《网络安全设备功能及部署方式共25页》由会员分享,可在线阅读,更多相关《网络安全设备功能及部署方式共25页(25页珍藏版)》请在金锄头文库上搜索。
1、安全设备功能及部署方式介绍XX1主流安全设备概括防火墙入侵防御系统(IPS)防毒墙WEB应用防火墙(WAF)网闸上网行为管理2防火墙基本功能基本功能地址转换地址转换访问控制访问控制VLAN支持IP/MAC绑定带宽管理(QoS)入侵检测和攻击防御用户认证动态IP环境支持数据库长连接应用支持路由支持ADSL拨号功能SNMP网管支持日志审计高可用性扩展功能展功能防病毒VPNIPSEC VPNPPTP/L2TP3防火墙的网络地址映射Internetv 内网服务器的私有地址映射成公网IPv 隐藏内部网络的结构192.168.1.612.4.1.5202.102.1.3MAP 192.168.1.2:80
2、 TO 202.102.1.3:80MAP 192.168.1.3:21 TO 202.102.1.3:21MAP 192.168.1.4:53 TO 202.102.1.3:53MAP 192.168.1.5:25 TO 202.102.1.3:25http:/202.102.1.3192.168.1.2192.168.1.3192.168.1.4192.168.1.54防火墙的基本访问控制功能Host C Host D Access list 192.168.1.3 to 202.2.33.2Access 202.1.2.3 to 192.168.1.3 blockAccess defau
3、lt passv 基于源IP地址v 基于目的IP地址v 基于源端口v 基于目的端口v 基于时间v基于用户v 基于流量v 基于文件v 基于网址v 基于MAC地址5防火墙与路由器类比路由器主要功能路由器主要功能防火墙主要功能防火墙主要功能路由具有访问控制功能. 防火墙是路由器访问控制功能的专业化产品 防火墙的路由功能部分环境替代路由器 防火墙的路由功能无法完全取代路由器的路由专业功能 许多环境中防火墙与路由器同时存在承担各自主要功能访问控制具有路由功能.6IPS在网络中的作用阻阻拦已知攻已知攻击(重点)(重点)为已知漏洞提供虚已知漏洞提供虚拟补丁(重点)丁(重点)速率或流量控制速率或流量控制行行为
4、管理管理安全域A安全域BIPSIPS可提供有效的、防火可提供有效的、防火墙无法提供的无法提供的应用用层安全防安全防护功能。功能。但但为了避免了避免误报,IPS对未知攻未知攻击的防御能力几乎没有的防御能力几乎没有7入侵防御系统(IPS)入侵检测入侵检测IDSIDS入侵防御入侵防御IPSIPS入侵防御系统(IPS)与入侵检测系统(IDS)8IPS的部署独立部署独立部署独立部署独立部署InternetInternetInternet数据系统数据系统数据系统数据系统办公区办公区办公区办公区1 1办公区办公区办公区办公区2 2NetworkNetworkNetworkNetworkTransportTr
5、ansportTransportTransportSessionSessionSessionSessionPresentationPresentationPresentationPresentationApplicationApplicationApplicationApplicationHAHAHAHANetworkNetworkNetworkNetworkTransportTransportTransportTransport9防毒墙过滤垃圾邮件,病毒,蠕虫。可以针对重点网段进行深度的保护。一般部署在防火墙与服务器之间。专门的蠕虫库进行识别,同时还采用入侵防御(IPS)技术、IP/端口/数
6、据包封锁技术,优化了蠕虫识别机制,不仅可以过滤已知蠕虫,还可以在未知蠕虫爆发时进行拦截。10防毒墙的功能11WEB应用防火墙(WAF)WAF是一款专门针对企业网站进行安全防护的产品。能够针对Web应用攻击提供更全面、更精准的防护,尤其对一些可以绕过传统防火墙和IPS的攻击方法,可以精准地阻断。正因如此,WAF可以对:数据盗窃、网页篡改、网站挂马、虚假信息传播、针对客户端的攻击等行为,提供完善的解决方案。WAF一般部署在web服务器的下一跳通常情况下,WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域,也可以与防火墙或IPS等网关设备串联在一起(这种情况较少)。总之,决定WAF部
7、署位置的是WEB服务器的位置。因为WEB服务器是WAF所保护的对象。部署时当然要使WAF尽量靠近WEB服务器。12网页防篡改WEB加速DDOS攻击防护漏洞扫描敏感信息过滤WEB攻击防护状态监控告警 WAF网站效能分析WAF的功能及作用13在在线部署部署web服务器群交换机终端WAFInternetInternet网用户单位内网IP:124.124.124.1/27桥IP:124.124.124.2/27IP:12.12.12.10/23WAF的部署14旁路部署:旁路部署:服务器群交换机终端WAFInternetInternet网用户单位内网路由器WAF的部署15网闸物理物理层面的网面的网络安全
8、隔离安全隔离对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但是为了交换数据,隔离硬件在两个网络对应的硬件上进行切换,通过对硬件上的存储芯片的读写,完成数据的交换。防止已知与未知的木防止已知与未知的木马程序程序通常见到的木马大部分是基于TCP的,木马在工作的时候客户端和服务器端需要建立连接,而安全隔离网闸由于使用了自定义的私有协议(不同于通用协议)。使得支持传统网络结构的所有协议均失效,从原理实现上就切断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。通通过添加功能模添加功能模块可以可以实现访问控制病毒查杀
9、安全审计网网闸的功能:的功能:16内网主机系统收到数据,进行协议分离,安全检测,然后发送给隔离交换模块隔离交换模块断开彼此连接,连接内外网主机系统,内网主机系统写数据到交换缓冲区隔离交换模块断开内外网主机系统,彼此连接,进行通讯协商,完成数据交换隔离交换模块断开彼此连接,连接内外网主机系统,外网主机系统从交换缓存读取数据外网主机系统获取数据,进行数据重组,安全检测,与外网主机建立连接从外网往内网交换数据,工作流程相同15隔离交隔离交换模模块内网主机系内网主机系统外网主机系外网主机系统可可 信信 任任 网网 络不不 可可 信信 任任 网网 络数据隔离交换的过程17网闸与传统隔离设备的对比18网闸
10、的部署位置19上网行为管理上网行为控制,规范员工上网行为,提高工作效率强大的监控和审计,保护内部数据安全、防止机密信息泄漏流量控制和带宽管理,优化带宽资源的使用海量日志存储、丰富的报表功能,为组织决策提供最有效的数据支持该设备一般部署在网络的出口,对内部网络连接到互联网的数据进行采集,分析,和识别。实时记录内网用户的上网行为,过滤不良信息。并对相关的上网的行为,发送和接收的相关内容进行控制,存储,分析和查询。20上网行为管理在网络中的作用流量监控日志审查统计用户管理行为管理21上网行为管理功能22部署的位置.上网行为管理网关.管控端内网受控终端内网免监控终端QQ:596*72Internet23 总结防火墙=访问控制与NAT入侵防御系统(IPS)=拦截已知的攻击防毒墙=专业过滤病毒WEB应用防火墙(WAF)=专业防护(web)安全网闸=通过硬件隔离网络,拦截未知的木马程序上网行为管理=规范员工的上网行为24谢 谢!25
