網(wǎng)絡(luò)安全設(shè)備功能及部署方式課件

安全設(shè)備功能及部署方式介紹XX安全設(shè)備功能及部署方式介紹XX1主流安全設(shè)備概括防火墻入侵防御系統(tǒng)(IPS)防毒墻WEB應(yīng)用防火墻(WAF)網(wǎng)閘上網(wǎng)行為管理主流安全設(shè)備概括防火墻2防火墻基本功能地址轉(zhuǎn)換訪問控制VLAN支持IP/MAC綁定帶寬管理（QoS）入侵檢測和攻擊防御用戶認(rèn)證動態(tài)IP環(huán)境支持?jǐn)?shù)據(jù)庫長連接應(yīng)用支持路由支持ADSL撥號功能SNMP網(wǎng)管支持日志審計高可用性擴展功能防病毒VPNIPSECVPNPPTP/L2TP防火墻基本功能擴展功能3防火墻的網(wǎng)絡(luò)地址映射Internet

內(nèi)網(wǎng)服務(wù)器的私有地址映射成公網(wǎng)IP

隱藏內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)192.168.1.6MAP：80TO：80MAP：21TO：21MAP：53TO：53MAP：25TO：25http://防火墻的網(wǎng)絡(luò)地址映射Internet內(nèi)網(wǎng)服務(wù)器的私有地址映4防火墻的基本訪問控制功能HostCHostDAccesslisttoAccesstoblockAccessdefaultpass基于源IP地址基于目的IP地址基于源端口基于目的端口基于時間基于用戶基于流量基于文件基于網(wǎng)址基于MAC地址防火墻的基本訪問控制功能HostCHostDAcce5防火墻與路由器類比路由器主要功能防火墻主要功能路由具有訪問控制功能..防火墻是路由器訪問控制功能的專業(yè)化產(chǎn)品防火墻的路由功能部分環(huán)境替代路由器防火墻的路由功能無法完全取代路由器的路由專業(yè)功能許多環(huán)境中防火墻與路由器同時存在承擔(dān)各自主要功能訪問控制具有路由功能.防火墻與路由器類比路由器主要功能防火墻主要功能路由.6IPS在網(wǎng)絡(luò)中的作用7阻攔已知攻擊（重點）為已知漏洞提供虛擬補?。ㄖ攸c）速率或流量控制行為管理安全域A安全域BIPSIPS可提供有效的、防火墻無法提供的應(yīng)用層安全防護(hù)功能。但為了避免誤報，IPS對未知攻擊的防御能力幾乎沒有IPS在網(wǎng)絡(luò)中的作用7阻攔已知攻擊（重點）安全域A安全域BI入侵防御系統(tǒng)(IPS)8入侵檢測IDS入侵防御IPSIPSIDS在線，流量必須通過IPS旁路，通過鏡像獲得數(shù)據(jù)實時，其時延必須滿足業(yè)務(wù)要求準(zhǔn)實時，可接受秒級時延立刻影響網(wǎng)絡(luò)報文對網(wǎng)絡(luò)及業(yè)務(wù)無直接影響作用范圍有限制監(jiān)控范圍廣入侵防御系統(tǒng)(IPS)與入侵檢測系統(tǒng)(IDS)入侵防御系統(tǒng)(IPS)8入侵檢測IDS入侵防御IPSIPSIIPS的部署獨立部署InternetInternet數(shù)據(jù)系統(tǒng)辦公區(qū)1辦公區(qū)2NetworkTransportSessionPresentationApplicationHANetworkTransportIPS的部署獨立部署InternetInternet數(shù)據(jù)系統(tǒng)9防毒墻過濾垃圾郵件，病毒，蠕蟲?？梢葬槍χ攸c網(wǎng)段進(jìn)行深度的保護(hù)。一般部署在防火墻與服務(wù)器之間。專門的蠕蟲庫進(jìn)行識別，同時還采用入侵防御（IPS）技術(shù)、IP/端口/數(shù)據(jù)包封鎖技術(shù)，優(yōu)化了蠕蟲識別機制，不僅可以過濾已知蠕蟲，還可以在未知蠕蟲爆發(fā)時進(jìn)行攔截。防毒墻過濾垃圾郵件，病毒，蠕蟲?？梢葬槍χ攸c網(wǎng)段進(jìn)行深10防毒墻的功能防毒墻主要功能專注病毒過濾阻斷病毒體傳輸工作范圍ISO2-7層識別數(shù)據(jù)包IP并還原傳輸文件運用病毒分析技術(shù)處置病毒體具有防火墻訪問控制功能模塊防火墻主要功能專注訪問控制控制非授權(quán)訪問工作范圍ISO2-4層識別數(shù)據(jù)包IP對比規(guī)則控制訪問方向不具有病毒過濾功能防毒墻的功能防毒墻主要功能專注病毒過濾阻斷病毒體傳輸工作范圍11WEB應(yīng)用防火墻(WAF)WAF是一款專門針對企業(yè)網(wǎng)站進(jìn)行安全防護(hù)的產(chǎn)品。能夠針對Web應(yīng)用攻擊提供更全面、更精準(zhǔn)的防護(hù)，尤其對一些可以"繞過"傳統(tǒng)防火墻和IPS的攻擊方法，可以精準(zhǔn)地阻斷。正因如此，WAF可以對：數(shù)據(jù)盜竊、網(wǎng)頁篡改、網(wǎng)站掛馬、虛假信息傳播、針對客戶端的攻擊等行為，提供完善的解決方案。WAF一般部署在web服務(wù)器的下一跳通常情況下，WAF放在企業(yè)對外提供網(wǎng)站服務(wù)的DMZ區(qū)域或者放在數(shù)據(jù)中心服務(wù)區(qū)域，也可以與防火墻或IPS等網(wǎng)關(guān)設(shè)備串聯(lián)在一起（這種情況較少）。總之，決定WAF部署位置的是WEB服務(wù)器的位置。因為WEB服務(wù)器是WAF所保護(hù)的對象。部署時當(dāng)然要使WAF盡量靠近WEB服務(wù)器。

WEB應(yīng)用防火墻(WAF)WAF是一款專門針對企業(yè)網(wǎng)站進(jìn)行安12網(wǎng)頁防篡改WEB加速DDOS攻擊防護(hù)漏洞掃描敏感信息過濾WEB攻擊防護(hù)狀態(tài)監(jiān)控告警

WAF網(wǎng)站效能分析WAF的功能及作用網(wǎng)頁防篡改WEB加速DDOS攻擊防護(hù)漏洞掃描敏感信息過濾WE13在線部署web服務(wù)器群交換機終端WAFInternetInternet網(wǎng)用戶單位內(nèi)網(wǎng)IP：/27橋IP：/27IP：0/23WAF的部署在線部署web服務(wù)器群交換機終端WAFInternetInt14旁路部署：服務(wù)器群交換機終端WAFInternetInternet網(wǎng)用戶單位內(nèi)網(wǎng)路由器WAF的部署旁路部署：服務(wù)器群交換機終端WAFInternetInter15網(wǎng)閘物理層面的網(wǎng)絡(luò)安全隔離對網(wǎng)絡(luò)地隔離是通過網(wǎng)閘隔離硬件實現(xiàn)兩個網(wǎng)絡(luò)在鏈路層斷開，但是為了交換數(shù)據(jù)，隔離硬件在兩個網(wǎng)絡(luò)對應(yīng)的硬件上進(jìn)行切換，通過對硬件上的存儲芯片的讀寫，完成數(shù)據(jù)的交換。防止已知與未知的木馬程序通常見到的木馬大部分是基于TCP的，木馬在工作的時候客戶端和服務(wù)器端需要建立連接，而安全隔離網(wǎng)閘由于使用了自定義的私有協(xié)議（不同于通用協(xié)議）。使得支持傳統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的所有協(xié)議均失效，從原理實現(xiàn)上就切斷所有的TCP連接，包括UDP、ICMP等其他各種協(xié)議，使各種木馬無法通過安全隔離網(wǎng)閘進(jìn)行通訊。從而可以防止未知和已知的木馬攻擊。通過添加功能模塊可以實現(xiàn)訪問控制病毒查殺安全審計網(wǎng)閘的功能：網(wǎng)閘物理層面的網(wǎng)絡(luò)安全隔離對網(wǎng)絡(luò)地隔離是通過網(wǎng)閘隔離硬件實現(xiàn)16內(nèi)網(wǎng)主機系統(tǒng)收到數(shù)據(jù)，進(jìn)行協(xié)議分離，安全檢測，然后發(fā)送給隔離交換模塊隔離交換模塊斷開彼此連接，連接內(nèi)外網(wǎng)主機系統(tǒng)，內(nèi)網(wǎng)主機系統(tǒng)寫數(shù)據(jù)到交換緩沖區(qū)隔離交換模塊斷開內(nèi)外網(wǎng)主機系統(tǒng)，彼此連接，進(jìn)行通訊協(xié)商，完成數(shù)據(jù)交換隔離交換模塊斷開彼此連接，連接內(nèi)外網(wǎng)主機系統(tǒng)，外網(wǎng)主機系統(tǒng)從交換緩存讀取數(shù)據(jù)外網(wǎng)主機系統(tǒng)獲取數(shù)據(jù)，進(jìn)行數(shù)據(jù)重組，安全檢測，與外網(wǎng)主機建立連接從外網(wǎng)往內(nèi)網(wǎng)交換數(shù)據(jù)，工作流程相同1~5隔離交換模塊內(nèi)網(wǎng)主機系統(tǒng)外網(wǎng)主機系統(tǒng)可信任網(wǎng)絡(luò)不可信任網(wǎng)絡(luò)數(shù)據(jù)隔離交換的過程內(nèi)網(wǎng)主機系統(tǒng)收到數(shù)據(jù)，進(jìn)行協(xié)議分離，安全檢測，然后發(fā)送給隔離17網(wǎng)閘與傳統(tǒng)隔離設(shè)備的對比對比項目

傳統(tǒng)隔離設(shè)備

安全隔離網(wǎng)閘硬件結(jié)構(gòu)

單主機

“2+1”結(jié)構(gòu)操作系統(tǒng)

單一OS

兩主機系統(tǒng)各有獨立OS協(xié)議處理

采用在OSI協(xié)議棧的2-7層進(jìn)行包過濾

網(wǎng)閘采用自身定義的私有通信協(xié)議，避免了基于OSI7層模型攻擊安全機制

簡單的進(jìn)行包頭檢查

綜合了訪問控制、內(nèi)容過濾、抗攻擊、硬件隔離等安全防護(hù)技術(shù)管理安全

攻擊者獲得了管理權(quán)限，可調(diào)整防火墻的安全策略

兩主機系統(tǒng)分別有獨立的管理接口，安全策略分別下達(dá)，不可能被控制網(wǎng)閘與傳統(tǒng)隔離設(shè)備的對比對比項目傳統(tǒng)隔離設(shè)備安全隔離網(wǎng)閘18網(wǎng)閘的部署位置網(wǎng)閘的部署位置19上網(wǎng)行為管理上網(wǎng)行為控制，規(guī)范員工上網(wǎng)行為，提高工作效率強大的監(jiān)控和審計，保護(hù)內(nèi)部數(shù)據(jù)安全、防止機密信息泄漏

流量控制和帶寬管理，優(yōu)化帶寬資源的使用

海量日志存儲、豐富的報表功能，為組織決策提供最有效的數(shù)據(jù)支持該設(shè)備一般部署在網(wǎng)絡(luò)的出口，對內(nèi)部網(wǎng)絡(luò)連接到互聯(lián)網(wǎng)的數(shù)據(jù)進(jìn)行采集，分析，和識別。實時記錄內(nèi)網(wǎng)用戶的上網(wǎng)行為，過濾不良信息。并對相關(guān)的上網(wǎng)的行為，發(fā)送和接收的相關(guān)內(nèi)容進(jìn)行控制，存儲，分析和查詢。上網(wǎng)行為管理上網(wǎng)行為控制，規(guī)范員工上網(wǎng)行為，提高工作效率20上網(wǎng)行為管理在網(wǎng)絡(luò)中的作用流量監(jiān)控日志審查統(tǒng)計用戶管理行為管理上網(wǎng)行為管理在網(wǎng)絡(luò)中的作用流量監(jiān)控日志審查統(tǒng)計用戶管理行為管21上網(wǎng)行為管理功能產(chǎn)品功能備注應(yīng)用控制基于數(shù)據(jù)包特征碼的應(yīng)用識別技術(shù)，識別超過300多種當(dāng)前主流應(yīng)用，定義所允許，禁止使用的某些應(yīng)用(如p2p下載，p2p流媒體，IM軟件，網(wǎng)絡(luò)游戲，炒股軟件等）。內(nèi)容過濾對于常用的應(yīng)用（如郵件，F(xiàn)TP)等的內(nèi)容進(jìn)行關(guān)鍵字的檢測，對出現(xiàn)關(guān)鍵字的則進(jìn)行過濾。網(wǎng)址控制用于定義所允許，禁止訪問的網(wǎng)站，可以手動添加網(wǎng)址類型。網(wǎng)頁搜索記錄搜索的關(guān)鍵字，進(jìn)行的控制可以是禁止，記錄。應(yīng)用審計分為即時通信審計，郵件發(fā)送審計，郵件接收審計，發(fā)帖審計流量控制控制用戶，應(yīng)用的流量，可以支持動態(tài)流量，靜態(tài)流量的設(shè)置上網(wǎng)行為管理功能產(chǎn)品功能備注應(yīng)用控制基于數(shù)據(jù)包特征碼的應(yīng)用識22部署的位置…………..上網(wǎng)行為管理網(wǎng)關(guān)…..管控端內(nèi)網(wǎng)受控終端內(nèi)網(wǎng)免監(jiān)控終端用戶管理應(yīng)用識別控制流量管理網(wǎng)頁訪問實時監(jiān)控QQ：596***72無法登陸Internet部署的位置…………..上網(wǎng)行為管理網(wǎng)關(guān)…..管控23總結(jié)防火墻