【NISP一級】3.3 邊界安全防護設備

1. IPS(入侵防御系統)

• 入侵防御系統(IPS)是結合了入侵檢測、防火墻等基礎機制的安全產品，通過對網絡流量進行分析，檢測入侵行為并產生響應以中斷入侵，從而保護組織機構信息系統的安全。
• 入侵防御系統集檢測、 防御與一體，對明確判斷為攻擊的行為,會采取措施進行阻斷，無需人員介入，因此也可能由于誤報導致將正常的用戶行為進行攔截，因此入侵防御系統是一種側重風險控制的解決方案。
• 入侵防御系統的優勢在于能對入侵的行為實現及時的阻斷。
• 傳統的防火墻、入侵檢測防護體系中，入侵檢測發現攻擊行為并產生報警后，還需要防火墻管理人員設置針對性的策略對攻擊源進行封堵，整個流程使得防御相對攻擊檢測有所滯后。為了應對這一問題，部分廠家將入侵檢測與防火墻實現聯動，入侵檢測發現的攻擊通知防火墻進行阻斷，但是由于缺乏相應的標準，需要安全廠商相互的協商接口，使得入侵檢測與防火墻聯動。在實際應用中難以推廣。
• 入侵防御系統通常采用串接的方式部署在網絡中，在檢測到入侵行為時，根據策略實時對入侵的攻擊源和攻擊流量進行阻攔，從而極大的降低了入侵的危害。

2. 網閘(物理隔離系統)

• 網閘也稱物理隔離系統或安全隔離與信息交換系統，是為了滿足我國涉及國家秘密的計算機系統必須與互聯網物理隔離的要求的前提下，提供數據交換服務的一類安全產品。
• 網閘通常由兩個獨立的系統分別連接可信網絡(例如涉密網)和非可信網絡(互聯網)，兩個相互獨立的系統之間采用特定的安全隔離組件進行連接。安全隔離組件由隔離開關和數據暫存區域構成，隔離開關是定制研發的安全組件,將數據暫存區分別連接到可信網絡和非可信網絡。

• 隔離開關同一時間只能連接兩個獨立系統之一，不能同時連接兩個系統，并且隔離開關的連接的斷開不受任何的軟件控制，周期性的在兩個系統之間切換，所以網閘是一款能夠實現物理隔離的網絡安全設備，符合國家保密局于2000年1月發布的《計算機信息系統國際互聯網保密管理規定》。

• 組成：外部處理單元、內部處理單元、仲裁處理單元當數據需要從外部網絡(非可信網絡)傳送到內部網絡(可信網絡)時，由連接到外部網絡的系統將數據復制到數據暫存區(隔離開關將暫存區連接到非可信系統時)，當一個周期結束后，隔離開關切換，將暫存區從連接非可信區域的系統斷開，接入到連接內部網絡的系統中，由連接內部網絡的系統從暫存區中將數據讀取出來，從而實現數據的傳遞。

• 為了保障安全，網閘設備通常還集成了其他的安全機制，例如集成了防病毒功能,可對交換的數據進行檢測，避免其中攜帶的計算機病毒導致安全風險，集成文件過濾機制，對交換數據的類型進行過濾，僅允許特定類型的數據文件通過，不允許交換的數據中有可執行程序，避免木馬病毒偽裝成數據通過網閘進入可信網絡等。

• 網閘雖然最初是為物理隔離交換數據而設計，但隨著應用的不斷發展，也逐步誕生了協議隔離等其它不同的技術，發展成為比防火墻更高安全級別的網絡設備，用于保護要求較高的網絡與其他不可信網絡之間進行數據交換。它與防火墻的定位和應用場景不同，是互補的網絡安全產品而不能進行相互取代。
• 防火墻是實現邏輯隔離，在數據交換時會話雙方直接或間接建立了基于通信協議的會話，防火墻僅根據規則對會話是否允許進行管理，符合規則的情況下雙方就能進行數據交換，會話時雙方是實時連接的。而網閘是物理隔離或協議隔離，網閘中的專有硬件將會話雙方從物理層或鏈路層斷開的，因此會話雙方是非實時連接的。
• 網閘的局限性：由于網閘的技術特點上非實時連接，需要專有硬件，因此對應用的支持有限，通用性方面不如防火墻。
• 網閘的應用定位：網閘作為高安全級別要求的邊界防護產品，更注重內部可信網絡的安全防護，是風險優先的安全防護產品，目前已廣泛在公安、交警、消防、銀行、國土資源等領域廣泛使用。

3. 上網行為管理

• 上網行為管理是對內部網絡用戶的互聯網行為進行控制和管理的邊界網絡安全產品，主要為了解決日益增長的互聯網濫用及非法互聯網信息防護問題。
• 上網行為管理設備的作用：在組織機構的互聯網出口處部署上網行為管理產品，能有效的防止內部人員接觸非法信息、惡意信息，避免國家、企業秘密或敏感信息泄露，并可對內部人員的互聯網訪問行為進行實時監控，對網絡流量資源進行管理，對提高工作效率有極大的幫助。
• 上網行為管理設備的應用：適用于需對內部訪問外部行為進行內容管控與審計的機構。
• 上網行為管理設備的功能:
  • 上網身份管控
  • 對網頁的訪問過濾及互聯網瀏覽內容管控
  • 網絡應用控制及內容管控
  • 帶寬及流量管理
  • 互聯網傳輸數據審計
  • 用戶行為分析
  • ……

4. 防病毒網關

• 傳統的針對惡意代碼進行防御的方案是在終端進行防護，通過在計算機終端.上部署單機或企業版的防病毒軟件對進入終端的惡意代碼進行檢測和查殺。基于終端的病毒防護方式存在以下安全不足：
  • 特征庫升級管理問題
  • 終端防病毒存在防護短板
• 防病毒網關是一種對惡意代碼進行過濾的邊界網絡安全防護設備，通過對進出網絡中的數據進行檢測，發現其中存在的惡意代碼并進行查殺，能夠阻止病毒通過網頁、郵件、即時通信等互聯網應用進入受保護的網絡中，形成與終端放病毒軟件互補的安全防護能力。
• 防病毒網關設備的優勢
  • 病毒庫只需要更新一套
  • 很難被惡意代碼停止
  • 通過和終端保護使用不同廠商的產品，能夠形成異構保護

5. UTM(統一威脅管理系統)

• 統一威脅管理系統(UTM)是將防火墻、防病毒、入侵檢測、上 網行為管理等安全技術及功能集成于一體的網絡安全設備。
• UTP的優勢：
  • 資源整合帶來的低成本
  • 模塊化管理，比較容易使用
  • 配置工作量相對較小，能夠提高安全管理人員的工作效率
• UTP的局限性:
  • 功能集成帶來了風險集中，不符合“縱深防御"的安全管理思想
  • 功能集成帶來的性能瓶頸
  • 功能集成帶來的系統復雜性、不同模塊的協作問題
• UTM的應用場景:針對預算有限，但需要較全面防護能力的中小型組織機構。

6. 安全防護配置

• 制定操作系統安全策略
• 關閉操作系統不必要的服務
• 關閉系統不必要的端口
• 開啟系統審核策略
• 開啟操作系統口令策略
• 下載操作系統最新補丁
• 安裝防火墻和安裝殺毒軟件等
  • 殺毒軟件功能有監控識別、病毒掃描和清除、數據恢復。

總結

以上是生活随笔為你收集整理的【NISP一级】3.3 边界安全防护设备的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。