網(wǎng)絡安全設備介紹

網(wǎng)絡安全設備1、防火墻定義防火墻指的是一個有軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。它可通過監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結(jié)構(gòu)和運行狀況，以此來實現(xiàn)網(wǎng)絡的安全保護。主要功能1、過濾進、出網(wǎng)絡的數(shù)據(jù)2、防止不安全的協(xié)議和服務3、管理進、出網(wǎng)絡的訪問行為4、記錄通過防火墻的信息內(nèi)容5、對網(wǎng)絡攻擊進行檢測與警告6、防止外部對內(nèi)部網(wǎng)絡信息的獲取7、提供與外部連接的集中管理主要類型1、網(wǎng)絡層防火墻一般是基于源地址和目的地址、應用、協(xié)議以及每個IP包的端口來作出通過與否的判斷。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會使用默認規(guī)則，一般情況下，默認規(guī)則就是要求防火墻丟棄該包，其次，通過定義基于TCP或UDP數(shù)據(jù)包的端口號，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。2、應用層防火墻針對特別的網(wǎng)絡應用服務協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報告。主動被動傳統(tǒng)防火墻是主動安全的概念；因為默認情況下是關(guān)閉所有的訪問，然后再通過定制策略去開放允許開放的訪問。下一代防火墻（NGFW）主要是一款全面應對應用層威脅的高性能防火墻?？梢宰龅街悄芑鲃臃烙?、應用層數(shù)據(jù)防泄漏、應用層洞察與控制、威脅防護等特性。

下一代防火墻在一臺設備里面集成了傳統(tǒng)防火墻、IPS、應用識別、內(nèi)容過濾等功能既降低了整體網(wǎng)絡安全系統(tǒng)的采購投入，又減去了多臺設備接入網(wǎng)絡帶來的部署成本，還通過應用識別和用戶管理等技術(shù)降低了管理人員的維護和管理成本。使用方式防火墻部署于單位或企業(yè)內(nèi)部網(wǎng)絡的出口位置。局限性不能防止源于內(nèi)部的攻擊，不提供對內(nèi)部的保護不能防病毒不能根據(jù)網(wǎng)絡被惡意使用和攻擊的情況動態(tài)調(diào)整自己的策略本身的防攻擊能力不夠，容易成為被攻擊的首要目標2、IDS（入侵檢測系統(tǒng)）定義入侵檢測即通過從網(wǎng)絡系統(tǒng)中的若干關(guān)鍵節(jié)點收集并分析信息，監(jiān)控網(wǎng)絡中是否有違反安全策略的行為或者是否存在入侵行為。入侵檢測系統(tǒng)通常包含3個必要的功能組件：信息來源、分析引擎和響應組件。工作原理1、信息收集

信息收集包括收集系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為。入侵檢測利用的信息一般來自：系統(tǒng)和網(wǎng)絡日志文件、非正常的目錄和文件改變、非正常的程序執(zhí)行這三個方面。

2、信號分析

對收集到的有關(guān)系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息，是通過模式匹配、統(tǒng)計分析和完整性分析這三種手段進行分析的。前兩種用于實時入侵檢測，完整性分析用于事后分析。3、告警與響應根據(jù)入侵性質(zhì)和類型，做出相應的告警與響應。主要功能它能夠提供安全審計、監(jiān)視、攻擊識別和反攻擊等多項功能，對內(nèi)部攻擊、外部攻擊和誤操作進行實時監(jiān)控，在網(wǎng)絡安全技術(shù)中起到了不可替代的作用。1、實時監(jiān)測：實時地監(jiān)視、分析網(wǎng)絡中所有的數(shù)據(jù)報文，發(fā)現(xiàn)并實時處理所捕獲的數(shù)據(jù)報文；2、安全審計：對系統(tǒng)記錄的網(wǎng)絡事件進行統(tǒng)計分析，發(fā)現(xiàn)異?，F(xiàn)象，得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)3、主動響應：主動切斷連接或與防火墻聯(lián)動，調(diào)用其他程序處理。4、漏洞掃描設備定義漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為。主要功能可以對網(wǎng)站、系統(tǒng)、數(shù)據(jù)庫、端口、應用軟件等一些網(wǎng)絡設備應用進行智能識別掃描檢測，并對其檢測出的漏洞進行報警提示管理人員進行修復。同時可以對漏洞修復情況進行監(jiān)督并自動定時對漏洞進行審計提高漏洞修復效率。1、定期的網(wǎng)絡安全自我檢測、評估安全檢測可幫助客戶最大可能的消除安全隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進行修補，有效的利用已有系統(tǒng)，提高網(wǎng)絡的運行效率。2、安裝新軟件、啟動新服務后的檢查由于漏洞和安全隱患的形式多種多樣，安裝新軟件和啟動新服務都有可能使原來隱藏的漏洞暴露出來，因此進行這些操作之后應該重新掃描系統(tǒng)，才能使安全得到保障。3、網(wǎng)絡承擔重要任務前的安全性測試4、網(wǎng)絡安全事故后的分析調(diào)查網(wǎng)絡安全事故后可以通過網(wǎng)絡漏洞掃描/網(wǎng)絡評估系統(tǒng)分析確定網(wǎng)絡被攻擊的漏洞所在，幫助彌補漏洞，盡可能多得提供資料方便調(diào)查攻擊的來源。5、重大網(wǎng)絡安全事件前的準備重大網(wǎng)絡安全事件前網(wǎng)絡漏洞掃描/網(wǎng)絡評估系統(tǒng)能夠幫助用戶及時的找出網(wǎng)絡中存在的隱患和漏洞，幫助用戶及時的彌補漏洞。主要技術(shù)1.主機掃描：確定在目標網(wǎng)絡上的主機是否在線。2.端口掃描：發(fā)現(xiàn)遠程主機開放的端口以及服務。3.OS識別技術(shù):根據(jù)信息和協(xié)議棧判別操作系統(tǒng)。4.漏洞檢測數(shù)據(jù)采集技術(shù)：按照網(wǎng)絡、系統(tǒng)、數(shù)據(jù)庫進行掃描。5.智能端口識別、多重服務檢測、安全優(yōu)化掃描、系統(tǒng)滲透掃描6.多種數(shù)據(jù)庫自動化檢查技術(shù)，數(shù)據(jù)庫實例發(fā)現(xiàn)技術(shù)；主要類型1.針對網(wǎng)絡的掃描器：基于網(wǎng)絡的掃描器就是通過網(wǎng)絡來掃描遠程計算機中的漏洞。價格相對來說比較便宜；在操作過程中，不需要涉及到目標系統(tǒng)的管理員，在檢測過程中不需要在目標系統(tǒng)上安裝任何東西；維護簡便。2.針對主機的掃描器：基于主機的掃描器則是在目標系統(tǒng)上安裝了一個代理或者是服務，以便能夠訪問所有的文件與進程，這也使得基于主機的掃描器能夠掃描到更多的漏洞。3.針對數(shù)據(jù)庫的掃描器：數(shù)據(jù)庫漏掃可以檢測出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補丁未升級等自身漏洞。使用方式1、獨立式部署：在網(wǎng)絡中只部署一臺漏掃設備，接入網(wǎng)絡并進行正確的配置即可正常使用，其工作范圍通常包含用戶企業(yè)的整個網(wǎng)絡地址。用戶可以從任意地址登錄漏掃系統(tǒng)并下達掃描評估任務，檢查任務的地址必須在產(chǎn)品和分配給此用戶的授權(quán)范圍內(nèi)。2、多級式部署：對于一些大規(guī)模和分布式網(wǎng)絡用戶，建議使用分布式部署方式。在大型網(wǎng)絡中采用多臺漏掃系統(tǒng)共同工作，可對各系統(tǒng)間的數(shù)據(jù)共享并匯總，方便用戶對分布式網(wǎng)絡進行集中管理。優(yōu)缺點優(yōu)點有利于及早發(fā)現(xiàn)問題，并從根本上解決安全隱患。不足只能針對已知安全問題進行掃描；準確性和指導性有待改善。5、安全隔離網(wǎng)閘定義安全隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立網(wǎng)絡系統(tǒng)的信息安全設備。由于物理隔離網(wǎng)閘所連接的兩個獨立網(wǎng)絡系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現(xiàn)了真正的安全。功能模塊安全隔離閘門的功能模塊有：安全隔離、內(nèi)核防護、協(xié)議轉(zhuǎn)換、病毒查殺、訪問控制、安全審計、身份認證主要功能1、阻斷網(wǎng)絡的直接物理連接：物理隔離網(wǎng)閘在任何時刻都只能與非可信網(wǎng)絡和可信網(wǎng)絡上之一相連接，而不能同時與兩個網(wǎng)絡連接；2、阻斷網(wǎng)絡的邏輯連接：物理隔離網(wǎng)閘不依賴操作系統(tǒng)、不支持TCP/IP協(xié)議。兩個網(wǎng)絡之間的信息交換必須將TCP/IP協(xié)議剝離，將原始數(shù)據(jù)通過P2P的非TCP/IP連接方式，通過存儲介質(zhì)的“寫入”與“讀出”完成數(shù)據(jù)轉(zhuǎn)發(fā)；3、安全審查：物理隔離網(wǎng)閘具有安全審查功能，即網(wǎng)絡在將原始數(shù)據(jù)“寫入”物理隔離網(wǎng)閘前，根據(jù)需要對原始數(shù)據(jù)的安全性進行檢查，把可能的病毒代碼、惡意攻擊代碼消滅干凈等；4、原始數(shù)據(jù)無危害性：物理隔離網(wǎng)閘轉(zhuǎn)發(fā)的原始數(shù)據(jù)，不具有攻擊或?qū)W(wǎng)絡安全有害的特性。就像txt文本不會有病毒一樣，也不會執(zhí)行命令等。5、管理和控制功能：建立完善的日志系統(tǒng)。6、根據(jù)需要建立數(shù)據(jù)特征庫：在應用初始化階段，結(jié)合應用要求，提取應用數(shù)據(jù)的特征，形成用戶特有的數(shù)據(jù)特征庫，作為運行過程中數(shù)據(jù)校驗的基礎。當用戶請求時，提取用戶的應用數(shù)據(jù)，抽取數(shù)據(jù)特征和原始數(shù)據(jù)特征庫比較，符合原始特征庫的數(shù)據(jù)請求進入請求隊列，不符合的返回用戶，實現(xiàn)對數(shù)據(jù)的過濾。7、根據(jù)需要提供定制安全策略和傳輸策略的功能：用戶可以自行設定數(shù)據(jù)的傳輸策略，如：傳輸單位（基于數(shù)據(jù)還是基于任務）、傳輸間隔、傳輸方向、傳輸時間、啟動時間等。8、支持定時/實時文件交換；支持支持單向/雙向文件交換；支持數(shù)字簽名、內(nèi)容過濾、病毒檢查等功能。工作原理安全隔離網(wǎng)閘的組成：安全隔離網(wǎng)閘是實現(xiàn)兩個相互業(yè)務隔離的網(wǎng)絡之間的數(shù)據(jù)交換，通用的網(wǎng)閘模型設計一般分三個基本部分：1、內(nèi)網(wǎng)處理單元：包括內(nèi)網(wǎng)接口單元與內(nèi)網(wǎng)數(shù)據(jù)緩沖區(qū)。接口部分負責與內(nèi)網(wǎng)的連接，并終止內(nèi)網(wǎng)用戶的網(wǎng)絡連接，對數(shù)據(jù)進行病毒檢測、防火墻、入侵防護等安全檢測后剝離出“純數(shù)據(jù)”，作好交換的準備，也完成來自內(nèi)網(wǎng)對用戶身份的確認，確保數(shù)據(jù)的安全通道；數(shù)據(jù)緩沖區(qū)是存放并調(diào)度剝離后的數(shù)據(jù)，負責與隔離交換單元的數(shù)據(jù)交換。2、外網(wǎng)處理單元：與內(nèi)網(wǎng)處理單元功能相同，但處理的是外網(wǎng)連接。3、隔離與交換控制單元（隔離硬件）：是網(wǎng)閘隔離控制的擺渡控制，控制交換通道的開啟與關(guān)閉。控制單元中包含一個數(shù)據(jù)交換區(qū)，就是數(shù)據(jù)交換中的擺渡船。對交換通道的控制的方式目前有兩種技術(shù)，擺渡開關(guān)與通道控制。擺渡開關(guān)是電子倒換開關(guān)，讓數(shù)據(jù)交換區(qū)與內(nèi)外網(wǎng)在任意時刻的不同時連接，形成空間間隔GAP，實現(xiàn)物理隔離。通道方式是在內(nèi)外網(wǎng)之間改變通訊模式，中斷了內(nèi)外網(wǎng)的直接連接，采用私密的通訊手段形成內(nèi)外網(wǎng)的物理隔離。該單元中有一個數(shù)據(jù)交換區(qū)，作為交換數(shù)據(jù)的中轉(zhuǎn)。其中，三個單元都要求其軟件的操作系統(tǒng)是安全的，也就是采用非通用的操作系統(tǒng)，或改造后的專用操作系統(tǒng)。一般為UnixBSD或Linux的經(jīng)安全精簡版本，或者其他是嵌入式操作系統(tǒng)等，但都要對底層不需要的協(xié)議、服務刪除，使用的協(xié)議優(yōu)化改造，增加安全特性，同時提高效率。如果針對網(wǎng)絡七層協(xié)議，安全隔離網(wǎng)閘是在硬件鏈路層上斷開。區(qū)別比較1、與物理隔離卡的區(qū)別安全隔離網(wǎng)閘與物理隔離卡最主要的區(qū)別是，安全隔離網(wǎng)閘能夠?qū)崿F(xiàn)兩個網(wǎng)絡間的自動的安全適度的信息交換，而物理隔離卡只能提供一臺計算機在兩個網(wǎng)之間切換，并且需要手動操作，大部分的隔離卡還要求系統(tǒng)重新啟動以便切換硬盤。2、網(wǎng)絡交換信息的區(qū)別安全隔離網(wǎng)閘在網(wǎng)絡間進行的安全適度的信息交換是在網(wǎng)絡之間不存在鏈路層連接的情況下進行的。安全隔離網(wǎng)閘直接處理網(wǎng)絡間的應用層數(shù)據(jù)，利用存儲轉(zhuǎn)發(fā)的方法進行應用數(shù)據(jù)的交換，在交換的同時，對應用數(shù)據(jù)進行的各種安全檢查。路由器、交換機則保持鏈路層暢通，在鏈路層之上進行IP包等網(wǎng)絡層數(shù)據(jù)的直接轉(zhuǎn)發(fā)，沒有考慮網(wǎng)絡安全和數(shù)據(jù)安全的問題。3、與防火墻的區(qū)別防火墻一般在進行IP包轉(zhuǎn)發(fā)的同時，通過對IP包的處理，實現(xiàn)對TCP會話的控制，但是對應用數(shù)據(jù)的內(nèi)容不進行檢查。這種工作方式無法防止泄密，也無法防止病毒和黑客程序的攻擊。使用方式涉密網(wǎng)與非涉密網(wǎng)之間局域網(wǎng)與互聯(lián)網(wǎng)之間（內(nèi)網(wǎng)與外網(wǎng)之間）辦公網(wǎng)與業(yè)務網(wǎng)之間業(yè)務網(wǎng)與互聯(lián)網(wǎng)之間6、VPN設備定義虛擬專用網(wǎng)絡指的是在公用網(wǎng)絡上建立專用網(wǎng)絡的技術(shù)。之所以稱為虛擬網(wǎng)主要是因為整個VPN網(wǎng)絡的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是架構(gòu)在公用網(wǎng)絡服務商所提供的網(wǎng)絡平臺之上的邏輯網(wǎng)絡，用戶數(shù)據(jù)在邏輯鏈路中傳輸。主要功能1、通過隧道或虛電路實現(xiàn)網(wǎng)絡互聯(lián)2、支持用戶安全管理3、能夠進行網(wǎng)絡監(jiān)控、故障診斷。工作原理1、通常情況下，VPN網(wǎng)關(guān)采取雙網(wǎng)卡結(jié)構(gòu)，外網(wǎng)卡使用公網(wǎng)IP接入Internet。2、網(wǎng)絡一(假定為公網(wǎng)internet)的終端A訪問網(wǎng)絡二(假定為公司內(nèi)網(wǎng))的終端B，其發(fā)出的訪問數(shù)據(jù)包的目標地址為終端B的內(nèi)部IP地址。3、網(wǎng)絡一的VPN網(wǎng)關(guān)在接收到終端A發(fā)出的訪問數(shù)據(jù)包時對其目標地址進行檢查，如果目標地址屬于網(wǎng)絡二的地址，則將該數(shù)據(jù)包進行封裝，封裝的方式根據(jù)所采用的VPN技術(shù)不同而不同，同時VPN網(wǎng)關(guān)會構(gòu)造一個新VPN數(shù)據(jù)包，并將封裝后的原數(shù)據(jù)包作為VPN數(shù)據(jù)包的負載，VPN數(shù)據(jù)包的目標地址為網(wǎng)絡二的VPN網(wǎng)關(guān)的外部地址。4、網(wǎng)絡一的VPN網(wǎng)關(guān)將VPN數(shù)據(jù)包發(fā)送到Internet，由于VPN數(shù)據(jù)包的目標地址是網(wǎng)絡二的VPN網(wǎng)關(guān)的外部地址，所以該數(shù)據(jù)包將被Internet中的路由正確地發(fā)送到網(wǎng)絡二的VPN網(wǎng)關(guān)。5、網(wǎng)絡二的VPN網(wǎng)關(guān)對接收到的數(shù)據(jù)包進行檢查，如果發(fā)現(xiàn)該數(shù)據(jù)包是從網(wǎng)絡一的VPN網(wǎng)關(guān)發(fā)出的，即可判定該數(shù)據(jù)包為VPN數(shù)據(jù)包，并對該數(shù)據(jù)包進行解包處理。解包的過程主要是先將VPN數(shù)據(jù)包的包頭剝離，再將數(shù)據(jù)包反向處理還原成原始的數(shù)據(jù)包。6、網(wǎng)絡二的VPN網(wǎng)關(guān)將還原后的原始數(shù)據(jù)包發(fā)送至目標終端B，由于原始數(shù)據(jù)包的目標地址是終端B的IP，所以該數(shù)據(jù)包能夠被正確地發(fā)送到終端B。在終端B看來，它收到的數(shù)據(jù)包就和從終端A直接發(fā)過來的一樣。7、從終端B返回終端A的數(shù)據(jù)包處理過程和上述過程一樣，這樣兩個網(wǎng)絡內(nèi)的終端就可以相互通訊了。通過上述說明可以發(fā)現(xiàn)，在VPN網(wǎng)關(guān)對數(shù)據(jù)包進行處理時，有兩個參數(shù)對于VPN通訊十分重要：原始數(shù)據(jù)包的目標地址（VPN目標地址）和遠程VPN網(wǎng)關(guān)地址。根據(jù)VPN目標地址，VPN網(wǎng)關(guān)能夠判斷對哪些數(shù)據(jù)包進行VPN處理，對于不需要處理的數(shù)據(jù)包通常情況下可直接轉(zhuǎn)發(fā)到上級路由；遠程VPN網(wǎng)關(guān)地址則指定了處理后的VPN數(shù)據(jù)包發(fā)送的目標地址，即VPN隧道的另一端VPN網(wǎng)關(guān)地址。由于網(wǎng)絡通訊是雙向的，在進行VPN通訊時，隧道兩端的VPN網(wǎng)關(guān)都必須知道VPN目標地址和與此對應的遠端VPN網(wǎng)關(guān)地址。常用VPN技術(shù)1、MPLSVPN：是一種基于MPLS技術(shù)的IPVPN，是在網(wǎng)絡路由和交換設備上應用MPLS（多協(xié)議標記交換）技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標記交換實現(xiàn)的IP虛擬專用網(wǎng)絡（IPVPN）。MPLS優(yōu)勢在于將二層交換和三層路由技術(shù)結(jié)合起來，在解決VPN、服務分類和流量工程這些IP網(wǎng)絡的重大問題時具有很優(yōu)異的表現(xiàn)。因此，MPLSVPN在解決企業(yè)互連、提供各種新業(yè)務方面也越來越被運營商看好，成為在IP網(wǎng)絡運營商提供增值業(yè)務的重要手段。MPLSVPN又可分為二層MPLSVPN（即MPLSL2VPN）和三層MPLSVPN（即MPLSL3VPN）。2、SSLVPN：是以HTTPS（SecureHTTP，安全的HTTP，即支持SSL的HTTP協(xié)議）為基礎的VPN技術(shù)，工作在傳輸層和應用層之間。SSLVPN充分利用了SSL協(xié)議提供的基于證書的身份認證、數(shù)據(jù)加密和消息完整性驗證機制，可以為應用層之間的通信建立安全連接。SSLVPN廣泛應用于基于Web的遠程安全接入，為用戶遠程訪問公司內(nèi)部網(wǎng)絡提供了安全保證。3．IPSecVPN是基于IPSec協(xié)議的VPN技術(shù)，由IPSec協(xié)議提供隧道安全保障。IPSec是一種由IETF設計的端到端的確保基于IP通訊的數(shù)據(jù)安全性的機制。它為Internet上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、可互操作的、基于密碼學的安全保證。主要類型按所用的設備類型進行分類：主要為交換機、路由器和防火墻：（1）路由器式VPN：路由器式VPN部署較容易，只要在路由器上添加VPN服務即可；（2）交換機式VPN：主要應用于連接用戶較少的VPN網(wǎng)絡；（3）防火墻式VPN：防火墻式VPN是最常見的一種VPN的實現(xiàn)方式，許多廠商都提供這種配置類型；VPN的隧道協(xié)議主要有三種，PPTP、L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議。實現(xiàn)方式VPN的實現(xiàn)有很多種方法，常用的有以下四種：1．VPN服務器：在大型局域網(wǎng)中，可以通過在網(wǎng)絡中心搭建VPN服務器的方法實現(xiàn)VPN。2．軟件VPN：可以通過專用的軟件實現(xiàn)VPN。3．硬件VPN：可以通過專用的硬件實現(xiàn)VPN。4．集成VPN：某些硬件設備，如路由器、防火墻等，都含有VPN功能，但是一般擁有VPN功能的硬件設備通常都比沒有這一功能的要貴。7、流量監(jiān)控設備定義網(wǎng)絡流量控制是一種利用軟件或硬件方式來實現(xiàn)對電腦網(wǎng)絡流量的控制。它的最主要方法，是引入QoS的概念，從通過為不同類型的網(wǎng)絡數(shù)據(jù)包標記，從而決定數(shù)據(jù)包通行的優(yōu)先次序。技術(shù)類型流控技術(shù)分為兩種：一種是傳統(tǒng)的流控方式，通過路由器、交換機的QoS模塊實現(xiàn)基于源地址、目的地址、源端口、目的端口以及協(xié)議類型的流量控制，屬于四層流控；路由交換設備可以通過修改路由轉(zhuǎn)發(fā)表，實現(xiàn)一定程度的流量控制，但這種傳統(tǒng)的IP包流量識別和QoS控制技術(shù)，僅對IP包頭中的“五元組”信息進行分析，來確定當前流量的基本信息。傳統(tǒng)IP路由器也正是通過這一系列信息來實現(xiàn)一定程度的流量識別和QoS保障，但其僅僅分析IP包的四層以下的內(nèi)容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型。隨著網(wǎng)上應用類型的不斷豐富，僅通過第四層端口信息已經(jīng)不能真正判斷流量中的應用類型，更不能應對基于開放端口、隨機端口甚至采用加密方式進行傳輸?shù)膽妙愋?。例如，P2P類應用會使用跳動端口技術(shù)及加密方式進行傳輸，基于交換路由設備進行流量控制的方法對此完全失效。另一種是智能流控方式，通過專業(yè)的流控設備實現(xiàn)基于應用層的流控，屬于七層流控。主要功能1、全面透視網(wǎng)絡流量，快速發(fā)現(xiàn)與定位網(wǎng)絡故障2、保障關(guān)鍵應用的穩(wěn)定運行，確保重要業(yè)務順暢地使用網(wǎng)絡3、限制與工作無關(guān)的流量，防止對帶寬的濫用4、管理員工上網(wǎng)行為，提高員工網(wǎng)上辦公的效率5、依照法規(guī)要求記錄上網(wǎng)日志，避免違法行為6、保障內(nèi)部信息安全，減少泄密風險7、保障服務器帶寬，保護服務器安全8、內(nèi)置企業(yè)級路由器與防火墻，降低安全風險9、專業(yè)負載均衡，提升多線路的使用價值使用方式1、網(wǎng)關(guān)模式:置于出口網(wǎng)關(guān)，所有數(shù)據(jù)流直接經(jīng)由設備端口通過；2、網(wǎng)橋模式：如同集線器的作用，設備置于網(wǎng)關(guān)出口之后，設置簡單、透明；3、旁路模式：與交換機鏡像端口相連，通過對網(wǎng)絡出口的交換機進行鏡像映射，設備獲得鏈路中的數(shù)據(jù)“拷貝”，主要用于監(jiān)聽、審計局域網(wǎng)中的數(shù)據(jù)流及用戶的網(wǎng)絡行為。8、防病毒網(wǎng)關(guān)（防毒墻）定義防病毒網(wǎng)關(guān)是一種網(wǎng)絡設備，用以保護網(wǎng)絡內(nèi)（一般是局域網(wǎng)）進出數(shù)據(jù)的安全。主要體現(xiàn)在病毒殺除、關(guān)鍵字過濾（如色情、反動）、垃圾郵件阻止的功能，同時部分設備也具有一定防火墻（劃分Vlan）的功能。主要功能1、病毒殺除2、關(guān)鍵字過濾3、垃圾郵件阻止的功能4、部分設備也具有一定防火墻能夠檢測進出網(wǎng)絡內(nèi)部的數(shù)據(jù)，對http、ftp、SMTP、IMAP和POP3五種協(xié)議的數(shù)據(jù)進行病毒掃描，一旦發(fā)現(xiàn)病毒就會采取相應的手段進行隔離或查殺，在防護病毒方面起到了非常大的作用。與防火墻的區(qū)別1、防病毒網(wǎng)關(guān)：專注病毒過濾，阻斷病毒傳輸，工作協(xié)議層為ISO2-7層，分析數(shù)據(jù)包中的傳輸數(shù)據(jù)內(nèi)容，運用病毒分析技術(shù)處理病毒體，具有防火墻訪問控制功能模塊2、防火墻：專注訪問控制，控制非法授權(quán)訪問，工作協(xié)議層為ISO2-4層，分析數(shù)據(jù)包中源IP目的IP，對比規(guī)則控制訪問方向，不具有病毒過濾功能與防病毒軟件的區(qū)別1、防病毒網(wǎng)關(guān)：基于網(wǎng)絡層過濾病毒；阻斷病毒體網(wǎng)絡傳輸；網(wǎng)關(guān)阻斷病毒傳輸，主動防御病毒于網(wǎng)絡之外；網(wǎng)關(guān)設備配置病毒過濾策略，方便、扼守咽喉；過濾出入網(wǎng)關(guān)的數(shù)據(jù)；與殺毒軟件聯(lián)動建立多層次反病毒體系。2、防病毒軟件：基于操作系統(tǒng)病毒清除；清除進入操作系統(tǒng)病毒；病毒對系統(tǒng)核心技術(shù)濫用導致病毒清除困難，研究主動防御技術(shù)；主動防御技術(shù)專業(yè)性強，普及困難；管理安裝殺毒軟件終端；病毒發(fā)展互聯(lián)網(wǎng)化需要網(wǎng)關(guān)級反病毒技術(shù)配合。查殺方式對進出防病毒網(wǎng)關(guān)數(shù)據(jù)監(jiān)測：以特征碼匹配技術(shù)為主；對監(jiān)測出病毒數(shù)據(jù)進行查殺：采取將數(shù)據(jù)包還原成文件的方式進行病毒處理。1、基于代理服務器的方式2、基于防火墻協(xié)議還原的方式3、基于郵件服務器的方式使用方式1、透明模式：串聯(lián)接入網(wǎng)絡出口處，部署簡單2、旁路代理模式：強制客戶端的流量經(jīng)過防病毒網(wǎng)關(guān)，防病毒網(wǎng)關(guān)僅僅需要處理要檢測的相關(guān)協(xié)議，不需要處理其他協(xié)議的轉(zhuǎn)發(fā)，可以較好的提高設備性能。3、旁路模式：與旁路代理模式部署的拓撲一樣，不同的是，旁路模式只能起到檢測作用，對于已檢測到的病毒無法做到清除。9、WAF（Web應用防火墻）定義Web應用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一種設備。產(chǎn)生背景當WEB應用越來越為豐富的同時，WEB服務器以其強大的計算能力、處理性能及蘊含的較高價值逐漸成為主要攻擊目標。SQL注入、網(wǎng)頁篡改、網(wǎng)頁掛馬等安全事件，頻繁發(fā)生。企業(yè)等用戶一般采用防火墻作為安全保障體系的第一道防線。但是，在現(xiàn)實中，他們存在這樣那樣的問題，由此產(chǎn)生了WAF（Web應用防護系統(tǒng)）。Web應用防護系統(tǒng)用以解決諸如防火墻一類傳統(tǒng)設備束手無策的Web應用安全問題。與傳統(tǒng)防火墻不同，WAF工作在應用層，因此對Web應用防護具有先天的技術(shù)優(yōu)勢。基于對Web應用業(yè)務和邏輯的深刻理解，WAF對來自Web應用程序客戶端的各類請求進行內(nèi)容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類網(wǎng)站站點進行有效防護。主要功能1、審計設備：用來截獲所以HTTP數(shù)據(jù)或者僅僅滿足某些規(guī)則的會話；2、訪問控制設備：用來控制對Web應用的訪問，既包括主動安全模式也包括被動安全模式。3、架構(gòu)/網(wǎng)絡設計工具：當運行在反向代理模式，他們被用來分配職能，集中控制，虛擬基礎結(jié)構(gòu)等。4、WEB應用加固工具：這些功能增強被保護Web應用的安全性，它不僅能夠屏蔽WEB應用固有弱點，而且能夠保護WEB應用編程錯誤導致的安全隱患。主要包括防攻擊、防漏洞、防暗鏈、防爬蟲、防掛