网络设备、安全设备知识点汇总
1、防火墙(Firewall)
定义:相信大家都知道防火墙是干什么用的, 我以为须要特殊提醒一下,防火墙抵御的是外部的攻击,并不能对内部的病毒 ( 如ARP病毒 ) 或攻击没什么太大浸染。
功能:防火墙的功能紧张是两个网络之间做边界防护, 企业中更多利用的是企业内网与互联网的NAT、包过滤规则、端口映射等功能。生产网与办公网中做逻辑隔离利用, 紧张功能是包过滤规则的利用。
支配办法:网关模式、透明模式 :
网关模式是现在用的最多的模式,可以替代路由器并供应更多的功能,适用于各种类型企业透明支配是在不改变现有网络构造的情形下,将防火墙以透明网桥的模式串联到企业的网络中间,通过包过滤规则进行访问掌握,做安全域的划分。至于什么时候利用网关模式或者利用透明模式,须要根据自身须要决定,没有绝对的支配办法。需不须要将做事器支配在 DMZ区,取决于做事器的数量、主要性。
总之怎么支配都是用户自己的选择!
高可用性:为了担保网络可靠性,现在设备都支持主 - 主、主- 备,等各种支配。
2、防毒墙
定义:相对付防毒墙来说,一样平常都具有防火墙的功能, 防御的工具更具有针对性,那便是病毒。
功能:同防火墙,并增加病毒特色库,对数据进行与病毒特色库进行比对,进行查杀病毒。
支配办法:同防火墙,大多数时候利用透明模式支配在防火墙或路由器后或支配在做事器之前,进行病毒戒备与查杀。
3、入侵防御(IPS)
定义:相对付防火墙来说,一样平常都具有防火墙的功能,防御的工具更具有针对性, 那便是攻击。防火墙是通过对五元组进行掌握,达到包过滤的效果,而入侵防御 IPS,则是将数据包进行检测 (深度包检测 DPI)对蠕虫、病毒、木马、谢绝做事等攻击进行查杀。
功能:同防火墙,并增加 IPS 特色库,对攻击行为进行防御。
支配办法:同防毒墙。
特殊解释一下:防火墙许可符合规则的数据包进行传输,对数据包中是否有病毒代码或攻击代码并不进行检讨,而防毒墙和入侵防御则通过更深的对数据包的检讨填补了这一点。
4、统一威胁安全网关(UTM)
定义:大略的理解,把威胁都统一了,实在便是把上面三个设备整合到一起了。
功能:同时具备防火墙、防毒墙入侵防护三个设备的功能。
支配办法:由于可以代替防火墙功能,以是支配办法同防火墙
现在大多数厂商,防病毒和入侵防护已经作为防火墙的模块来用,在不考虑硬件性能以及用度的情形下,开启了防病毒模块和入侵防护模块的防火墙,和UTM实在是一样的。至于为什么网络中同时会涌现 UTM和防火墙、防病毒、入侵检测同时涌现。
第一,实际须要,在做事器区前支配防毒墙, 防护外网病毒的同时,也可以检测和防护内网用户对做事器的攻击。第二,费钱,大家都懂的。总之还是那句话,设备支配还是看用户。
5、IPSEC VPN
把 IPSECVPN放到网络安全防护里,实在是由于大多数情形下, IPSEC VPN的利用都是通过上述设备来做的,而且通过加密隧道访问网络,本身也是对网络的一种安全防护。
定义:采取 IPSec 协议来实现远程接入的一种 VPN技能,至于什么是 IPSEC 什么是 VPN,小伙伴们请自行百度吧
功能:通过利用 IPSECVPN使客户端或一个网络与其余一个网络连接起来,多数用在分支机构与总部连接。
支配办法:网关模式、旁路模式
鉴于网关类设备基本都具备 IPSECVPN功能,以是很多情形下都是直接在网关设备上启用 IPSEC VPN功能,也有个别情形新购买IPSEC VPN设备,在对现有网络没有影响的情形下进行旁路支配,支配后须要对IPSECVPN设备放通安全规则,做端口映射等等。也可以利用 windows server 支配 VPN,须要的同学也请自行百度 ~比较硬件设备,自己支配没有什么花费,但 IPSECVPN受操作系统影响,比较硬件设备稳定性会差一些。
以上设备常见厂家( 不排名啊不排名 )
JuniperCheck Point Fortinet (飞塔)思科 天融信 山石网科 启明星辰 深信服 绿盟网御星云 网御神州 华赛 梭子鱼 迪普H3C
6、网闸
定义:全称安全隔离网闸。安全隔离网闸是一种由带有多种掌握功能专用硬件在电路上割断网络之间的链路层连接, 并能够在网络间进行安全适度的运用数据交流的网络安全设备
功能:紧张是在两个网络之间做隔离并须要数据交流,网闸是具有中国特色的产品。
支配办法:两套网络之间
防火一样平常在两套网络之间做逻辑隔离, 而网闸符合干系哀求,可以做物理隔离,阻断网络中 tcp 等协议,利用私有协议进行数据交流,一样平常企业用的比较少, 在对网络哀求轻微高一些的单位会用到网闸。
7、SSL VPN
定义:采取 SSL协议的一种 VPN技能,比较 IPSEC VPN利用起来要更加方便,毕竟 SSL VPN利用浏览器即可利用。
功能:随着移动办公的快速发展,SSL VPN的利用也越来越多,除了移动办公利用,通过浏览器登录SSL***到其他网络也十分方便, IPSEC VPN更方向网络接入,而 SSL VPN更方向对运用发布
支配:SSL VPN的支配一样平常采取旁路支配办法,在不改变用户网络的状况下实现移动办公等功能。
8、WAF (Web Application Firewall) web 运用防护系统
定义:名称就可以看出,WAF的防护方面是 web运用,说白了防护的工具是网站及 B/S 构造的各种系统。
功能:针对 HTTP/HTTPS协议进行剖析,对 SQL注入攻击、XSS攻击 Web攻击进行防护,并具备基于 URL 的访问掌握;HTTP协议合规;Web敏感信息防护;文件上传***掌握;Web 表单关键字过滤。网页挂马防护,Webshell 防护以及 web运用交付等功能。
支配:常日支配在 web运用做事器提高行防护
IPS 也能检测出部分web攻击,但没有WAF针对性强,以是根据防护工具不同选用不同设备,效果更好。
9、网络安全审计
定义:审计网络方面的干系内容
功能:针对互联网行为供应有效的行为审计、内容审计、行为报警、行为掌握及干系审计功能。知足用户对互联网行为审计备案及安全保护方法的哀求,供应完全的上网记录,便于信息追踪、系统安全管理和风险戒备。
支配:采取旁路支配模式,通过在核心交流机上设置镜像口,将镜像数据发送到审计设备。
10、数据库安全审计
定义:数据库安全审计系统紧张用于监视并记录对数据库做事器的各种操作行为。
功能:审计对数据库的各种操作,精确到每一条 SQL命令,并有强大的报表功能。
支配:采取旁路支配模式,通过在核心交流机上设置镜像口,将镜像数据发送到审计设备。
11、日志审计
定义:集中采集信息系统中的系统安全事宜、用户访问记录、系统运行日志、系统运行状态等各种信息,经由规范化、过滤、归并和告警剖析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联剖析功能,实现对信息系统日志的全面审计。
功能:通过对网络设备、安全设备、主机和运用系统日志进行全面的标准化处理,及时创造各种安全威胁、非常行为事宜,为管理职员供应全局的视角,确保客户业务的不间断运营安全支配:旁路模式支配。常日由设备发送日志到审计设备, 或在做事器中安装代理,由代理发送日志到审计设备。
12、运维安全审计 ( 堡垒机 )
定义:在一个特定的网络环境下, 为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统破坏和数据透露, 而利用各种技能手段实时网络和监控网络环境中每一个组成部分的系统状态、安全事宜、网络活动,以便集中报警、记录、剖析、处理的一种技能手段。
功能:紧张是针对运维职员掩护过程的全面跟踪、 掌握、记录、回放,以帮助内控事情事前方案预防、事中实时监控、违规行为相应、事后合规报告、事件追踪回放。
支配:旁路模式支配。利用防火墙对做事器访问权限进行限定,只能通过堡垒机对网络设备/做事器/数据库等系统操作。
可以看出审计产品终极的目的都是审计,只不过是审计的内容不同而已,根据不同需求选择不同的审计产品,一旦涌现攻击、造孽操作、违规操作、误操作等行为,对事后处理供应有利证据。
13、入侵检测( IDS)
定义:对入侵攻击行为进行检测
功能:通过对打算机网络或打算机系统中多少关键点网络信息并对其进行剖析, 从中创造网络或系统中是否有违反安全策略的行为和被攻击的迹象
支配:采取旁路支配模式,通过在核心交流机上设置镜像口,将镜像数据发送到入侵检测设备。
入侵检测虽然是入侵攻击行为检测, 但监控的同时也对攻击和非常数据进行了审计,以是把入侵检测系统也放到了审计里一起先容。入侵检测系统是等保三级中必配设备。
14、上网行为管理
定义:顾名思义,便是对上网行为进行管理
功能:对上网用户进行流量管理、上网行为日志进行审计、对运用软件或站点进行阻挡或流量限定、关键字过滤等
支配:网关支配、透明支配、旁路支配
网关支配:中小型企业网络较为大略,可利用上网行为管理作为网关,代替路由器或防火墙并同时具备上网行为管理功能
透明支配:大多数情形下,企业会选择透明支配模式,将设备支配在网关与核心交流之间,对上网数据进行管理
旁路支配:仅须要上网行为管理审计功能时,也可选择旁路支配模式,在核心交流机上配置镜像口将数据发送给上网行为管理
个人以为上网行为管理该当属于网络优化类产品,流控功能是最主要的功能,随着技能的发展,微信认证、防便携式 wifi 等功能不断完善使之成为了网络管理员的最爱 ~
15、负载均衡
定义:将网络或运用多个事情分摊进行并同时完成,一样平常分为链路负载和运用负载 ( 做事器负载 )
功能:确保用户的业务运用能够快速、安全、可靠地交付给内部员工和外部做事群,扩展网络设备和做事器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵巧性和可用性
支配:旁路模式、网关模式、代理模式
旁路模式:常日利用负载均衡进行运用负载时,旁路支配在干系运用做事器交流机上,进行运用负载
网关模式:常日利用链路负载时,利用网关模式支配
随着各种业务的增加,负载均衡的利用也变得广泛, web运用负载,数据库负载都是比较常见的做事器负载。鉴于海内运营商比较恶心,互联互通问题较为严重,利用链路负载的用户也比越来越多。
16、漏洞扫描
定义:漏洞扫描是指基于漏洞数据库, 通过扫描等手段对指定的远程或者本地打算机系统的安全薄弱性进行检测,创造可利用的漏洞的一种安全检测(渗透攻击)行为。
功能:根据自身漏洞库对目标进行薄弱性检测, 并生产干系报告,供应漏洞修复见地等。一样平常企业利用漏洞扫描较少,紧张是大型网络及等、分保检测机构利用较多
支配:旁路支配, 常日旁路支配在核心交流机上, 与检测目标网络可达即可。
17、非常流量洗濯
定义:看名字吧
功能:对非常流量的牵引、 DDoS流量洗濯、 P2P带宽掌握、流量回注,也是现有针对 DDOS攻击防护的紧张设备
支配:旁路支配
VPN 定义
VPN ( Virtual Private Network )虚拟专用网络 ,大略的讲便是由于一些特定的需求, 在网络与网络之间, 或终端与网络之间建立虚拟的专用网络,通过加密隧道进行数据传输 ( 当然也有不加密的 ) ,因其支配方便且具有一定的安全保障,被广泛利用到各个网络环境中。
(二)VPN分类
常见的 VPN有 L2TP VPN 、PPTP、VPN、IPSEC、VPN、SSL、VPN以及 MPLS VPN。
MPLS
VPN 运营商利用较多,利用场景多为总部与分支机构之间。其他 VPN因支配方便,本钱较低成为现在利用最为广泛的 VPN。
L2TPVPN与 PPTP VPN因利用的隧道协议都属于二层协议,以是也称为二层 VPN。IPSEC VPN则采取IPSec 协议,属于三层 VPN。
SSLVPN因此 HTTPS协议为根本 VPN技能,利用掩护大略安全,成为 VPN技能中的佼佼者
(三)VPN支配与实现办法及运用处景先容
1、支配模式紧张采取网关模式和旁路模式支配两种,利用专业VPN硬件设备建立VPN时多为旁路支配模式, 对现有网络不须要改动, 纵然 VPN设备涌现问题也不会影响现有网络。利用防火墙 / 路由器自带VPN功能建立 VPN时, 随其硬件支配模式支配。
2、实现办法紧张有以下几种 :
(1) 通过利用专业 VPN软件来建立VPN
优点 : 投入较少,支配比较灵巧
缺陷 : 稳定性受做事器硬件、操作系统等成分影响
(2) 通过利用做事器自行架设 VPN做事器建立 VPN,windows 做事器为主
优点 : 投入较少,支配比较灵巧, windows 系统自带
缺陷 : 稳定性受做事器硬件、操作系统等成分影响,需自行配置
(3) 通过利用防火墙 / 路由器设备自带 VPN功能建立 VPN。
优点 : 投入较少,稳定性好
缺陷 : 因利用现有设备自带 VPN模块,对 VPN访问量较大的需求不建议利用,以免涌现设备性能不敷影响防火墙 / 路由器利用。作为现有设备的自带模块,无法知足用户分外哀求。支配办法相对固定
(4) 通过利用专业的 VPN硬件设备建立 VPN。
优点 : 产品成熟适用于各种 VPN场景运用,功能强大,性能稳定。
缺陷 : 比较费钱 ~~~~~硬件设备须要费钱, 用户授权须要费钱, 反正啥都须要费钱
3、让更多人纠结的该当是在何场景下选择哪种办法来建立VPN,根据本人事情履历为大家先容一些常见的 VPN运用处景。
场景一 总部与分支机构互联
大型企业总部与分支构造常日利用 MPLS VPN进行互联,相对付大型企业中小型企业则选择利用投入较低的 IPSECVPN进行互联。
例如 : 某大型超配 ( 超市配送 ) 企业,总部与自营大型超市之间利用MPLS VPN进行数据传输,总部与自营小型超市则利用 IPSEC VPN进行数据传输。根据各超市数据传输须要选择不同的 vpn 技能相结合利用,节约投入本钱的同时最大限度的知足与总部的数据传输。
场景二 移动办公
网管远程掩护设备、 员工访问内网资源、 老总出差电子签批等移动办公已成为企业信息化培植的主要组成部分,同时也为VPN市场带来了巨大商机。SSL VPN因其利用掩护方便成为了移动办公的不二之选,打开浏览器即可利用。在没有 SSLVPN条件下,网管进行设备远程掩护则常日利用 L2TP VPN或 PPTP VPN。
场景三 远程运用发布
SSLVPN中的功能,紧张针对须要安装客户真个 C/S做事访问需求,手机和平板因屏幕大小、鼠标、键盘利用等成分体验感欠佳。特定场景下 PC访问效果较好。
例如 : 某公司财务部门对利用的财务软件做远程运用发布,其他用户无需安装财务软件客户端也可以方便利用。
场景四 手机APP与 VPN结合
随着手机的遍及,大家都希望通过手性能办理很多事情中的问题,手机 APP办理了远程运用发布中存在的一些利用问题, 但考虑到安全方面的问题,用户希望通过手机 APP与 VPN技能相结合,方便利用的同时也降落了安全风险。
例如 : 某集团 OA手机 APP,直接通过互联网地址映射访问存在一定安全隐患,合营 VPN技能利用,先将手机与集团建立 VPN隧道,再通过APP访问集团内部 OA APP做事器。
末了做一个的总结 : 究竟利用哪一种 VPN技能来知足用户的需求,还是要根据用户业务需求来考虑,以是希望大家要对干系业务有一个初步的理解, 对症下药。
