2019年網(wǎng)絡安全等級保護網(wǎng)絡設備安全設備知識點匯總_第1頁
2019年網(wǎng)絡安全等級保護網(wǎng)絡設備安全設備知識點匯總_第2頁
2019年網(wǎng)絡安全等級保護網(wǎng)絡設備安全設備知識點匯總_第3頁
2019年網(wǎng)絡安全等級保護網(wǎng)絡設備安全設備知識點匯總_第4頁
2019年網(wǎng)絡安全等級保護網(wǎng)絡設備安全設備知識點匯總_第5頁
免費預覽已結(jié)束,剩余13頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、2019年網(wǎng)絡安全等級保護網(wǎng)絡設備、安全設備知識點匯總一、防火墻、防毒墻、入侵防御、統(tǒng)一安全威脅網(wǎng)關(guān)UTM1、防火墻(Firewall)定義:相信大家都知道防火墻是干什么用的,我覺得需要特別提醒一下,防火墻抵御的是外部的攻擊,并不能對內(nèi)部的病毒(如ARP病毒)或攻擊有什么太大作用。功能:防火墻的功能主要是兩個網(wǎng)絡之間做邊界防護,企業(yè)中更多使用的是企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的NAT、包過濾規(guī)則、端口映射等功能。生產(chǎn)網(wǎng)與辦公網(wǎng)中做邏輯隔離使用,主要功能是包過濾規(guī)則的使用。部署方式:網(wǎng)關(guān)模式、透明模式:網(wǎng)關(guān)模式是現(xiàn)在用的最多的模式,可以替代路由器并提供更多的功能,適用于各種類型企業(yè)透明部署是在不改變現(xiàn)有網(wǎng)絡結(jié)

2、構(gòu)的情況下,將防火墻以透明網(wǎng)橋的模式串聯(lián)到企業(yè)的網(wǎng)絡中間,通過包過濾規(guī)則進行訪問控制,做安全域的劃分。至于什么時候使用網(wǎng)關(guān)模式或者使用透明模式,需要根據(jù)自身需要決定,沒有絕對的部署方式。需不需要將服務器部署在DMZ區(qū),取決于服務器的數(shù)量、重要性??傊趺床渴鸲际怯脩糇约旱倪x擇!高可用性:為了保證網(wǎng)絡可靠性,現(xiàn)在設備都支持主-主、主-備,等各種部署。2、防毒墻定義:相對于防毒墻來說,一般都具有防火墻的功能,防御的對象更具有針對性,那就是病毒。功能:同防火墻,并增加病毒特征庫,對數(shù)據(jù)進行與病毒特征庫進行比對,進行查殺病毒。部署方式:同防火墻,大多數(shù)時候使用透明模式部署在防火墻或路由器后或部署在服務

3、器之前,進行病毒防范與查殺。3、入侵防御(IPS)定義:相對于防火墻來說,一般都具有防火墻的功能,防御的對象更具有針對性,那就是攻擊。防火墻是通過對五元組進行控制,達到包過濾的效果,而入侵防御ips,則是將數(shù)據(jù)包進行檢測(深度包檢測DPI)對蠕蟲、病毒、木馬、拒絕服務等攻擊進行查殺。功能:同防火墻,并增加IPS特征庫,對攻擊行為進行防御。部署方式:同防毒墻。特別說明一下:防火墻允許符合規(guī)則的數(shù)據(jù)包進行傳輸,對數(shù)據(jù)包中是否有病毒代碼或攻擊代碼并不進行檢查,而防毒墻和入侵防御則通過更深的對數(shù)據(jù)包的檢查彌補了這一點。4、統(tǒng)一威脅安全網(wǎng)關(guān)(UTM)定義:簡單的理解,把威脅都統(tǒng)一了,其實就是把上面三個設

4、備整合到一起了。功能:同時具備防火墻、防毒墻、入侵防護三個設備的功能。部署方式:因為可以代替防火墻功能,所以部署方式同防火墻現(xiàn)在大多數(shù)廠商,防病毒和入侵防護已經(jīng)作為防火墻的模塊來用,在不考慮硬件性能以及費用的情況下,開啟了防病毒模塊和入侵防護模塊的防火墻,和UTM其實是一樣的。至于為什么網(wǎng)絡中同時會出現(xiàn)UTM和防火墻、防病毒、入侵檢測同時出現(xiàn)。第一,實際需要,在服務器區(qū)前部署防毒墻,防護外網(wǎng)病毒的同時,也可以檢測和防護內(nèi)網(wǎng)用戶對服務器的攻擊。第二,花錢,大家都懂的??傊€是那句話,設備部署還是看用戶。透明模式部署的O歌器墻機由火換路防交網(wǎng)關(guān)模式部署二、IPSECVPN網(wǎng)I?、SSLVPNWAF

5、5、IPSECVPN把IPSECVPN放到網(wǎng)絡安全防護里,其實是因為大多數(shù)情況下,IPSECVPN的使用都是通過上述設備來做的,而且通過加密隧道訪問網(wǎng)絡,本身也是對網(wǎng)絡的一種安全防護。定義:采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術(shù),至于什么是IPSEC什么是VPN,小伙伴們請自行百度吧。功能:通過使用IPSECVPN使客戶端或一個網(wǎng)絡與另外一個網(wǎng)絡連接起來,多數(shù)用在分支機構(gòu)與總部連接。部署方式:網(wǎng)關(guān)模式、旁路模式鑒于網(wǎng)關(guān)類設備基本都具備IPSECVPN功能,所以很多情況下都是直接在網(wǎng)關(guān)設備上啟用IPSECVPN功能,也有個別情況新購買IPSECVPN設備,在對現(xiàn)有網(wǎng)絡沒有影響的情況下進

6、行旁路部署,部署后需要對IPSECVPN設備放通安全規(guī)則,做端口映射等等。也可以使用windowsserver部署VPN,需要的同學也請自行百度,相比硬件設備,自己部署沒有什么花費,但IPSECVPN受操作系統(tǒng)影響,相比硬件設備穩(wěn)定性會差一些。防火墻1PSEC冊設備以上設備常見廠家(不排名啊不排名)JuniperCheckPointFortinet(飛塔)思科天融信山石網(wǎng)科啟明星辰深信服綠盟網(wǎng)御星云網(wǎng)御神州華賽梭子魚迪普H3C6、網(wǎng)閘定義:全稱安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡之間的鏈路層連接,并能夠在網(wǎng)絡間進行安全適度的應用數(shù)據(jù)交換的網(wǎng)絡安全設備。功能

7、:主要是在兩個網(wǎng)絡之間做隔離并需要數(shù)據(jù)交換,網(wǎng)閘是具有中國特色的產(chǎn)品。部署方式:兩套網(wǎng)絡之間防火一般在兩套網(wǎng)絡之間做邏輯隔離,而網(wǎng)閘符合相關(guān)要求,可以做物理隔離,阻斷網(wǎng)絡中tcp等協(xié)議,使用私有協(xié)議進行數(shù)據(jù)交換,一般企業(yè)用的比較少,在對網(wǎng)絡要求稍微高一些的單位會用到網(wǎng)閘。7、SSLVPN定義:采用SSL協(xié)議的一種VPN技術(shù),相比IPSECVPN使用起來要更加方便,畢竟SSLVPN使用瀏覽器即可使用。功能:隨著移動辦公的快速發(fā)展,SSLVPN的使用也越來越多,除了移動辦公使用,通過瀏覽器登錄SSLVPN連接到其他網(wǎng)絡也十分方便,IPSECVPN更傾向網(wǎng)絡接入,而SSLVPN更傾向?qū)冒l(fā)布。部署

8、:SSLVPN的部署一般采用旁路部署方式,在不改變用戶網(wǎng)絡的狀況下實現(xiàn)移動辦公等功能。8、WAF(WebApplicationFirewall)web應用防護系統(tǒng)定義:名稱就可以看出,WAF的防護方面是web應用,說白了防護的對象是網(wǎng)站及B/S結(jié)構(gòu)的各類系統(tǒng)。功能:針對HTTP/HTTPS協(xié)議進行分析,對SQL注入攻擊、XSS攻擊Web攻擊進行防護,并具備基于URL的訪問控制;HTTP協(xié)議合規(guī);Web敏感信息防護;文件上傳下載控制;Web表單關(guān)鍵字過濾。網(wǎng)頁掛馬防護,Webshell防護以及web應用交付等功能。部署:通常部署在web應用服務器前進行防護IPS也能檢測出部分web攻擊,但沒有W

9、AF針對性強,所以根據(jù)防護對象不同選用不同設備,效果更好。三、網(wǎng)絡安全審計、數(shù)據(jù)庫安全審計、日志審計、運維安全審計(堡壘機)9、網(wǎng)絡安全審計定義:審計網(wǎng)絡方面的相關(guān)內(nèi)容。功能:針對互聯(lián)網(wǎng)行為提供有效的行為審計、內(nèi)容審計、行為報警、行為控制及相關(guān)審計功能。滿足用戶對互聯(lián)網(wǎng)行為審計備案及安全保護措施的要求,提供完整的上網(wǎng)記錄,便于信息追蹤、系統(tǒng)安全管理和風險防范。部署:采用旁路部署模式,通過在核心交換機上設置鏡像口,將鏡像數(shù)據(jù)發(fā)送到審計設備。10、數(shù)據(jù)庫安全審計定義:數(shù)據(jù)庫安全審計系統(tǒng)主要用于監(jiān)視并記錄對數(shù)據(jù)庫服務器的各類操作行為。功能:審計對數(shù)據(jù)庫的各類操作,精確到每一條SQL命令,并有強大的報

10、表功能。部署:采用旁路部署模式,通過在核心交換機上設置鏡像口,將鏡像數(shù)據(jù)發(fā)送到審計設備。11、日志審計定義:集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問記錄、系統(tǒng)運行日志、系統(tǒng)運行狀態(tài)等各類信息,經(jīng)過規(guī)范化、過濾、歸并和告警分析等處理后,以統(tǒng)一格式的日志形式進行集中存儲和管理,結(jié)合豐富的日志統(tǒng)計匯總及關(guān)聯(lián)分析功能,實現(xiàn)對信息系統(tǒng)日志的全面審計。功能:通過對網(wǎng)絡設備、安全設備、主機和應用系統(tǒng)日志進行全面的標準化處理,及時發(fā)現(xiàn)各種安全威脅、異常行為事件,為管理人員提供全局的視角,確??蛻魳I(yè)務的不間斷運營安全部署:旁路模式部署。通常由設備發(fā)送日志到審計設備,或在服務器中安裝代理,由代理發(fā)送日志到審計設

11、備。12、運維安全審計(堡壘機)定義:在一個特定的網(wǎng)絡環(huán)境下,為了保障網(wǎng)絡和數(shù)據(jù)不受來自內(nèi)部合法用戶的不合規(guī)操作帶來的系統(tǒng)損壞和數(shù)據(jù)泄露,而運用各種技術(shù)手段實時收集和監(jiān)控網(wǎng)絡環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡活動,以便集中報警、記錄、分析、處理的一種技術(shù)手段。功能:主要是針對運維人員維護過程的全面跟蹤、控制、記錄、回放,以幫助內(nèi)控工作事前規(guī)劃預防、事中實時監(jiān)控、違規(guī)行為響應、事后合規(guī)報告、事故追蹤回放。部署:旁路模式部署。使用防火墻對服務器訪問權(quán)限進行限制,只能通過堡壘機對網(wǎng)絡設備/服務器/數(shù)據(jù)庫等系統(tǒng)操作??梢钥闯鰧徲嫯a(chǎn)品最終的目的都是審計,只不過是審計的內(nèi)容不同而已,根據(jù)不同需

12、求選擇不同的審計產(chǎn)品,一旦出現(xiàn)攻擊、非法操作、違規(guī)操作、誤操作等行為,對事后處理提供有利證據(jù)。四、入侵檢測(IDS)、上網(wǎng)行為管理、負載均衡13、入侵檢測(IDS)定義:對入侵攻擊行為進行檢測功能:通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象部署:采用旁路部署模式,通過在核心交換機上設置鏡像口,將鏡像數(shù)據(jù)發(fā)送到入侵檢測設備。入侵檢測雖然是入侵攻擊行為檢測,但監(jiān)控的同時也對攻擊和異常數(shù)據(jù)進行了審計,所以把入侵檢測系統(tǒng)也放到了審計里一起介紹。入侵檢測系統(tǒng)是等保三級中必配設備。旁路模式部署互聯(lián)問局城MI14、上網(wǎng)行為管理定

13、義:顧名思義,就是對上網(wǎng)行為進行管理功能:對上網(wǎng)用戶進行流量管理、上網(wǎng)行為日志進行審計、對應用軟件或站點進行阻止或流量限制、關(guān)鍵字過濾等部署:網(wǎng)關(guān)部署、透明部署、旁路部署網(wǎng)關(guān)部署:中小型企業(yè)網(wǎng)絡較為簡單,可使用上網(wǎng)行為管理作為網(wǎng)關(guān),代替路由器或防火墻并同時具備上網(wǎng)行為管理功能透明部署:大多數(shù)情況下,企業(yè)會選擇透明部署模式,將設備部署在網(wǎng)關(guān)與核心交換之間,對上網(wǎng)數(shù)據(jù)進行管理旁路部署:僅需要上網(wǎng)行為管理審計功能時,也可選擇旁路部署模式,在核心交換機上配置鏡像口將數(shù)據(jù)發(fā)送給上網(wǎng)行為管理個人覺得上網(wǎng)行為管理應該屬于網(wǎng)絡優(yōu)化類產(chǎn)品,流控功能是最重要的功能,隨著技術(shù)的發(fā)展,微信認證、防便攜式wifi等功能

14、不斷完善使之成為了網(wǎng)絡管理員的最愛15、負載均衡定義:將網(wǎng)絡或應用多個工作分攤進行并同時完成,一般分為鏈路負載和應用負載(服務器負載)功能:確保用戶的業(yè)務應用能夠快速、安全、可靠地交付給內(nèi)部員工和外部服務群,擴展網(wǎng)絡設備和服務器的帶寬、增加吞吐量、加強網(wǎng)絡數(shù)據(jù)處理能力、提高網(wǎng)絡的靈活性和可用性部署:旁路模式、網(wǎng)關(guān)模式、代理模式旁路模式通常使用負載均衡進行應用負載時,旁路部署在相關(guān)應用服務器交換機上,進行應用負載網(wǎng)關(guān)模式:通常使用鏈路負載時,使用網(wǎng)關(guān)模式部署隨著各種業(yè)務的增加,負載均衡的使用也變得廣泛,web應用負載,數(shù)據(jù)庫負載都是比較常見的服務器負載。鑒于國內(nèi)運營商比較惡心,互聯(lián)互通問題較為嚴

15、重,使用鏈路負載的用戶也比越來越多。五、漏洞掃描、異常流量清洗、VPN16、漏洞掃描定義:漏洞掃描是指基于漏洞數(shù)據(jù)庫,通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測,發(fā)現(xiàn)可利用的漏洞的一種安全檢測(滲透攻擊)行為。功能:根據(jù)自身漏洞庫對目標進行脆弱性檢測,并生產(chǎn)相關(guān)報告,提供漏洞修復意見等。一般企業(yè)使用漏洞掃描較少,主要是大型網(wǎng)絡及等、分保檢測機構(gòu)使用較多。部署:旁路部署,通常旁路部署在核心交換機上,與檢測目標網(wǎng)絡可達即可。17、異常流量清洗定義:看名字吧功能:對異常流量的牽引、DDoS流量清洗、P2P帶寬控制、流量回注,也是現(xiàn)有針對DDOS攻擊防護的主要設備部署:旁路部署1

16、8、VPN定義:VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)絡,簡單的講就是因為一些特定的需求,在網(wǎng)絡與網(wǎng)絡之間,或終端與網(wǎng)絡之間建立虛擬的專用網(wǎng)絡,通過加密隧道進行數(shù)據(jù)傳輸(當然也有不加密的),因其部署方便且具有一定的安全保障,被廣泛運用到各個網(wǎng)絡環(huán)境中。VPN分類常見的VPN有L2TPVPN、PPTPVPN、IPSEC、VPN、SSL、VPN以及MPLSVPN。MPLSVPN運營商使用較多,使用場景多為總部與分支機構(gòu)之間。其他VPN因部署方便,成本較低成為現(xiàn)在使用最為廣泛的VPNoL2TPVPN與PPTPVPN因使用的隧道協(xié)議都屬于二層協(xié)議,所以也稱為二層VPNoIPSE

17、CVPNWJ采用IPSec協(xié)議,屬于三層VPN。SSLVPN是以HTTPS協(xié)議為基礎(chǔ)VPN技術(shù),使用維護簡單安全,成為VPN技術(shù)中的佼佼者VPN部署與實現(xiàn)方式及應用場景介紹1、部署模式主要采用網(wǎng)關(guān)模式和旁路模式部署兩種,使用專業(yè)VPN硬件設備建立VPN時多為旁路部署模式,對現(xiàn)有網(wǎng)絡不需要改動,即使VPN設備出現(xiàn)問題也不會影響現(xiàn)有網(wǎng)絡。使用防火墻/路由器自帶VPN功能建立VPN時,隨其硬件部署模式部署。2、實現(xiàn)方式主要有以下幾種:(1)通過使用專業(yè)VPN軟件來建立VPN優(yōu)點:投入較少,部署比較靈活缺點:穩(wěn)定性受服務器硬件、操作系統(tǒng)等因素影響(2)通過使用服務器自行架設VPN服務器建立VPN,wi

18、ndows服務器為主優(yōu)點:投入較少,部署比較靈活,windows系統(tǒng)自帶缺點:穩(wěn)定性受服務器硬件、操作系統(tǒng)等因素影響,需自行配置通過使用防火墻/路由器設備自帶VPN功能建立VPN。優(yōu)點:投入較少,穩(wěn)定性好缺點:因使用現(xiàn)有設備自帶VPN模塊,對VPN訪問量較大的需求不建議使用,以免出現(xiàn)設備性能不足影響防火墻/路由器使用。作為現(xiàn)有設備的自帶模塊,無法滿足用戶特殊要求。部署方式相對固定(4)通過使用專業(yè)的VPN硬件設備建立VPN。優(yōu)點:產(chǎn)品成熟適用于各種VPN場景應用,功能強大,性能穩(wěn)定。缺點:比較花錢硬件設備需要花錢,用戶授權(quán)需要花錢,反正啥都需要花錢3、讓更多人糾結(jié)的應該是在何場景下選擇哪種方式來建立VPN,根據(jù)本人工作經(jīng)驗為大家介紹一些常見的VPN應用場景。場景一總部與分支機構(gòu)互聯(lián)大型企業(yè)總部與分支結(jié)構(gòu)通常使用MPLSVPN進行互聯(lián),相對于大型企業(yè)中小型企業(yè)則選擇使用投入較低的IPSECVPN進行互聯(lián)。例如:某大型超配(超市配送)企業(yè),總部與自營大型超市之間使用MPLSVPN進行數(shù)據(jù)傳輸,總部與自營小型超市則使用IPSECVPN進行數(shù)據(jù)傳輸。根據(jù)各超市數(shù)據(jù)傳輸

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論