網(wǎng)絡安全設備功能及部署方式.ppt

安全設備功能及部署方式介紹,XX,主流安全設備概括,防火墻入侵防御系統(tǒng)(IPS)防毒墻WEB應用防火墻(WAF)網(wǎng)閘上網(wǎng)行為管理,防火墻,基本功能地址轉(zhuǎn)換訪問控制VLAN支持IP/MAC綁定帶寬管理（QoS）入侵檢測和攻擊防御用戶認證動態(tài)IP環(huán)境支持數(shù)據(jù)庫長連接應用支持路由支持ADSL撥號功能SNMP網(wǎng)管支持日志審計高可用性,擴展功能防病毒VPNIPSECVPNPPTP/L2TP,防火墻的網(wǎng)絡地址映射,,,,,,防火墻的基本訪問控制功能,防火墻與路由器類比,路由器主要功能,防火墻主要功能,路由具有訪問控制功能.,.,防火墻是路由器訪問控制功能的專業(yè)化產(chǎn)品防火墻的路由功能部分環(huán)境替代路由器防火墻的路由功能無法完全取代路由器的路由專業(yè)功能許多環(huán)境中防火墻與路由器同時存在承擔各自主要功能,訪問控制具有路由功能.,IPS在網(wǎng)絡中的作用,7,阻攔已知攻擊（重點）為已知漏洞提供虛擬補?。ㄖ攸c）速率或流量控制行為管理,安全域A,安全域B,IPS,IPS可提供有效的、防火墻無法提供的應用層安全防護功能。但為了避免誤報，IPS對未知攻擊的防御能力幾乎沒有,入侵防御系統(tǒng)(IPS),8,入侵檢測IDS,入侵防御IPS,入侵防御系統(tǒng)(IPS)與入侵檢測系統(tǒng)(IDS),IPS的部署,獨立部署,Internet,數(shù)據(jù)系統(tǒng),辦公區(qū)1,辦公區(qū)2,Network,Transport,Session,Presentation,Application,HA,Network,Transport,防毒墻,過濾垃圾郵件，病毒，蠕蟲?？梢葬槍χ攸c網(wǎng)段進行深度的保護。一般部署在防火墻與服務器之間。專門的蠕蟲庫進行識別，同時還采用入侵防御（IPS）技術、IP/端口/數(shù)據(jù)包封鎖技術，優(yōu)化了蠕蟲識別機制，不僅可以過濾已知蠕蟲，還可以在未知蠕蟲爆發(fā)時進行攔截。,防毒墻的功能,WEB應用防火墻(WAF),WAF是一款專門針對企業(yè)網(wǎng)站進行安全防護的產(chǎn)品。能夠針對Web應用攻擊提供更全面、更精準的防護，尤其對一些可以繞過傳統(tǒng)防火墻和IPS的攻擊方法，可以精準地阻斷。正因如此，WAF可以對：數(shù)據(jù)盜竊、網(wǎng)頁篡改、網(wǎng)站掛馬、虛假信息傳播、針對客戶端的攻擊等行為，提供完善的解決方案。WAF一般部署在web服務器的下一跳通常情況下，WAF放在企業(yè)對外提供網(wǎng)站服務的DMZ區(qū)域或者放在數(shù)據(jù)中心服務區(qū)域，也可以與防火墻或IPS等網(wǎng)關設備串聯(lián)在一起（這種情況較少）?？傊?，決定WAF部署位置的是WEB服務器的位置。因為WEB服務器是WAF所保護的對象。部署時當然要使WAF盡量靠近WEB服務器。,網(wǎng)頁防篡改,WEB加速,DDOS攻擊防護,漏洞掃描,敏感信息過濾,WEB攻擊防護,狀態(tài)監(jiān)控告警,WAF,網(wǎng)站效能分析,WAF的功能及作用,在線部署,web服務器群,交換機,終端,WAF,Internet,Internet網(wǎng)用戶,單位內(nèi)網(wǎng),IP：/27,橋IP：/27,IP：0/23,WAF的部署,旁路部署：,服務器群,交換機,終端,WAF,Internet,Internet網(wǎng)用戶,單位內(nèi)網(wǎng),路由器,WAF的部署,網(wǎng)閘,物理層面的網(wǎng)絡安全隔離,對網(wǎng)絡地隔離是通過網(wǎng)閘隔離硬件實現(xiàn)兩個網(wǎng)絡在鏈路層斷開，但是為了交換數(shù)據(jù)，隔離硬件在兩個網(wǎng)絡對應的硬件上進行切換，通過對硬件上的存儲芯片的讀寫，完成數(shù)據(jù)的交換。,防止已知與未知的木馬程序,通常見到的木馬大部分是基于TCP的，木馬在工作的時候客戶端和服務器端需要建立連接，而安全隔離網(wǎng)閘由于使用了自定義的私有協(xié)議（不同于通用協(xié)議）。使得支持傳統(tǒng)網(wǎng)絡結(jié)構的所有協(xié)議均失效，從原理實現(xiàn)上就切斷所有的TCP連接，包括UDP、ICMP等其他各種協(xié)議，使各種木馬無法通過安全隔離網(wǎng)閘進行通訊。從而可以防止未知和已知的木馬攻擊。,通過添加功能模塊可以實現(xiàn),訪問控制病毒查殺安全審計,網(wǎng)閘的功能：,內(nèi)網(wǎng)主機系統(tǒng)收到數(shù)據(jù)，進行協(xié)議分離，安全檢測，然后發(fā)送給隔離交換模塊隔離交換模塊斷開彼此連接，連接內(nèi)外網(wǎng)主機系統(tǒng)，內(nèi)網(wǎng)主機系統(tǒng)寫數(shù)據(jù)到交換緩沖區(qū)隔離交換模塊斷開內(nèi)外網(wǎng)主機系統(tǒng)，彼此連接，進行通訊協(xié)商，完成數(shù)據(jù)交換隔離交換模塊斷開彼此連接，連接內(nèi)外網(wǎng)主機系統(tǒng)，外網(wǎng)主機系統(tǒng)從交換緩存讀取數(shù)據(jù)外網(wǎng)主機系統(tǒng)獲取數(shù)據(jù)，進行數(shù)據(jù)重組，安全檢測，與外網(wǎng)主機建立連接從外網(wǎng)往內(nèi)網(wǎng)交換數(shù)據(jù)，工作流程相同15,數(shù)據(jù)隔離交換的過程,網(wǎng)閘與傳統(tǒng)隔離設備的對比,網(wǎng)閘的部署位置,上網(wǎng)行為管理,上網(wǎng)行為控制，規(guī)范員工上網(wǎng)行為，提高工作效率強大的監(jiān)控和審計，保護內(nèi)部數(shù)據(jù)安全、防止機密信息泄漏流量控制和帶寬管理，優(yōu)化帶寬資源的使用海量日志存儲、豐富的報表功能，為組織決策提供最有效的數(shù)據(jù)支持該設備一般部署在網(wǎng)絡的出口，對內(nèi)部網(wǎng)絡連接到互聯(lián)網(wǎng)的數(shù)據(jù)進行采集，分析，和識別。實時記錄內(nèi)網(wǎng)用戶的上網(wǎng)行為，過濾不良信息。并對相關的上網(wǎng)的行為，發(fā)送和接收的相關內(nèi)容進行控制，存儲，分析和查詢。,上網(wǎng)行為管理在網(wǎng)絡中的作用,流量監(jiān)控,日志審查統(tǒng)計,用戶管理,行為管理,上網(wǎng)行為管理功能,部署的位置,.,上網(wǎng)行為管理網(wǎng)關,.,管控端,內(nèi)網(wǎng)受控終端,內(nèi)網(wǎng)免監(jiān)控終端,用戶管理,應用識別控制,流量管理,網(wǎng)頁訪問,實時監(jiān)控,QQ：596*72,無法登陸,In