生活随笔
收集整理的這篇文章主要介紹了
常见的安全设备
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
1、防火墻
定義防火墻指的是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它可通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。
| 主要功能 | 1、過濾進、出網絡的數據2、防止不安全的協議和服務3、管理進、出網絡的訪問行為4、記錄通過防火墻的信息內容5、對網絡攻擊進行檢測與警告6、防止外部對內部網絡信息的獲取7、提供與外部連接的集中管理 |
| 主要類型 | 1、網絡層防火墻一般是基于源地址和目的地址、應用、協議以及每個IP包的端口來作出通過與否的判斷。防火墻檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火墻就會使用默認規則,一般情況下,默認規則就是要求防火墻丟棄該包,其次,通過定義基于TCP或UDP數據包的端口號,防火墻能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。2、應用層防火墻 針對特別的網絡應用服務協議即數據過濾協議,并且能夠對數據包分析并形成相關的報告。 |
| 主動被動 | 傳統防火墻是主動安全的概念; 因為默認情況下是關閉所有的訪問,然后再通過定制策略去開放允許開放的訪問。 |
| 下一代防火墻(NGFW) | 主要是一款全面應對應用層威脅的高性能防火墻。可以做到智能化主動防御、應用層數據防泄漏、應用層洞察與控制、威脅防護等特性。 下一代防火墻在一臺設備里面集成了傳統防火墻、IPS、應用識別、內容過濾等功能既降低了整體網絡安全系統的采購投入,又減去了多臺設備接入網絡帶來的部署成本,還通過應用識別和用戶管理等技術降低了管理人員的維護和管理成本。 |
| 使用方式 | 防火墻部署于單位或企業內部網絡的出口位置。 |
| 局限性 | 1、不能防止源于內部的攻擊,不提供對內部的保護2、不能防病毒3、不能根據網絡被惡意使用和攻擊的情況動態調整自己的策略本身的防攻擊能力不夠,容易成為被攻擊的首要目標 |
2、IDS(入侵檢測系統)
定義入侵檢測即通過從網絡系統中的若干關鍵節點收集并分析信息,監控網絡中是否有違反安全策略的行為或者是否存在入侵行為。入侵檢測系統通常包含3個必要的功能組件:信息來源、分析引擎和響應組件。
| 工作原理 | 1、信息收集 信息收集包括收集系統、網絡、數據及用戶活動的狀態和行為。入侵檢測利用的信息一般來自:系統和網絡日志文件、非正常的目錄和文件改變、非正常的程序執行這三個方面。 2、信號分析 對收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息,是通過模式匹配、統計分析和完整性分析這三種手段進行分析的。前兩種用于實時入侵檢測,完整性分析用于事后分析。3、告警與響應 根據入侵性質和類型,做出相應的告警與響應。 |
| 主要功能 | 它能夠提供安全審計、監視、攻擊識別和反攻擊等多項功能,對內部攻擊、外部攻擊和誤操作進行實時監控,在網絡安全技術中起到了不可替代的作用。1、實時監測:實時地監視、分析網絡中所有的數據報文,發現并實時處理所捕獲的數據報文;2、安全審計:對系統記錄的網絡事件進行統計分析,發現異常現象,得出系統的安全狀態,找出所需要的證據3、主動響應:主動切斷連接或與防火墻聯動,調用其他程序處理。 |
| 主要類型 | 1、基于主機的入侵檢測系統(HIDS):基于主機的入侵檢測系統是早期的入侵檢測系統結構,通常是軟件型的,直接安裝在需要保護的主機上。其檢測的目標主要是主機系統和系統本地用戶,檢測原理是根據主機的審計數據和系統日志發現可疑事件。 這種檢測方式的優點主要有:信息更詳細、誤報率要低、部署靈活。這種方式的缺點主要有:會降低應用系統的性能;依賴于服務器原有的日志與監視能力;代價較大;不能對網絡進行監測;需安裝多個針對不同系統的檢測系統。 2、基于網絡的入侵檢測系統(NIDS):基于網絡的入侵檢測方式是目前一種比較主流的監測方式,這類檢測系統需要有一臺專門的檢測設備。檢測設備放置在比較重要的網段內,不停地監視網段中的各種數據包,而不再是只監測單一主機。它對所監測的網絡上每一個數據包或可疑的數據包進行特征分析,如果數據包與產品內置的某些規則吻合,入侵檢測系統就會發出警報,甚至直接切斷網絡連接。目前,大部分入侵檢測產品是基于網絡的。 這種檢測技術的優點主要有:能夠檢測那些來自網絡的攻擊和超過授權的非法訪問;不需要改變服務器等主機的配置,也不會影響主機性能;風險低;配置簡單。其缺點主要是:成本高、檢測范圍受局限;大量計算,影響系統性能;大量分析數據流,影響系統性能;對加密的會話過程處理較難;網絡流速高時可能會丟失許多封包,容易讓入侵者有機可乘;無法檢測加密的封包;對于直接對主機的入侵無法檢測出。 |
| 主動被動 | 入侵檢測系統是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。絕大多數 IDS 系統都是被動的。也就是說,在攻擊實際發生之前,它們往往無法預先發出警報。 |
| 使用方式 | 作為防火墻后的第二道防線,適于以旁路接入方式部署在具有重要業務系統或內部網絡安全性、保密性較高的網絡出口處。 |
| 局限性 | 1、誤報率高:主要表現為把良性流量誤認為惡性流量進行誤報。還有些IDS產品會對用戶不關心事件的進行誤報。 2、產品適應能力差:傳統的IDS產品在開發時沒有考慮特定網絡環境下的需求,適應能力差。入侵檢測產品要能適應當前網絡技術和設備的發展進行動態調整,以適應不同環境的需求。 3、大型網絡管理能力差:首先,要確保新的產品體系結構能夠支持數以百計的IDS傳感器;其次,要能夠處理傳感器產生的告警事件;最后還要解決攻擊特征庫的建立,配置以及更新問題。 4、缺少防御功能:大多數IDS產品缺乏主動防御功能。 5、處理性能差:目前的百兆、千兆IDS產品性能指標與實際要求還存在很大的差距。 |
3、IPS(入侵防御系統)
定義入侵防御系統是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。
| 產生背景 | 1、串行部署的防火墻可以攔截低層攻擊行為,但對應用層的深層攻擊行為無能為力。 2、旁路部署的IDS可以及時發現那些穿透防火墻的深層攻擊行為,作為防火墻的有益補充,但很可惜的是無法實時的阻斷。 3、IDS和防火墻聯動:通過IDS來發現,通過防火墻來阻斷。但由于迄今為止沒有統一的接口規范,加上越來越頻發的“瞬間攻擊”(一個會話就可以達成攻擊效果,如SQL注入、溢出攻擊等),使得IDS與防火墻聯動在實際應用中的效果不顯著。**入侵檢測系統(IDS)對那些異常的、可能是入侵行為的數據進行檢測和報警,告知使用者網絡中的實時狀況,并提供相應的解決、處理方法,是一種側重于風險管理的安全產品。**入侵防御系統(IPS)對那些被明確判斷為攻擊行為,會對網絡、數據造成危害的惡意行為進行檢測和防御,降低或是減免使用者對異常狀況的處理資源開銷,是一種側重于風險控制的安全產品。 IDS和IPS的關系,并非取代和互斥,而是相互協作:沒有部署IDS的時候,只能是憑感覺判斷,應該在什么地方部署什么樣的安全產品,通過IDS的廣泛部署,了解了網絡的當前實時狀況,據此狀況可進一步判斷應該在何處部署何類安全產品(IPS等)。 |
| 功能 | 1、入侵防護:實時、主動攔截黑客攻擊、蠕蟲、網絡病毒、后門木馬、Dos等惡意流量,保護企業信息系統和網絡架構免受侵害,防止操作系統和應用程序損壞或宕機。2、Web安全:基于互聯網Web站點的掛馬檢測結果,結合URL信譽評價技術,保護用戶在訪問被植入木馬等惡意代碼的網站時不受侵害,及時、有效地第一時間攔截Web威脅。3、流量控制:阻斷一切非授權用戶流量,管理合法網絡資源的利用,有效保證關鍵應用全天候暢通無阻,通過保護關鍵應用帶寬來不斷提升企業IT產出率和收益率。4、上網監管:全面監測和管理IM即時通訊、P2P下載、網絡游戲、在線視頻,以及在線炒股等網絡行為,協助企業辨識和限制非授權網絡流量,更好地執行企業的安全策略。 |
| 技術特征 | 嵌入式運行:只有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護,實時阻攔所有可疑的數據包,并對該數據流的剩余部分進行攔截。深入分析和控制:IPS必須具有深入分析能力,以確定哪些惡意流量已經被攔截,根據攻擊類型、策略等來確定哪些流量應該被攔截。入侵特征庫:高質量的入侵特征庫是IPS高效運行的必要條件,IPS還應該定期升級入侵特征庫,并快速應用到所有傳感器。 高效處理能力:IPS必須具有高效處理數據包的能力,對整個網絡性能的影響保持在最低水平。 |
| 主要類型 | 1.基于特征的IPS這是許多IPS解決方案中最常用的方法。把特征添加到設備中,可識別當前最常見的攻擊。也被稱為模式匹配IPS。特征庫可以添加、調整和更新,以應對新的攻擊。2. 基于異常的IPS也被稱為基于行規的IPS。基于異常的方法可以用統計異常檢測和非統計異常檢測。3、基于策略的IPS:它更關心的是是否執行組織的安保策略。如果檢測的活動違反了組織的安保策略就觸發報警。使用這種方法的IPS,要把安全策略寫入設備之中。4.基于協議分析的IPS 它與基于特征的方法類似。大多數情況檢查常見的特征,但基于協議分析的方法可以做更深入的數據包檢查,能更靈活地發現某些類型的攻擊。 |
| 主動被動 | IPS傾向于提供主動防護,其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送后才發出警報。 |
| 使用方式 | 串聯部署在具有重要業務系統或內部網絡安全性、保密性較高的網絡出口處。 |
4、漏洞掃描設備
定義漏洞掃描是指基于漏洞數據庫,通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,發現可利用的漏洞的一種安全檢測(滲透攻擊)行為。
| 主要功能 | 可以對網站、系統、數據庫、端口、應用軟件等一些網絡設備應用進行智能識別掃描檢測,并對其檢測出的漏洞進行報警提示管理人員進行修復。同時可以對漏洞修復情況進行監督并自動定時對漏洞進行審計提高漏洞修復效率。1、定期的網絡安全自我檢測、評估安全檢測可幫助客戶最大可能的消除安全隱患,盡可能早地發現安全漏洞并進行修補,有效的利用已有系統,提高網絡的運行效率。2、安裝新軟件、啟動新服務后的檢查由于漏洞和安全隱患的形式多種多樣,安裝新軟件和啟動新服務都有可能使原來隱藏的漏洞暴露出來,因此進行這些操作之后應該重新掃描系統,才能使安全得到保障。3、網絡承擔重要任務前的安全性測試4、網絡安全事故后的分析調查網絡安全事故后可以通過網絡漏洞掃描/網絡評估系統分析確定網絡被攻擊的漏洞所在,幫助彌補漏洞,盡可能多得提供資料方便調查攻擊的來源。5、重大網絡安全事件前的準備重大網絡安全事件前網絡漏洞掃描/網絡評估系統能夠幫助用戶及時的找出網絡中存在的隱患和漏洞,幫助用戶及時的彌補漏洞。 |
| 主要技術 | 1. 主機掃描:確定在目標網絡上的主機是否在線。2. 端口掃描:發現遠程主機開放的端口以及服務。3. OS識別技術:根據信息和協議棧判別操作系統。4. 漏洞檢測數據采集技術:按照網絡、系統、數據庫進行掃描。5.智能端口識別、多重服務檢測、安全優化掃描、系統滲透掃描6.多種數據庫自動化檢查技術,數據庫實例發現技術; |
| 主要類型 | 1.針對網絡的掃描器:基于網絡的掃描器就是通過網絡來掃描遠程計算機中的漏洞。價格相對來說比較便宜;在操作過程中,不需要涉及到目標系統的管理員,在檢測過程中不需要在目標系統上安裝任何東西;維護簡便。 2.針對主機的掃描器:基于主機的掃描器則是在目標系統上安裝了一個代理或者是服務,以便能夠訪問所有的文件與進程,這也使得基于主機的掃描器能夠掃描到更多的漏洞。3.針對數據庫的掃描器:數據庫漏掃可以檢測出數據庫的DBMS漏洞、缺省配置、權限提升漏洞、緩沖區溢出、補丁未升級等自身漏洞。 |
| 使用方式 | 1、獨立式部署:在網絡中只部署一臺漏掃設備,接入網絡并進行正確的配置即可正常使用,其工作范圍通常包含用戶企業的整個網絡地址。用戶可以從任意地址登錄漏掃系統并下達掃描評估任務,檢查任務的地址必須在產品和分配給此用戶的授權范圍內。2、多級式部署:對于一些大規模和分布式網絡用戶,建議使用分布式部署方式。在大型網絡中采用多臺漏掃系統共同工作,可對各系統間的數據共享并匯總,方便用戶對分布式網絡進行集中管理。 |
| 優缺點 | 1、優點 有利于及早發現問題,并從根本上解決安全隱患。2、不足 只能針對已知安全問題進行掃描;準確性和指導性有待改善。 |
5、安全隔離網閘
定義安全隔離網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立網絡系統的信息安全設備。由于物理隔離網閘所連接的兩個獨立網絡系統之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議,不存在依據協議的信息包轉發,只有數據文件的無協議“擺渡”,且對固態存儲介質只有“讀”和“寫”兩個命令。所以,物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實現了真正的安全。
| 功能模塊 | 安全隔離閘門的功能模塊有: 安全隔離、內核防護、協議轉換、病毒查殺、訪問控制、安全審計、身份認證 |
| 主要功能 | 1、阻斷網絡的直接物理連接:物理隔離網閘在任何時刻都只能與非可信網絡和可信網絡上之一相連接,而不能同時與兩個網絡連接;2、阻斷網絡的邏輯連接:物理隔離網閘不依賴操作系統、不支持TCP/IP協議。兩個網絡之間的信息交換必須將TCP/IP協議剝離,將原始數據通過P2P的非TCP/IP連接方式,通過存儲介質的“寫入”與“讀出”完成數據轉發;3、安全審查:物理隔離網閘具有安全審查功能,即網絡在將原始數據“寫入”物理隔離網閘前,根據需要對原始數據的安全性進行檢查,把可能的病毒代碼、惡意攻擊代碼消滅干凈等;4、原始數據無危害性:物理隔離網閘轉發的原始數據,不具有攻擊或對網絡安全有害的特性。就像txt文本不會有病毒一樣,也不會執行命令等。5、管理和控制功能:建立完善的日志系統。6、根據需要建立數據特征庫:在應用初始化階段,結合應用要求,提取應用數據的特征,形成用戶特有的數據特征庫,作為運行過程中數據校驗的基礎。當用戶請求時,提取用戶的應用數據,抽取數據特征和原始數據特征庫比較,符合原始特征庫的數據請求進入請求隊列,不符合的返回用戶,實現對數據的過濾。7、根據需要提供定制安全策略和傳輸策略的功能:用戶可以自行設定數據的傳輸策略,如:傳輸單位(基于數據還是基于任務)、傳輸間隔、傳輸方向、傳輸時間、啟動時間等。 8、支持定時/實時文件交換;支持支持單向/雙向文件交換;支持數字簽名、內容過濾、病毒檢查等功能。 |
| 工作原理 | 安全隔離網閘的組成:安全隔離網閘是實現兩個相互業務隔離的網絡之間的數據交換,通用的網閘模型設計一般分三個基本部分:1、 內網處理單元:包括內網接口單元與內網數據緩沖區。接口部分負責與內網的連接,并終止內網用戶的網絡連接,對數據進行病毒檢測、防火墻、入侵防護等安全檢測后剝離出“純數據”,作好交換的準備,也完成來自內網對用戶身份的確認,確保數據的安全通道;數據緩沖區是存放并調度剝離后的數據,負責與隔離交換單元的數據交換。2、 外網處理單元:與內網處理單元功能相同,但處理的是外網連接。3、 隔離與交換控制單元(隔離硬件):是網閘隔離控制的擺渡控制,控制交換通道的開啟與關閉。控制單元中包含一個數據交換區,就是數據交換中的擺渡船。對交換通道的控制的方式目前有兩種技術,擺渡開關與通道控制。擺渡開關是電子倒換開關,讓數據交換區與內外網在任意時刻的不同時連接,形成空間間隔GAP,實現物理隔離。通道方式是在內外網之間改變通訊模式,中斷了內外網的直接連接,采用私密的通訊手段形成內外網的物理隔離。該單元中有一個數據交換區,作為交換數據的中轉。其中,三個單元都要求其軟件的操作系統是安全的,也就是采用非通用的操作系統,或改造后的專用操作系統。一般為Unix BSD或Linux的經安全精簡版本,或者其他是嵌入式操作系統等,但都要對底層不需要的協議、服務刪除,使用的協議優化改造,增加安全特性,同時提高效率。 如果針對網絡七層協議,安全隔離網閘是在硬件鏈路層上斷開。 |
| 區別比較 | 1、與物理隔離卡的區別安全隔離網閘與物理隔離卡最主要的區別是,安全隔離網閘能夠實現兩個網絡間的自動的安全適度的信息交換,而物理隔離卡只能提供一臺計算機在兩個網之間切換,并且需要手動操作,大部分的隔離卡還要求系統重新啟動以便切換硬盤。2、網絡交換信息的區別安全隔離網閘在網絡間進行的安全適度的信息交換是在網絡之間不存在鏈路層連接的情況下進行的。安全隔離網閘直接處理網絡間的應用層數據,利用存儲轉發的方法進行應用數據的交換,在交換的同時,對應用數據進行的各種安全檢查。路由器、交換機則保持鏈路層暢通,在鏈路層之上進行IP包等網絡層數據的直接轉發,沒有考慮網絡安全和數據安全的問題。3、與防火墻的區別 防火墻一般在進行IP包轉發的同時,通過對IP包的處理,實現對TCP會話的控制,但是對應用數據的內容不進行檢查。這種工作方式無法防止泄密,也無法防止病毒和黑客程序的攻擊。 |
| 使用方式 | 1、涉密網與非涉密網之間2、局域網與互聯網之間(內網與外網之間)3、辦公網與業務網之間4、業務網與互聯網之間 |
6、VPN設備
定義虛擬專用網絡指的是在公用網絡上建立專用網絡的技術。之所以稱為虛擬網主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網絡服務商所提供的網絡平臺之上的邏輯網絡,用戶數據在邏輯鏈路中傳輸。
| 主要功能 | 1、通過隧道或虛電路實現網絡互聯2、支持用戶安全管理3、能夠進行網絡監控、故障診斷。 |
| 工作原理 | 1、通常情況下,VPN網關采取雙網卡結構,外網卡使用公網IP接入Internet。2、網絡一(假定為公網internet)的終端A訪問網絡二(假定為公司內網)的終端B,其發出的訪問數據包的目標地址為終端B的內部IP地址。3、網絡一的VPN網關在接收到終端A發出的訪問數據包時對其目標地址進行檢查,如果目標地址屬于網絡二的地址,則將該數據包進行封裝,封裝的方式根據所采用的VPN技術不同而不同,同時VPN網關會構造一個新VPN數據包,并將封裝后的原數據包作為VPN數據包的負載,VPN數據包的目標地址為網絡二的VPN網關的外部地址。4、網絡一的VPN網關將VPN數據包發送到Internet,由于VPN數據包的目標地址是網絡二的VPN網關的外部地址,所以該數據包將被Internet中的路由正確地發送到網絡二的VPN網關。5、網絡二的VPN網關對接收到的數據包進行檢查,如果發現該數據包是從網絡一的VPN網關發出的,即可判定該數據包為VPN數據包,并對該數據包進行解包處理。解包的過程主要是先將VPN數據包的包頭剝離,再將數據包反向處理還原成原始的數據包。6、網絡二的VPN網關將還原后的原始數據包發送至目標終端B,由于原始數據包的目標地址是終端B的IP,所以該數據包能夠被正確地發送到終端B。在終端B看來,它收到的數據包就和從終端A直接發過來的一樣。7、從終端B返回終端A的數據包處理過程和上述過程一樣,這樣兩個網絡內的終端就可以相互通訊了。通過上述說明可以發現,在VPN網關對數據包進行處理時,有兩個參數對于VPN通訊十分重要:原始數據包的目標地址(VPN目標地址)和遠程VPN網關地址。根據VPN目標地址,VPN網關能夠判斷對哪些數據包進行VPN處理,對于不需要處理的數據包通常情況下可直接轉發到上級路由;遠程VPN網關地址則指定了處理后的VPN數據包發送的目標地址,即VPN隧道的另一端VPN網關地址。由于網絡通訊是雙向的,在進行VPN通訊時,隧道兩端的VPN網關都必須知道VPN目標地址和與此對應的遠端VPN網關地址。 |
| 常用VPN技術 | 1、MPLS VPN:是一種基于MPLS技術的IP VPN,是在網絡路由和交換設備上應用MPLS(多協議標記交換)技術,簡化核心路由器的路由選擇方式,利用結合傳統路由技術的標記交換實現的IP虛擬專用網絡(IP VPN)。MPLS優勢在于將二層交換和三層路由技術結合起來,在解決VPN、服務分類和流量工程這些IP網絡的重大問題時具有很優異的表現。因此,MPLS VPN在解決企業互連、提供各種新業務方面也越來越被運營商看好,成為在IP網絡運營商提供增值業務的重要手段。MPLS VPN又可分為二層MPLS VPN(即MPLS L2 VPN)和三層MPLS VPN(即MPLS L3 VPN)。2、SSL VPN:是以HTTPS(SecureHTTP,安全的HTTP,即支持SSL的HTTP協議)為基礎的VPN技術,工作在傳輸層和應用層之間。SSL VPN充分利用了SSL協議提供的基于證書的身份認證、數據加密和消息完整性驗證機制,可以為應用層之間的通信建立安全連接。SSL VPN廣泛應用于基于Web的遠程安全接入,為用戶遠程訪問公司內部網絡提供了安全保證。 3.IPSecVPN是基于IPSec協議的VPN技術,由IPSec協議提供隧道安全保障。IPSec是一種由IETF設計的端到端的確保基于IP通訊的數據安全性的機制。它為Internet上傳輸的數據提供了高質量的、可互操作的、基于密碼學的安全保證。 |
| 主要類型 | 按所用的設備類型進行分類:主要為交換機、路由器和防火墻:(1)路由器式VPN:路由器式VPN部署較容易,只要在路由器上添加VPN服務即可;(2)交換機式VPN:主要應用于連接用戶較少的VPN網絡;(3)防火墻式VPN:防火墻式VPN是最常見的一種VPN的實現方式,許多廠商都提供這種配置類型; VPN的隧道協議主要有三種,PPTP、L2TP和IPSec,其中PPTP和L2TP協議工作在OSI模型的第二層,又稱為二層隧道協議;IPSec是第三層隧道協議。 |
| 實現方式 | VPN的實現有很多種方法,常用的有以下四種: 1.VPN服務器:在大型局域網中,可以通過在網絡中心搭建VPN服務器的方法實現VPN。 2.軟件VPN:可以通過專用的軟件實現VPN。 3.硬件VPN:可以通過專用的硬件實現VPN。 4.集成VPN:某些硬件設備,如路由器、防火墻等,都含有VPN功能,但是一般擁有VPN功能的硬件設備通常都比沒有這一功能的要貴。 |
7、流量監控設備
定義網絡流量控制是一種利用軟件或硬件方式來實現對電腦網絡流量的控制。它的最主要方法,是引入QoS的概念,從通過為不同類型的網絡數據包標記,從而決定數據包通行的優先次序。
| 技術類型 | 流控技術分為兩種:一種是傳統的流控方式,通過路由器、交換機的QoS模塊實現基于源地址、目的地址、源端口、目的端口以及協議類型的流量控制,屬于四層流控;路由交換設備可以通過修改路由轉發表,實現一定程度的流量控制,但這種傳統的IP包流量識別和QoS控制技術,僅對IP包頭中的“五元組”信息進行分析,來確定當前流量的基本信息。傳統IP路由器也正是通過這一系列信息來實現一定程度的流量識別和QoS保障,但其僅僅分析IP包的四層以下的內容,包括源地址、目的地址、源端口、目的端口以及協議類型。隨著網上應用類型的不斷豐富,僅通過第四層端口信息已經不能真正判斷流量中的應用類型,更不能應對基于開放端口、隨機端口甚至采用加密方式進行傳輸的應用類型。例如,P2P類應用會使用跳動端口技術及加密方式進行傳輸,基于交換路由設備進行流量控制的方法對此完全失效。 另一種是智能流控方式,通過專業的流控設備實現基于應用層的流控,屬于七層流控。 |
| 主要功能 | 1、全面透視網絡流量,快速發現與定位網絡故障2、保障關鍵應用的穩定運行,確保重要業務順暢地使用網絡3、限制與工作無關的流量,防止對帶寬的濫用4、管理員工上網行為,提高員工網上辦公的效率5、依照法規要求記錄上網日志,避免違法行為 6、保障內部信息安全,減少泄密風險7、保障服務器帶寬,保護服務器安全8、內置企業級路由器與防火墻,降低安全風險9、專業負載均衡,提升多線路的使用價值 |
| 使用方式 | 1、網關模式:置于出口網關,所有數據流直接經由設備端口通過;2、網橋模式:如同集線器的作用,設備置于網關出口之后,設置簡單、透明;3、旁路模式:與交換機鏡像端口相連,通過對網絡出口的交換機進行鏡像映射,設備獲得鏈路中的數據“拷貝”,主要用于監聽、審計局域網中的數據流及用戶的網絡行為。 |
8、防病毒網關(防毒墻)
定義防病毒網關是一種網絡設備,用以保護網絡內(一般是局域網)進出數據的安全。主要體現在病毒殺除、關鍵字過濾(如色情、反動)、垃圾郵件阻止的功能,同時部分設備也具有一定防火墻(劃分Vlan)的功能。
| 主要功能 | 1、病毒殺除2、關鍵字過濾3、垃圾郵件阻止的功能4、部分設備也具有一定防火墻 能夠檢測進出網絡內部的數據,對http、ftp、SMTP、IMAP和POP3五種協議的數據進行病毒掃描,一旦發現病毒就會采取相應的手段進行隔離或查殺,在防護病毒方面起到了非常大的作用。 |
| 與防火墻的區別 | 1、防病毒網關:專注病毒過濾,阻斷病毒傳輸,工作協議層為ISO 2-7層,分析數據包中的傳輸數據內容,運用病毒分析技術處理病毒體,具有防火墻訪問控制功能模塊 2、防火墻:專注訪問控制,控制非法授權訪問,工作協議層為ISO 2-4層,分析數據包中源IP目的IP,對比規則控制訪問方向,不具有病毒過濾功能 |
| 與防病毒軟件的區別 | 1、防病毒網關:基于網絡層過濾病毒;阻斷病毒體網絡傳輸;網關阻斷病毒傳輸,主動防御病毒于網絡之外;網關設備配置病毒過濾策略,方便、扼守咽喉;過濾出入網關的數據;與殺毒軟件聯動建立多層次反病毒體系。 2、防病毒軟件:基于操作系統病毒清除;清除進入操作系統病毒;病毒對系統核心技術濫用導致病毒清除困難,研究主動防御技術;主動防御技術專業性強,普及困難;管理安裝殺毒軟件終端;病毒發展互聯網化需要網關級反病毒技術配合。 |
| 查殺方式 | 對進出防病毒網關數據監測:以特征碼匹配技術為主;對監測出病毒數據進行查殺:采取將數據包還原成文件的方式進行病毒處理。1、基于代理服務器的方式2、基于防火墻協議還原的方式 3、基于郵件服務器的方式 |
| 使用方式 | 1、透明模式:串聯接入網絡出口處,部署簡單2、旁路代理模式:強制客戶端的流量經過防病毒網關,防病毒網關僅僅需要處理要檢測的相關協議,不需要處理其他協議的轉發,可以較好的提高設備性能。3、旁路模式:與旁路代理模式部署的拓撲一樣,不同的是,旁路模式只能起到檢測作用,對于已檢測到的病毒無法做到清除。 |
9、WAF(Web應用防火墻)
定義Web應用防火墻是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一種設備。
| 產生背景 | 當WEB應用越來越為豐富的同時,WEB 服務器以其強大的計算能力、處理性能及蘊含的較高價值逐漸成為主要攻擊目標。SQL注入、網頁篡改、網頁掛馬等安全事件,頻繁發生。 企業等用戶一般采用防火墻作為安全保障體系的第一道防線。但是,在現實中,他們存在這樣那樣的問題,由此產生了WAF(Web應用防護系統)。Web應用防護系統用以解決諸如防火墻一類傳統設備束手無策的Web應用安全問題。與傳統防火墻不同,WAF工作在應用層,因此對Web應用防護具有先天的技術優勢。基于對Web應用業務和邏輯的深刻理解,WAF對來自Web應用程序客戶端的各類請求進行內容檢測和驗證,確保其安全性與合法性,對非法的請求予以實時阻斷,從而對各類網站站點進行有效防護。 |
| 主要功能 | 1、審計設備:用來截獲所以HTTP數據或者僅僅滿足某些規則的會話;2、訪問控制設備:用來控制對Web應用的訪問,既包括主動安全模式也包括被動安全模式。3、架構/網絡設計工具:當運行在反向代理模式,他們被用來分配職能,集中控制,虛擬基礎結構等。 4、WEB應用加固工具:這些功能增強被保護Web應用的安全性,它不僅能夠屏蔽WEB應用固有弱點,而且 能夠保護WEB應用編程錯誤導致的安全隱患。主要包括防攻擊、防漏洞、防暗鏈、防爬蟲、防掛馬、抗DDos等。 |
| 使用方式 | 與IPS設備部署方式類似,可以串聯部署在web服務器等關鍵設備的網絡出口處。 |
10、安全審計系統
定義網絡安全審計系統針對互聯網行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。從管理層面提供互聯網的有效監督,預防、制止數據泄密。滿足用戶對互聯網行為審計備案及安全保護措施的要求,提供完整的上網記錄,便于信息追蹤、系統安全管理和風險防范。
| 主要類型 | 根據被審計的對象(主機、設備、網絡、數據庫、業務、終端、用戶)劃分,安全審計可以分為:1. 主機審計:審計針對主機的各種操作和行為。2. 設備審計:對網絡設備、安全設備等各種設備的操作和行為進行審計網絡審計:對網絡中各種訪問、操作的審計,例如telnet操作、FTP操作,等等。3. 數據庫審計:對數據庫行為和操作、甚至操作的內容進行審計業務審計:對業務操作、行為、內容的審計。4. 終端審計:對終端設備(PC、打印機)等的操作和行為進行審計,包括預配置審計。5.用戶行為審計:對企業和組織的人進行審計,包括上網行為審計、運維操作審計有的審計產品針對上述一種對象進行審計,還有的產品綜合上述多種審計對象。 |
| 主要功能 | 1、采集多種類型的日志數據 能采集各種操作系統的日志,防火墻系統日志,入侵檢測系統日志,網絡交換及路由設備的日志,各種服務和應用系統日志。2、日志管理多種日志格式的統一管理。自動將其收集到的各種日志格式轉換為統一的日志格式,便于對各種復雜日志信息的統一管理與處理。3、日志查詢支持以多種方式查詢網絡中的日志記錄信息,以報表的形式顯示。4、入侵檢測使用多種內置的相關性規則,對分布在網絡中的設備產生的日志及報警信息進行相關性分析,從而檢測出單個系統難以發現的安全事件。5、自動生成安全分析報告根據日志數據庫記錄的日志數據,分析網絡或系統的安全性,并輸出安全性分析報告。報告的輸出可以根據預先定義的條件自動地產生、提交給管理員。6、網絡狀態實時監視可以監視運行有代理的特定設備的狀態、網絡設備、日志內容、網絡行為等情況。7、事件響應機制當審計系統檢測到安全事件時候,可以采用相關的響應方式報警。8、集中管理 審計系統通過提供一個統一的集中管理平臺,實現對日志代理、安全審計中心、日志數據庫的集中管理等情況。7、事件響應機制當審計系統檢測到安全事件時候,可以采用相關的響應方式報警。8、集中管理 審計系統通過提供一個統一的集中管理平臺,實現對日志代理、安全審計中心、日志數據庫的集中管理。 |
| 使用方式 | 安全審計產品在網絡中的部署方式主要為旁路部署。 |
總結
以上是生活随笔為你收集整理的常见的安全设备的全部內容,希望文章能夠幫你解決所遇到的問題。
如果覺得生活随笔網站內容還不錯,歡迎將生活随笔推薦給好友。
