息導(dǎo)出指

7、定條件的審計(jì)信息7/31/2022177/31/2022187/31/2022191.設(shè)置內(nèi)端機(jī) IP 地址 選擇“系統(tǒng)”菜單下的“設(shè)置”，顯示系統(tǒng)設(shè)置列表。選擇“設(shè)置內(nèi)端機(jī)IP地址”，顯示設(shè)置界面。2.設(shè)置外端機(jī) IP 地址選擇“系統(tǒng)”菜單下的“設(shè)置”，顯示系統(tǒng)設(shè)置列表。選擇“設(shè)置外端機(jī)IP地址”，顯示設(shè)置界面。一般要設(shè)置默認(rèn)網(wǎng)關(guān)、域名服務(wù)器。3.系統(tǒng)關(guān)閉或重啟選擇“系統(tǒng)”菜單下的“關(guān)閉/重啟”，顯示系統(tǒng)關(guān)閉/重啟界面。關(guān)閉或重啟整個(gè)三機(jī)系統(tǒng)。7/31/202220使用“高級(jí)”，可以設(shè)置多個(gè)IP地址。7/31/202221使用“高級(jí)”，可以設(shè)置多個(gè)IP地址。7/31/2022227/31/2

8、02223選擇“用戶”菜單下的“所有用戶”，顯示當(dāng)前系統(tǒng)中的所有用戶列表。包括系統(tǒng)配置管理員和普通用戶，但是，無法看到審計(jì)管理員。主要功能：1.添加新用戶在用戶列表的右鍵菜單中選擇“添加”，顯示添加新用戶界面。2.刪除用戶選定某一用戶，在右鍵菜單中選擇“刪除”，確認(rèn)后，刪除選定用戶。無法刪除系統(tǒng)配置管理員帳號(hào)。3.修改用戶密碼（或修改系統(tǒng)配置管理員的登錄密碼）選定某一用戶，在右鍵菜單中選擇“修改密碼”，顯示密碼修改界面。如果選擇了系統(tǒng)配置管理員，則顯示修改管理員登錄密碼界面。7/31/202224注：用戶密碼必須是英文字母和數(shù)字的組合。7/31/2022257/31/2022267/31/20

9、2227選擇“應(yīng)用通道”菜單，顯示當(dāng)前系統(tǒng)中的所有應(yīng)用通道列表。主要功能：1.添加新應(yīng)用通道在列表的右鍵菜單中選擇“添加”，顯示添加新應(yīng)用通道界面。應(yīng)用通道添加后，必須手動(dòng)啟用，并設(shè)置“啟用類型”為“自動(dòng)”。2.刪除應(yīng)用通道選定某一應(yīng)用通道，在右鍵菜單中選擇“刪除”，確認(rèn)后，刪除選定應(yīng)用通道。3.修改應(yīng)用通道設(shè)置選定某一處于“停用”狀態(tài)的應(yīng)用通道，在右鍵菜單中選擇“設(shè)置”，修改選定應(yīng)用通道的設(shè)置信息。設(shè)置界面和添加界面相同。7/31/2022287/31/2022291.應(yīng)用通道源選擇應(yīng)用通道的方向2.工作模式代理模式：解析客戶端請(qǐng)求數(shù)據(jù)中的主機(jī)地址，連接。轉(zhuǎn)發(fā)模式：直接將客戶端發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)

10、到指定主機(jī)。3.應(yīng)用類型包括：HTTP、SMTP、POP3、FTP、TELNET、NULL_TCP（自定義通道）4.源機(jī)IP地址5.源機(jī)端口6.目的機(jī)IP地址代理模式無須設(shè)置目的機(jī)IP地址和端口7.目的機(jī)端口8.允許最大連接數(shù)9.證書認(rèn)證7/31/2022307/31/2022317/31/2022327/31/2022331.HTTP應(yīng)用允許訪問主機(jī)策略、訪問內(nèi)容審計(jì)策略、其他策略(禁止訪問文件類型、禁止腳本、禁止查詢字串、禁止POST、禁止COOKIE)2.SMTP應(yīng)用允許主機(jī)地址策略、郵件內(nèi)容審計(jì)策略、禁止發(fā)件地址策略、禁止收件地址策略、禁止郵件主題策略、其他策略(禁止附件文件類型、禁止

11、腳本、發(fā)送郵件大小、病毒掃描)3.POP3應(yīng)用允許主機(jī)地址策略、郵件內(nèi)容審計(jì)策略、禁止發(fā)件地址策略、禁止收件地址策略、禁止郵件主題策略、其他策略(禁止附件文件類型、禁止腳本、接收郵件大小、病毒掃描)7/31/202234設(shè)置客戶端可以訪問的主機(jī)地址，并選擇使用的應(yīng)用通道。主機(jī)地址支持通配符，如：*.，可以訪問以結(jié)尾的主機(jī)；*，則可以訪問所有主機(jī)。7/31/202235設(shè)置訪問內(nèi)容過濾的關(guān)鍵字。7/31/2022361.禁止訪問文件類型輸入文件擴(kuò)展名，以“|”間隔，區(qū)分大小寫。如：rar|zip|rm2.禁止腳本選擇某一一應(yīng)用通道的禁止腳本策略，選擇“設(shè)置策略內(nèi)容”，在設(shè)置界面中，選擇“是”或

12、“否”。3.禁止查詢字串選擇某一一應(yīng)用通道的禁止查詢字串策略，選擇“設(shè)置策略內(nèi)容”，在設(shè)置界面中，選擇“是”或“否”。4.禁止POST選擇某一一應(yīng)用通道的禁止POST策略，選擇“設(shè)置策略內(nèi)容”，在設(shè)置界面中，選擇“是”或“否”。5.禁止COOKIE選擇某一一應(yīng)用通道的禁止COOKIE策略，選擇“設(shè)置策略內(nèi)容”，在設(shè)置界面中，選擇“是”或“否”。7/31/202237選擇菜單“安全策略”-“SMTP應(yīng)用”-“允許主機(jī)地址策略”，顯示策略內(nèi)容列表。 7/31/202238“允許主機(jī)地址”為允許使用的SMTP主機(jī)。添加界面如下： 7/31/202239修改策略內(nèi)容界面如下： 7/31/202240除

13、了添加、修改策略等功能以外，還提供：刪除策略在策略列表中選定某一策略，在右鍵菜單中選擇“刪除”或直接按“DEL”鍵，確認(rèn)后，就可以刪除選定的策略了。策略生效設(shè)置添加的策略，設(shè)置為“無效”，則可以暫時(shí)不起作用。當(dāng)需要時(shí)，可以再次設(shè)置為“有效”，策略生效。刷新策略內(nèi)容列表 7/31/202241選擇菜單“安全策略”-“SMTP應(yīng)用”-“郵件內(nèi)容審計(jì)策略”，顯示策略內(nèi)容列表。 7/31/202242即對(duì)郵件內(nèi)容進(jìn)行過濾的策略。主要是設(shè)置過濾關(guān)鍵字。添加界面如下：7/31/202243修改策略內(nèi)容的界面如下：7/31/202244除了添加、修改策略等功能以外，還提供：刪除策略在策略列表中選定某一策略，

14、在右鍵菜單中選擇“刪除”或直接按“DEL”鍵，確認(rèn)后，就可以刪除選定的策略了。策略生效設(shè)置添加的策略，設(shè)置為“無效”，則可以暫時(shí)不起作用。當(dāng)需要時(shí)，可以再次設(shè)置為“有效”，策略生效。刷新策略內(nèi)容列表 7/31/202245選擇菜單“安全策略”-“SMTP應(yīng)用”-“禁止發(fā)件地址策略”，顯示策略內(nèi)容列表。 7/31/202246在策略列表的右鍵菜單中選擇“添加”： 7/31/202247在策略列表中，選定某一策略，在右鍵菜單中選擇“修改”： 7/31/202248除了添加、修改策略等功能以外，還提供：刪除策略在策略列表中選定某一策略，在右鍵菜單中選擇“刪除”或直接按“DEL”鍵，確認(rèn)后，就可以刪除

15、選定的策略了。策略生效設(shè)置添加的策略，設(shè)置為“無效”，則可以暫時(shí)不起作用。當(dāng)需要時(shí)，可以再次設(shè)置為“有效”，策略生效。刷新策略內(nèi)容列表 7/31/202249選擇菜單“安全策略”-“SMTP應(yīng)用”-“禁止收件地址策略”，顯示策略內(nèi)容列表。 7/31/202250在策略列表的右鍵菜單中選擇“添加”：7/31/202251在策略列表中，選定某一策略，在右鍵菜單中選擇“修改”：7/31/202252除了添加、修改策略等功能以外，還提供：刪除策略在策略列表中選定某一策略，在右鍵菜單中選擇“刪除”或直接按“DEL”鍵，確認(rèn)后，就可以刪除選定的策略了。策略生效設(shè)置添加的策略，設(shè)置為“無效”，則可以暫時(shí)不起

16、作用。當(dāng)需要時(shí)，可以再次設(shè)置為“有效”，策略生效。刷新策略內(nèi)容列表 7/31/202253選擇菜單“安全策略”-“SMTP應(yīng)用”-“禁止郵件主題策略”，顯示策略內(nèi)容列表。 7/31/202254在策略列表的右鍵菜單中選擇“添加”：7/31/202255在策略列表中，選定某一策略，在右鍵菜單中選擇“修改”：7/31/202256除了添加、修改策略等功能以外，還提供：刪除策略在策略列表中選定某一策略，在右鍵菜單中選擇“刪除”或直接按“DEL”鍵，確認(rèn)后，就可以刪除選定的策略了。策略生效設(shè)置添加的策略，設(shè)置為“無效”，則可以暫時(shí)不起作用。當(dāng)需要時(shí)，可以再次設(shè)置為“有效”，策略生效。刷新策略內(nèi)容列表

17、7/31/202257包括：禁止附件文件類型策略、禁止腳本策略、發(fā)送郵件大小策略。1.禁止附件文件類型輸入文件擴(kuò)展名，以“|”間隔，區(qū)分大小寫。如：rar|zip|rm2.禁止腳本選擇某一應(yīng)用通道的禁止腳本策略，選擇“設(shè)置策略內(nèi)容”，在設(shè)置界面中，選擇“是”或“否”。3.發(fā)送郵件大小選擇某一一應(yīng)用通道的發(fā)送郵件大小策略，選擇“設(shè)置策略內(nèi)容”，在設(shè)置界面中，輸入允許發(fā)送的郵件大小，單位字節(jié)。4.病毒掃描策略選擇某一一應(yīng)用通道的病毒掃描策略，選擇“設(shè)置策略內(nèi)容”，在設(shè)置界面中，選擇病毒掃描引擎。其他策略類型的策略在應(yīng)用通道添加時(shí)自動(dòng)建立并初始化?？梢栽O(shè)置策略的有效性，但無法刪除。7/31/2022

18、58選擇菜單“安全策略”-“POP3應(yīng)用”-“允許主機(jī)地址策略”，顯示策略內(nèi)容列表。 7/31/202259“允許主機(jī)地址”為允許使用的POP3主機(jī)。添加界面如下： 7/31/202260修改策略內(nèi)容界面如下： 7/31/202261除了添加、修改策略等功能以外，還提供：刪除策略在策略列表中選定某一策略，在右鍵菜單中選擇“刪除”或直接按“DEL”鍵，確認(rèn)后，就可以刪除選定的策略了。策略生效設(shè)置添加的策略，設(shè)置為“無效”，則可以暫時(shí)不起作用。當(dāng)需要時(shí)，可以再次設(shè)置為“有效”，策略生效。刷新策略內(nèi)容列表 7/31/202262選擇菜單“安全策略”-“POP3應(yīng)用”-“郵件內(nèi)容審計(jì)策略”，顯示策略內(nèi)

19、容列表。 7/31/202263即對(duì)郵件內(nèi)容進(jìn)行過濾的策略。主要是設(shè)置過濾關(guān)鍵字。添加界面如下：7/31/202264修改策略內(nèi)容的界面如下：7/31/202265除了添加、修改策略等功能以外，還提供：刪除策略在策略列表中選定某一策略，在右鍵菜單中選擇“刪除”或直接按“DEL”鍵，確認(rèn)后，就可以刪除選定的策略了。策略生效設(shè)置添加的策略，設(shè)置為“無效”，則可以暫時(shí)不起作用。當(dāng)需要時(shí)，可以再次設(shè)置為“有效”，策略生效。刷新策略內(nèi)容列表 7/31/202266選擇菜單“安全策略”-“POP3應(yīng)用”-“禁止發(fā)件地址策略”，顯示策略內(nèi)容列表。 7/31/202267在策略列表的右鍵菜單中選擇“添加”：

20、7/31/202268在策略列表中，選定某一策略，在右鍵菜單中選擇“修改”： 7/31/202269除了添加、修改策略等功能以外，還提供：刪除策略在策略列表中選定某一策略，在右鍵菜單中選擇“刪除”或直接按“DEL”鍵，確認(rèn)后，就可以刪除選定的策略了。策略生效設(shè)置添加的策略，設(shè)置為“無效”，則可以暫時(shí)不起作用。當(dāng)需要時(shí)，可以再次設(shè)置為“有效”，策略生效。刷新策略內(nèi)容列表 7/31/202270選擇菜單“安全策略”-“POP3應(yīng)用”-“禁止收件地址策略”，顯示策略內(nèi)容列表。 7/31/202271在策略列表的右鍵菜單中選擇“添加”：7/31/202272在策略列表中，選定某一策略，在右鍵菜單中選擇“修改”：7/31/202273除了添加、修改策略等功能以外，還提供：刪除策略在策略列表中選定某一策略，在右鍵菜單中選擇“刪除”或直接按“DEL”鍵，確認(rèn)后，就可以刪除選定的策略了。策略生效設(shè)置添加的策略，設(shè)置為“無效”，則可以暫時(shí)不起作用。當(dāng)需要時(shí)，可以再次設(shè)置為“有效”，策略生效。刷新策略內(nèi)容列表 7/31/202274選擇菜單“安全策略”-“POP3應(yīng)用”-“禁止郵件主題策略”，顯示策略內(nèi)容列表。 7/31/202275在策略列表的右鍵菜單中選擇“添加”：7/31