3-3-網(wǎng)絡(luò)隔離系統(tǒng)-new

上傳人：1*** IP屬地：湖北上傳時(shí)間：2024-08-16 格式：PPT 頁數(shù)：87 大小：2.11MB 積分：6 舉報(bào) 版權(quán)申訴

已閱讀5頁，還剩82頁未讀，繼續(xù)免費(fèi)閱讀

版權(quán)說明：本文檔由用戶提供并上傳，收益歸屬內(nèi)容提供方，若內(nèi)容存在侵權(quán)，請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

網(wǎng)絡(luò)隔離系統(tǒng)8/16/20241隔離技術(shù)″隔離的概念″隔離技術(shù)的發(fā)展″隔離網(wǎng)閘原理產(chǎn)品介紹″隔離網(wǎng)閘與防火墻區(qū)別比較″隔離網(wǎng)閘產(chǎn)品分類″FerryWay三機(jī)系統(tǒng)模型″三機(jī)與二機(jī)區(qū)別比較″FerryWay的技術(shù)特點(diǎn)FerryWay管理配置″管理端軟件″審計(jì)端軟件內(nèi)容目錄8/16/20242隔離的概念

網(wǎng)絡(luò)隔離———NetworkIsolation

協(xié)議隔離———ProtocolIsolationMarkJosephEdwards：協(xié)議隔離和防火墻不屬于同類產(chǎn)品“UnderstandingNetworkSecurity”8/16/20243隔離技術(shù)的發(fā)展8/16/20244IP包，3層IP包，3層TCP4層TCP4層5至7層5至7層數(shù)據(jù)擺渡OSI第七層外隔離網(wǎng)閘

私有協(xié)議擺渡隔離網(wǎng)閘原理內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)物理、數(shù)據(jù)鏈路1至2層物理、數(shù)據(jù)鏈路1至2層8/16/20245隔離技術(shù)″隔離的概念″隔離技術(shù)的發(fā)展″隔離網(wǎng)閘原理產(chǎn)品介紹″隔離網(wǎng)閘與防火墻區(qū)別比較″隔離網(wǎng)閘產(chǎn)品分類″FerryWay三機(jī)系統(tǒng)模型″三機(jī)與二機(jī)區(qū)別比較″FerryWay的技術(shù)特點(diǎn)FerryWay管理配置″管理端軟件″審計(jì)端軟件內(nèi)容目錄8/16/202468/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\InternetInternalUsersFireWallPort80WebservicesWebenabledappsIMtrafficRichmediaInternetaccess43%43%55%43%98%80–HTTP“…75％的成功針對服務(wù)器的攻擊是通過應(yīng)用層完成的，而不是網(wǎng)絡(luò)層來完成的。網(wǎng)絡(luò)攻擊分析8/16/20247隔離技術(shù)需具備的安全要點(diǎn)要具有高度的自身安全性

要確保網(wǎng)絡(luò)之間是隔離的

要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù)

要對網(wǎng)間的訪問進(jìn)行嚴(yán)格的控制和檢查

要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明8/16/20248與防火墻的主要區(qū)別隔離網(wǎng)閘防火墻政策歸類安全隔離與信息交換防火墻功能定位安全第一，通信第二通信第一，安全第二硬件體系多機(jī)系統(tǒng)單機(jī)系統(tǒng)通信協(xié)議專用私有協(xié)議公用協(xié)議安全級(jí)別內(nèi)外皆防防外8/16/20249網(wǎng)閘的分類市場上網(wǎng)閘主要分為兩類：

傳統(tǒng)“2+1”結(jié)構(gòu)為基礎(chǔ)的網(wǎng)閘三機(jī)架構(gòu)的網(wǎng)閘控制臺(tái)存儲(chǔ)介質(zhì)外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)？？？8/16/202410基于三機(jī)系統(tǒng)的安全隔離與信息交換模型FerryWay系統(tǒng)模型8/16/202411FerryWay三機(jī)系統(tǒng)原理Hello？？？處理連接POST處理請求NOSorry

8/16/202412FerryWay三機(jī)系統(tǒng)原理Hello？？？處理連接POST處理請求YesYes，YoucanCommandRequest：Hello？Yes，I’mhere.Ready8/16/202413三機(jī)與二機(jī)區(qū)別FerryWay“2+1”主機(jī)形態(tài)三機(jī)三系統(tǒng)二主機(jī)+擺渡機(jī)制防范級(jí)別內(nèi)外網(wǎng)相同對待外網(wǎng)危險(xiǎn)，內(nèi)網(wǎng)安全自身安全性仲裁系統(tǒng)硬件網(wǎng)絡(luò)不可達(dá)仲裁系統(tǒng)硬件網(wǎng)絡(luò)可達(dá)處理能力內(nèi)外端拆封，仲裁端檢測內(nèi)外端既拆封又檢測8/16/202414攻擊者即使同時(shí)獲得內(nèi)外網(wǎng)機(jī)的權(quán)限，也無法構(gòu)建不受控?cái)?shù)據(jù)通道內(nèi)/外端機(jī)是內(nèi)/外網(wǎng)網(wǎng)絡(luò)協(xié)議的終點(diǎn)，網(wǎng)絡(luò)協(xié)議不可延伸信息落地，仲裁機(jī)對剝離的應(yīng)用層信息進(jìn)行安全檢查，控制網(wǎng)間傳播內(nèi)容，保護(hù)重要資源仲裁系統(tǒng)網(wǎng)絡(luò)協(xié)議不可達(dá)，自身安全性大大提高三機(jī)模型的特點(diǎn)和優(yōu)勢8/16/202415隔離技術(shù)″隔離的概念″隔離技術(shù)的發(fā)展″隔離網(wǎng)閘原理產(chǎn)品介紹″隔離網(wǎng)閘與防火墻區(qū)別比較″隔離網(wǎng)閘產(chǎn)品分類″FerryWay三機(jī)系統(tǒng)模型″三機(jī)與二機(jī)區(qū)別比較″FerryWay的技術(shù)特點(diǎn)FerryWay管理配置″管理端軟件″審計(jì)端軟件內(nèi)容目錄8/16/2024161.管理配置界面提供給系統(tǒng)配置管理員對FerryWay系統(tǒng)進(jìn)行配置的用戶界面。主要功能包括：

登錄

系統(tǒng)設(shè)置(設(shè)置內(nèi)外端機(jī)IP地址、系統(tǒng)關(guān)閉/重啟)

用戶信息

應(yīng)用通道

安全策略(HTTP/SMTP/POP3)

2.審計(jì)查看界面

提供給審計(jì)管理員查看和管理FerryWay系統(tǒng)審計(jì)信息的用戶界面。主要功能包括：

登錄

查看HTTP/SMTP/POP3/系統(tǒng)的審計(jì)信息

查詢指定條件的審計(jì)信息

導(dǎo)出指定條件的審計(jì)信息8/16/2024178/16/2024188/16/2024191.設(shè)置內(nèi)端機(jī)IP地址

選擇“系統(tǒng)”菜單下的“設(shè)置”，顯示系統(tǒng)設(shè)置列表。選擇“設(shè)置內(nèi)端機(jī)IP地址”，顯示設(shè)置界面。2.設(shè)置外端機(jī)IP地址

選擇“系統(tǒng)”菜單下的“設(shè)置”，顯示系統(tǒng)設(shè)置列表。選擇“設(shè)置外端機(jī)IP地址”，顯示設(shè)置界面。一般要設(shè)置默認(rèn)網(wǎng)關(guān)、域名服務(wù)器。3.系統(tǒng)關(guān)閉或重啟

選擇“系統(tǒng)”菜單下的“關(guān)閉/重啟”，顯示系統(tǒng)關(guān)閉/重啟界面。關(guān)閉或重啟整個(gè)三機(jī)系統(tǒng)。8/16/202420使用“高級(jí)”，可以設(shè)置多個(gè)IP地址。8/16/202421使用“高級(jí)”，可以設(shè)置多個(gè)IP地址。8/16/2024228/16/202423選擇“用戶”菜單下的“所有用戶”，顯示當(dāng)前系統(tǒng)中的所有用戶列表。包括系統(tǒng)配置管理員和普通用戶，但是，無法看到審計(jì)管理員。主要功能：1.添加新用戶

在用戶列表的右鍵菜單中選擇“添加”，顯示添加新用戶界面。2.刪除用戶

選定某一用戶，在右鍵菜單中選擇“刪除”，確認(rèn)后，刪除選定用戶。無法刪除系統(tǒng)配置管理員帳號(hào)。3.修改用戶密碼（或修改系統(tǒng)配置管理員的登錄密碼）

選定某一用戶，在右鍵菜單中選擇“修改密碼”，顯示密碼修改界面。如果選擇了系統(tǒng)配置管理員，則顯示修改管理員登錄密碼界面。8/16/202424注：用戶密碼必須是英文字母和數(shù)字的組合。8/16/2024258/16/2024268/16/202427選擇“應(yīng)用通道”菜單，顯示當(dāng)前系統(tǒng)中的所有應(yīng)用通道列表。主要功能：1.添加新應(yīng)用通道

在列表的右鍵菜單中選擇“添加”，顯示添加新應(yīng)用通道界面。應(yīng)用通道添加后，必須手動(dòng)啟用，并設(shè)置“啟用類型”為“自動(dòng)”。2.刪除應(yīng)用通道

選定某一應(yīng)用通道，在右鍵菜單中選擇“刪除”，確認(rèn)后，刪除選定應(yīng)用通道。3.修改應(yīng)用通道設(shè)置

選定某一處于“停用”狀態(tài)的應(yīng)用通道，在右鍵菜單中選擇“設(shè)置”，修改選定應(yīng)用通道的設(shè)置信息。設(shè)置界面和添加界面相同。8/16/2024288/16/2024291.應(yīng)用通道源

選擇應(yīng)用通道的方向2.工作模式

代理模式：解析客戶端請求數(shù)據(jù)中的主機(jī)地址，連接。轉(zhuǎn)發(fā)模式：直接將客戶端發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)到指定主機(jī)。3.應(yīng)用類型

包括：HTTP、SMTP、POP3、FTP、TELNET、NULL_TCP（自定義通道）4.源機(jī)IP地址5.源機(jī)端口6.目的機(jī)IP地址

代理模式無須設(shè)置目的機(jī)IP地址和端口7.目的機(jī)端口8.允許最大連接數(shù)9.證書認(rèn)證8/16/2024308/16/2024318/16/2024328/16/2024331.HTTP應(yīng)用

允許訪問主機(jī)策略、訪問內(nèi)容審計(jì)策略、其他策略(禁止訪問文件類型、禁止腳本、禁止查詢字串、禁止 POST、禁止COOKIE)2.SMTP應(yīng)用

允許主機(jī)地址策略、郵件內(nèi)容審計(jì)策略、禁止發(fā)件地址策略、禁止收件地址策略、禁止郵件主題策略、其他策略(禁止附件文件類型、禁止腳本、發(fā)送郵件大小、病毒掃描)3.POP3應(yīng)用允許主機(jī)地址策略、郵件內(nèi)容審計(jì)策略、禁止發(fā)件地址策略、禁止收件地址策略、禁止郵件主題策略、其他策略(禁止附件文件類型、禁止腳本、接收郵件大小、病毒掃描)8/16/202434設(shè)置客戶端可以訪問的主機(jī)地址，并選擇使用的應(yīng)用通道。主機(jī)地址支持通配符，如：*.，可以訪問以結(jié)尾的主機(jī)；*，則可以訪問所有主機(jī)。8/16/202435設(shè)置訪問內(nèi)容過濾的關(guān)鍵字。8/16/2024361.禁止訪問文件類型輸入文件擴(kuò)展名，以“|”間隔，區(qū)分大小寫。如：rar|zip|rm2.禁止腳本選擇某一一應(yīng)用通道的禁止腳本策略，選擇“設(shè)置策略內(nèi)容”，在設(shè)置界面中，選擇“是”或“否”。3.禁止查詢字串選擇某一一應(yīng)用通道的禁止查詢字串策略，選擇“設(shè)置策略內(nèi)容”，在設(shè)置界面中，選擇“是”或“否”。4.禁止POST

選擇某一一應(yīng)用通道的禁止POST策略，選擇“設(shè)置策略內(nèi)容”，在設(shè)置界面中，選擇“是”或“否”。5.禁止COOKIE

選擇某一一應(yīng)用通道的禁止COOKIE策略，選擇“設(shè)置策略內(nèi)容”，在設(shè) 置界面中，選擇“是”或“否”。8/16/202437選擇菜單“安全策略”->“SMTP應(yīng)用”->“允許主機(jī)地址策略”，顯示策略內(nèi)容列表。

8/16/202438“允許主機(jī)地址”為允許使用的SMTP主機(jī)。添加界面如下：

8/16/202439修改策略內(nèi)容界面如下：

8/16/202440除了添加、修改策略等功能以外，還提供：刪除策略在策略列表中選定某一策略，在右鍵菜單中選擇“刪除”或直接按 “DEL”鍵，確認(rèn)后，就可以刪除選定的策略了。策略生效設(shè)置