網絡安全等級保護網絡設備、安全設備知識點
1、防火(huǒ)牆( Firewall)
定義:相信大(dà)家(jiā)都知道(dào)防火(huǒ)牆是幹什麽用的, 我覺得(de)需要特别提醒一下,防火(huǒ)牆抵禦的是外部的攻擊,并不能對內(nèi)部的病毒 ( 如ARP病毒 ) 或攻擊沒什麽太大(dà)作(zuò)用。
功能:防火(huǒ)牆的功能主要是兩個(gè)網絡之間(jiān)做(zuò)邊界防護, 企業中更多(duō)使用的是企業內(nèi)網與互聯網的NAT、包過濾規則、端口映射等功能。生(shēng)産網與辦公網中做(zuò)邏輯隔離使用, 主要功能是包過濾規則的使用。
部署方式:網關模式、透明(míng)模式 :
網關模式是現在用的最多(duō)的模式,可(kě)以替代路由器(qì)并提供更多(duō)的功能,适用于各種類型企業透明(míng)部署是在不改變現有(yǒu)網絡結構的情況下,将防火(huǒ)牆以透明(míng)網橋的模式串聯到企業的網絡中間(jiān),通(tōng)過包過濾規則進行(xíng)訪問控制(zhì),做(zuò)安全域的劃分。 至于什麽時(shí)候使用網關模式或者使用透明(míng)模式,需要根據自身需要決定,沒有(yǒu)絕對的部署方式。需不需要将服務器(qì)部署在 DMZ區(qū),取決于服務器(qì)的數(shù)量、重要性。
總之怎麽部署都是用戶自己的選擇!
高(gāo)可(kě)用性:為(wèi)了保證網絡可(kě)靠性,現在設備都支持主 - 主、主- 備,等各種部署。
2、防毒牆
定義:相對于防毒牆來(lái)說,一般都具有(yǒu)防火(huǒ)牆的功能, 防禦的對象更具有(yǒu)針對性,那(nà)就是病毒。
功能:同防火(huǒ)牆,并增加病毒特征庫,對數(shù)據進行(xíng)與病毒特征庫進行(xíng)比對,進行(xíng)查殺病毒。
部署方式:同防火(huǒ)牆,大(dà)多(duō)數(shù)時(shí)候使用透明(míng)模式部署在防火(huǒ)牆或路由器(qì)後或部署在服務器(qì)之前,進行(xíng)病毒防範與查殺。
3、入侵防禦 (IPS)
定義:相對于防火(huǒ)牆來(lái)說,一般都具有(yǒu)防火(huǒ)牆的功能,防禦的對象更具有(yǒu)針對性, 那(nà)就是攻擊。防火(huǒ)牆是通(tōng)過對五元組進行(xíng)控制(zhì),達到包過濾的效果,而入侵防禦 IPS,則是将數(shù)據包進行(xíng)檢測 (深度包檢測 DPI)對蠕蟲、病毒、木馬、拒絕服務等攻擊進行(xíng)查殺。
功能:同防火(huǒ)牆,并增加 IPS 特征庫,對攻擊行(xíng)為(wèi)進行(xíng)防禦。
部署方式:同防毒牆。
特别說明(míng)一下:防火(huǒ)牆允許符合規則的數(shù)據包進行(xíng)傳輸,對數(shù)據包中是否有(yǒu)病毒代碼或攻擊代碼并不進行(xíng)檢查,而防毒牆和(hé)入侵防禦則通(tōng)過更深的對數(shù)據包的檢查彌補了這一點。
4、統一威脅安全網關 (UTM)
定義:簡單的理(lǐ)解,把威脅都統一了,其實就是把上(shàng)面三個(gè)設備整合到一起了。
功能:同時(shí)具備防火(huǒ)牆、防毒牆入侵防護三個(gè)設備的功能。
部署方式:因為(wèi)可(kě)以代替防火(huǒ)牆功能,所以部署方式同防火(huǒ)牆
現在大(dà)多(duō)數(shù)廠商,防病毒和(hé)入侵防護已經作(zuò)為(wèi)防火(huǒ)牆的模塊來(lái)用,在不考慮硬件性能以及費用的情況下,開(kāi)啓了防病毒模塊和(hé)入侵防護模塊的防火(huǒ)牆,和(hé)UTM其實是一樣的。至于為(wèi)什麽網絡中同時(shí)會(huì)出現 UTM和(hé)防火(huǒ)牆、防病毒、入侵檢測同時(shí)出現。
第一,實際需要,在服務器(qì)區(qū)前部署防毒牆, 防護外網病毒的同時(shí),也可(kě)以檢測和(hé)防護內(nèi)網用戶對服務器(qì)的攻擊。第二,花(huā)錢(qián),大(dà)家(jiā)都懂的。總之還(hái)是那(nà)句話(huà),設備部署還(hái)是看用戶。
5、IPSEC VPN
把 IPSECVPN放到網絡安全防護裏,其實是因為(wèi)大(dà)多(duō)數(shù)情況下, IPSEC VPN的使用都是通(tōng)過上(shàng)述設備來(lái)做(zuò)的,而且通(tōng)過加密隧道(dào)訪問網絡,本身也是對網絡的一種安全防護。
定義:采用 IPSec 協議來(lái)實現遠程接入的一種 VPN技(jì)術(shù),至于什麽是 IPSEC 什麽是 VPN,小(xiǎo)夥伴們請(qǐng)自行(xíng)百度吧(ba)
功能:通(tōng)過使用 IPSECVPN使客戶端或一個(gè)網絡與另外一個(gè)網絡連接起來(lái),多(duō)數(shù)用在分支機構與總部連接。
部署方式:網關模式、旁路模式
鑒于網關類設備基本都具備 IPSECVPN功能,所以很(hěn)多(duō)情況下都是直接在網關設備上(shàng)啓用 IPSEC VPN功能,也有(yǒu)個(gè)别情況新購買IPSEC VPN設備,在對現有(yǒu)網絡沒有(yǒu)影(yǐng)響的情況下進行(xíng)旁路部署,部署後需要對IPSECVPN設備放通(tōng)安全規則,做(zuò)端口映射等等。也可(kě)以使用 windows server 部署 VPN,需要的同學也請(qǐng)自行(xíng)百度 ~相比硬件設備,自己部署沒有(yǒu)什麽花(huā)費,但(dàn) IPSECVPN受操作(zuò)系統影(yǐng)響,相比硬件設備穩定性會(huì)差一些(xiē)。
以上(shàng)設備常見廠家(jiā)( 不排名啊不排名 )
JuniperCheck Point Fortinet (飛塔)思科 天融信 山(shān)石網科 啓明(míng)星辰 深信服 綠盟網禦星雲 網禦神州 華賽 梭子魚 迪普H3C
6、 網閘
定義:全稱安全隔離網閘。安全隔離網閘是一種由帶有(yǒu)多(duō)種控制(zhì)功能專用硬件在電(diàn)路上(shàng)切斷網絡之間(jiān)的鏈路層連接, 并能夠在網絡間(jiān)進行(xíng)安全适度的應用數(shù)據交換的網絡安全設備
功能:主要是在兩個(gè)網絡之間(jiān)做(zuò)隔離并需要數(shù)據交換,網閘是具有(yǒu)中國特色的産品。
部署方式:兩套網絡之間(jiān)
防火(huǒ)一般在兩套網絡之間(jiān)做(zuò)邏輯隔離, 而網閘符合相關要求,可(kě)以做(zuò)物理(lǐ)隔離,阻斷網絡中 tcp 等協議,使用私有(yǒu)協議進行(xíng)數(shù)據交換,一般企業用的比較少(shǎo), 在對網絡要求稍微高(gāo)一些(xiē)的單位會(huì)用到網閘。
7、SSL VPN
定義:采用 SSL協議的一種 VPN技(jì)術(shù),相比 IPSEC VPN使用起來(lái)要更加方便,畢竟 SSL VPN使用浏覽器(qì)即可(kě)使用。
功能:随着移動辦公的快速發展,SSL VPN的使用也越來(lái)越多(duō),除了移動辦公使用,通(tōng)過浏覽器(qì)登錄SSLVPN連接到其他網絡也十分方便, IPSEC VPN更傾向網絡接入,而 SSL VPN更傾向對應用發布
部署:SSL VPN的部署一般采用旁路部署方式,在不改變用戶網絡的狀況下實現移動辦公等功能。
8、WAF (Web Application Firewall) web 應用防護系統
定義:名稱就可(kě)以看出,WAF的防護方面是 web應用,說白了防護的對象是網站(zhàn)及 B/S 結構的各類系統。
功能:針對 HTTP/HTTPS協議進行(xíng)分析,對 SQL注入攻擊、XSS攻擊 Web攻擊進行(xíng)防護,并具備基于 URL 的訪問控制(zhì); HTTP協議合規;Web敏感信息防護;文件上(shàng)傳下載控制(zhì);Web 表單關鍵字過濾。網頁挂馬防護,Webshell 防護以及 web應用交付等功能。
部署:通(tōng)常部署在 web應用服務器(qì)前進行(xíng)防護
IPS 也能檢測出部分web攻擊,但(dàn)沒有(yǒu)WAF針對性強,所以根據防護對象不同選用不同設備,效果更好。
9、網絡安全審計(jì)
定義:審計(jì)網絡方面的相關內(nèi)容
功能:針對互聯網行(xíng)為(wèi)提供有(yǒu)效的行(xíng)為(wèi)審計(jì)、內(nèi)容審計(jì)、行(xíng)為(wèi)報警、行(xíng)為(wèi)控制(zhì)及相關審計(jì)功能。滿足用戶對互聯網行(xíng)為(wèi)審計(jì)備案及安全保護措施的要求,提供完整的上(shàng)網記錄,便于信息追蹤、系統安全管理(lǐ)和(hé)風險防範。
部署:采用旁路部署模式,通(tōng)過在核心交換機上(shàng)設置鏡像口,将鏡像數(shù)據發送到審計(jì)設備。
10、數(shù)據庫安全審計(jì)
定義:數(shù)據庫安全審計(jì)系統主要用于監視(shì)并記錄對數(shù)據庫服務器(qì)的各類操作(zuò)行(xíng)為(wèi)。
功能:審計(jì)對數(shù)據庫的各類操作(zuò),精确到每一條 SQL命令,并有(yǒu)強大(dà)的報表功能。
部署:采用旁路部署模式,通(tōng)過在核心交換機上(shàng)設置鏡像口,将鏡像數(shù)據發送到審計(jì)設備。
11、日志(zhì)審計(jì)
定義:集中采集信息系統中的系統安全事件、用戶訪問記錄、系統運行(xíng)日志(zhì)、系統運行(xíng)狀态等各類信息,經過規範化、過濾、歸并和(hé)告警分析等處理(lǐ)後,以統一格式的日志(zhì)形式進行(xíng)集中存儲和(hé)管理(lǐ),結合豐富的日志(zhì)統計(jì)彙總及關聯分析功能,實現對信息系統日志(zhì)的全面審計(jì)。
功能:通(tōng)過對廣西網絡設備、安全設備、主機和(hé)應用系統日志(zhì)進行(xíng)全面的标準化處理(lǐ),及時(shí)發現各種安全威脅、異常行(xíng)為(wèi)事件,為(wèi)管理(lǐ)人(rén)員提供全局的視(shì)角,确保客戶業務的不間(jiān)斷運營安全部署:旁路模式部署。通(tōng)常由設備發送日志(zhì)到審計(jì)設備, 或在服務器(qì)中安裝代理(lǐ),由代理(lǐ)發送日志(zhì)到審計(jì)設備。
12、運維安全審計(jì) ( 堡壘機 )
定義:在一個(gè)特定的網絡環境下, 為(wèi)了保障網絡和(hé)數(shù)據不受來(lái)自內(nèi)部合法用戶的不合規操作(zuò)帶來(lái)的系統損壞和(hé)數(shù)據洩露, 而運用各種技(jì)術(shù)手段實時(shí)收集和(hé)監控網絡環境中每一個(gè)組成部分的系統狀态、安全事件、網絡活動,以便集中報警、記錄、分析、處理(lǐ)的一種技(jì)術(shù)手段。
功能:主要是針對運維人(rén)員維護過程的全面跟蹤、 控制(zhì)、記錄、回放,以幫助內(nèi)控工作(zuò)事前規劃預防、事中實時(shí)監控、違規行(xíng)為(wèi)響應、事後合規報告、事故追蹤回放。
部署:旁路模式部署。使用防火(huǒ)牆對服務器(qì)訪問權限進行(xíng)限制(zhì),隻能通(tōng)過堡壘機對南甯網絡設備/服務器(qì)/數(shù)據庫等系統操作(zuò)。
可(kě)以看出審計(jì)産品最終的目的都是審計(jì),隻不過是審計(jì)的內(nèi)容不同而已,根據不同需求選擇不同的審計(jì)産品,一旦出現攻擊、非法操作(zuò)、違規操作(zuò)、誤操作(zuò)等行(xíng)為(wèi),對事後處理(lǐ)提供有(yǒu)利證據。
13、入侵檢測( IDS)
定義:對入侵攻擊行(xíng)為(wèi)進行(xíng)檢測
功能:通(tōng)過對計(jì)算(suàn)機網絡或計(jì)算(suàn)機系統中若幹關鍵點收集信息并對其進行(xíng)分析, 從中發現網絡或系統中是否有(yǒu)違反安全策略的行(xíng)為(wèi)和(hé)被攻擊的迹象
部署:采用旁路部署模式,通(tōng)過在核心交換機上(shàng)設置鏡像口,将鏡像數(shù)據發送到入侵檢測設備。
入侵檢測雖然是入侵攻擊行(xíng)為(wèi)檢測, 但(dàn)監控的同時(shí)也對攻擊和(hé)異常數(shù)據進行(xíng)了審計(jì),所以把入侵檢測系統也放到了審計(jì)裏一起介紹。入侵檢測系統是等保三級中必配設備。
14、上(shàng)網行(xíng)為(wèi)管理(lǐ)
定義:顧名思義,就是對上(shàng)網行(xíng)為(wèi)進行(xíng)管理(lǐ)
功能:對上(shàng)網用戶進行(xíng)流量管理(lǐ)、上(shàng)網行(xíng)為(wèi)日志(zhì)進行(xíng)審計(jì)、對應用軟件或站(zhàn)點進行(xíng)阻止或流量限制(zhì)、關鍵字過濾等
部署:網關部署、透明(míng)部署、旁路部署
網關部署:中小(xiǎo)型企業網絡較為(wèi)簡單,可(kě)使用上(shàng)網行(xíng)為(wèi)管理(lǐ)作(zuò)為(wèi)網關,代替路由器(qì)或防火(huǒ)牆并同時(shí)具備上(shàng)網行(xíng)為(wèi)管理(lǐ)功能
透明(míng)部署:大(dà)多(duō)數(shù)情況下,企業會(huì)選擇透明(míng)部署模式,将設備部署在網關與核心交換之間(jiān),對上(shàng)網數(shù)據進行(xíng)管理(lǐ)
旁路部署:僅需要上(shàng)網行(xíng)為(wèi)管理(lǐ)審計(jì)功能時(shí),也可(kě)選擇旁路部署模式,在核心交換機上(shàng)配置鏡像口将數(shù)據發送給上(shàng)網行(xíng)為(wèi)管理(lǐ)
個(gè)人(rén)覺得(de)上(shàng)網行(xíng)為(wèi)管理(lǐ)應該屬于網絡優化類産品,流控功能是最重要的功能,随着技(jì)術(shù)的發展,微信認證、防便攜式 wifi 等功能不斷完善使之成為(wèi)了網絡管理(lǐ)員的最愛(ài) ~
15、負載均衡
定義:将網絡或應用多(duō)個(gè)工作(zuò)分攤進行(xíng)并同時(shí)完成,一般分為(wèi)鏈路負載和(hé)應用負載 ( 服務器(qì)負載 )
功能:确保用戶的業務應用能夠快速、安全、可(kě)靠地交付給內(nèi)部員工和(hé)外部服務群,擴展網絡設備和(hé)服務器(qì)的帶寬、增加吞吐量、加強網絡數(shù)據處理(lǐ)能力、提高(gāo)網絡的靈活性和(hé)可(kě)用性
部署:旁路模式、網關模式、代理(lǐ)模式
旁路模式:通(tōng)常使用負載均衡進行(xíng)應用負載時(shí),旁路部署在相關應用服務器(qì)交換機上(shàng),進行(xíng)應用負載
網關模式:通(tōng)常使用鏈路負載時(shí),使用網關模式部署
随着各種業務的增加,負載均衡的使用也變得(de)廣泛, web應用負載,數(shù)據庫負載都是比較常見的服務器(qì)負載。鑒于國內(nèi)運營商比較惡心,互聯互通(tōng)問題較為(wèi)嚴重,使用鏈路負載的用戶也比越來(lái)越多(duō)。
16、漏洞掃描
定義:漏洞掃描是指基于漏洞數(shù)據庫, 通(tōng)過掃描等手段對指定的遠程或者本地計(jì)算(suàn)機系統的安全脆弱性進行(xíng)檢測,發現可(kě)利用的漏洞的一種安全檢測(滲透攻擊)行(xíng)為(wèi)。
功能:根據自身漏洞庫對目标進行(xíng)脆弱性檢測, 并生(shēng)産相關報告,提供漏洞修複意見等。一般企業使用漏洞掃描較少(shǎo),主要是大(dà)型網絡及等、分保檢測機構使用較多(duō)
部署:旁路部署, 通(tōng)常旁路部署在核心交換機上(shàng), 與檢測目标網絡可(kě)達即可(kě)。
17、異常流量清洗
定義:看名字吧(ba)
功能:對異常流量的牽引、 DDoS流量清洗、 P2P帶寬控制(zhì)、流量回注,也是現有(yǒu)針對 DDOS攻擊防護的主要設備
部署:旁路部署
VPN 定義
VPN ( Virtual Private Network )虛拟專用網絡 ,簡單的講就是因為(wèi)一些(xiē)特定的需求, 在網絡與網絡之間(jiān), 或終端與網絡之間(jiān)建立虛拟的專用網絡,通(tōng)過加密隧道(dào)進行(xíng)數(shù)據傳輸 ( 當然也有(yǒu)不加密的 ) ,因其部署方便且具有(yǒu)一定的安全保障,被廣泛運用到各個(gè)網絡環境中。
(二)VPN分類
常見的 VPN有(yǒu) L2TP VPN 、PPTP、VPN、IPSEC、VPN、SSL、VPN以及 MPLS VPN。
MPLS
VPN 運營商使用較多(duō),使用場(chǎng)景多(duō)為(wèi)總部與分支機構之間(jiān)。其他 VPN因部署方便,成本較低(dī)成為(wèi)現在使用最為(wèi)廣泛的 VPN。
L2TPVPN與 PPTP VPN因使用的隧道(dào)協議都屬于二層協議,所以也稱為(wèi)二層 VPN。IPSEC VPN則采用IPSec 協議,屬于三層 VPN。
SSLVPN是以 HTTPS協議為(wèi)基礎 VPN技(jì)術(shù),使用維護簡單安全,成為(wèi) VPN技(jì)術(shù)中的佼佼者
(三)VPN部署與實現方式及應用場(chǎng)景介紹
1、部署模式主要采用網關模式和(hé)旁路模式部署兩種,使用專業VPN硬件設備建立VPN時(shí)多(duō)為(wèi)旁路部署模式, 對現有(yǒu)網絡不需要改動, 即使 VPN設備出現問題也不會(huì)影(yǐng)響現有(yǒu)網絡。使用防火(huǒ)牆 / 路由器(qì)自帶VPN功能建立 VPN時(shí), 随其硬件部署模式部署。
2、實現方式主要有(yǒu)以下幾種 :
(1) 通(tōng)過使用專業 VPN軟件來(lái)建立VPN
優點 : 投入較少(shǎo),部署比較靈活
缺點 : 穩定性受服務器(qì)硬件、操作(zuò)系統等因素影(yǐng)響
(2) 通(tōng)過使用服務器(qì)自行(xíng)架設 VPN服務器(qì)建立 VPN,windows 服務器(qì)為(wèi)主
優點 : 投入較少(shǎo),部署比較靈活, windows 系統自帶
缺點 : 穩定性受服務器(qì)硬件、操作(zuò)系統等因素影(yǐng)響,需自行(xíng)配置
(3) 通(tōng)過使用防火(huǒ)牆 / 路由器(qì)設備自帶 VPN功能建立 VPN。
優點 : 投入較少(shǎo),穩定性好
缺點 : 因使用現有(yǒu)設備自帶 VPN模塊,對 VPN訪問量較大(dà)的需求不建議使用,以免出現設備性能不足影(yǐng)響防火(huǒ)牆 / 路由器(qì)使用。作(zuò)為(wèi)現有(yǒu)設備的自帶模塊,無法滿足用戶特殊要求。部署方式相對固定
(4) 通(tōng)過使用專業的 VPN硬件設備建立 VPN。
優點 : 産品成熟适用于各種 VPN場(chǎng)景應用,功能強大(dà),性能穩定。
缺點 : 比較花(huā)錢(qián) ~~~~~硬件設備需要花(huā)錢(qián), 用戶授權需要花(huā)錢(qián), 反正啥都需要花(huā)錢(qián)
3、讓更多(duō)人(rén)糾結的應該是在何場(chǎng)景下選擇哪種方式來(lái)建立VPN,根據本人(rén)工作(zuò)經驗為(wèi)大(dà)家(jiā)介紹一些(xiē)常見的 VPN應用場(chǎng)景。
場(chǎng)景一 總部與分支機構互聯
大(dà)型企業總部與分支結構通(tōng)常使用 MPLS VPN進行(xíng)互聯,相對于大(dà)型企業中小(xiǎo)型企業則選擇使用投入較低(dī)的 IPSECVPN進行(xíng)互聯。
例如 : 某大(dà)型超配 ( 超市配送 ) 企業,總部與自營大(dà)型超市之間(jiān)使用MPLS VPN進行(xíng)數(shù)據傳輸,總部與自營小(xiǎo)型超市則使用 IPSEC VPN進行(xíng)數(shù)據傳輸。根據各超市數(shù)據傳輸需要選擇不同的 vpn 技(jì)術(shù)相結合使用,節約投入成本的同時(shí)最大(dà)限度的滿足與總部的數(shù)據傳輸。
場(chǎng)景二 移動辦公
網管遠程維護設備、 員工訪問內(nèi)網資源、 老總出差電(diàn)子簽批等移動辦公已成為(wèi)企業信息化建設的重要組成部分,同時(shí)也為(wèi)VPN市場(chǎng)帶來(lái)了巨大(dà)商機。 SSL VPN因其使用維護方便成為(wèi)了移動辦公的不二之選,打開(kāi)浏覽器(qì)即可(kě)使用。在沒有(yǒu) SSLVPN條件下,網管進行(xíng)設備遠程維護則通(tōng)常使用 L2TP VPN或 PPTP VPN。
場(chǎng)景三 遠程應用發布
SSLVPN中的功能,主要針對需要安裝客戶端的 C/S服務訪問需求,手機和(hé)平闆因屏幕大(dà)小(xiǎo)、鼠标、鍵盤使用等因素體(tǐ)驗感欠佳。特定場(chǎng)景下 PC訪問效果較好。
例如 : 某公司财務部門(mén)對使用的财務軟件做(zuò)遠程應用發布,其他用戶無需安裝财務軟件客戶端也可(kě)以方便使用。
場(chǎng)景四 手機APP與 VPN結合
随着手機的普及,大(dà)家(jiā)都希望通(tōng)過手機能解決很(hěn)多(duō)工作(zuò)中的問題,手機 APP解決了遠程應用發布中存在的一些(xiē)使用問題, 但(dàn)考慮到安全方面的問題,用戶希望通(tōng)過手機 APP與 VPN技(jì)術(shù)相結合,方便使用的同時(shí)也降低(dī)了安全風險。
例如 : 某集團 OA手機 APP,直接通(tōng)過互聯網地址映射訪問存在一定安全隐患,配合 VPN技(jì)術(shù)使用,先将手機與集團建立 VPN隧道(dào),再通(tōng)過APP訪問集團內(nèi)部 OA APP服務器(qì)。南甯綜合布線
上(shàng)一篇:三甲醫(yī)院需要部署哪些(xiē)網絡安全設備?
下一篇:安防監控系統中總結的精華知識