二維碼
        企資網(wǎng)

        掃一掃關(guān)注

        當(dāng)前位置: 首頁 » 企資快報(bào) » 商業(yè) » 正文

        認(rèn)識(shí)常見網(wǎng)絡(luò)安全設(shè)備(一)

        放大字體  縮小字體 發(fā)布日期:2021-09-16 22:41:58    作者:大連旅游小寶哥    瀏覽次數(shù):20
        導(dǎo)讀

        1、防火墻定義防火墻指的是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。它可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)

        1、防火墻

        定義

        防火墻指的是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。它可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

        主要功能

        1、過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)

        2、防止不安全的協(xié)議和服務(wù)

        3、管理進(jìn)、出網(wǎng)絡(luò)的訪問行為

        4、記錄通過防火墻的信息內(nèi)容

        5、對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)與警告

        6、防止外部對(duì)內(nèi)部網(wǎng)絡(luò)信息的獲取

        7、提供與外部連接的集中管理

        主要類型

        1、網(wǎng)絡(luò)層防火墻

        一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個(gè)IP包的端口來作出通過與否的判斷。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合,防火墻就會(huì)使用默認(rèn)規(guī)則,一般情況下,默認(rèn)規(guī)則就是要求防火墻丟棄該包,其次,通過定義基于TCP或UDP數(shù)據(jù)包的端口號(hào),防火墻能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。

        2、應(yīng)用層防火墻

        針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議,并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。

        主動(dòng)被動(dòng)

        傳統(tǒng)防火墻是主動(dòng)安全的概念;

        因?yàn)槟J(rèn)情況下是關(guān)閉所有的訪問,然后再通過定制策略去開放允許開放的訪問。

        下一代防火墻

        (NGFW)

        主要是一款全面應(yīng)對(duì)應(yīng)用層威脅的高性能防火墻。可以做到智能化主動(dòng)防御、應(yīng)用層數(shù)據(jù)防泄漏、應(yīng)用層洞察與控制、威脅防護(hù)等特性。
        下一代防火墻在一臺(tái)設(shè)備里面集成了傳統(tǒng)防火墻、IPS、應(yīng)用識(shí)別、內(nèi)容過濾等功能既降低了整體網(wǎng)絡(luò)安全系統(tǒng)的采購?fù)度?/span>,又減去了多臺(tái)設(shè)備接入網(wǎng)絡(luò)帶來的部署成本,還通過應(yīng)用識(shí)別和用戶管理等技術(shù)降低了管理人員的維護(hù)和管理成本。

        使用方式

        防火墻部署于單位或企業(yè)內(nèi)部網(wǎng)絡(luò)的出口位置。

        局限性

        1、不能防止源于內(nèi)部的攻擊,不提供對(duì)內(nèi)部的保護(hù)

        2、不能防病毒

        3、不能根據(jù)網(wǎng)絡(luò)被惡意使用和攻擊的情況動(dòng)態(tài)調(diào)整自己的策略

        本身的防攻擊能力不夠,容易成為被攻擊的首要目標(biāo)


        2、IDS(入侵檢測(cè)系統(tǒng))

        定義

        入侵檢測(cè)即通過從網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵節(jié)點(diǎn)收集并分析信息,監(jiān)控網(wǎng)絡(luò)中是否有違反安全策略的行為或者是否存在入侵行為。入侵檢測(cè)系統(tǒng)通常包含3個(gè)必要的功能組件:信息來源、分析引擎和響應(yīng)組件。

        工作原理

        1、信息收集
        信息收集包括收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。
        入侵檢測(cè)利用的信息一般來自:系統(tǒng)和網(wǎng)絡(luò)日志文件、非正常的目錄和文件改變、非正常的程序執(zhí)行這三個(gè)方面。
        2、信號(hào)分析
        對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息,是
        通過模式匹配、統(tǒng)計(jì)分析和完整性分析這三種手段進(jìn)行分析的。前兩種用于實(shí)時(shí)入侵檢測(cè),完整性分析用于事后分析。

        3、告警與響應(yīng)

        根據(jù)入侵性質(zhì)和類型,做出相應(yīng)的告警與響應(yīng)。

        主要功能

        它能夠提供安全審計(jì)、監(jiān)視、攻擊識(shí)別和反攻擊等多項(xiàng)功能,對(duì)內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時(shí)監(jiān)控,在網(wǎng)絡(luò)安全技術(shù)中起到了不可替代的作用。

        1、實(shí)時(shí)監(jiān)測(cè):實(shí)時(shí)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文,發(fā)現(xiàn)并實(shí)時(shí)處理所捕獲的數(shù)據(jù)報(bào)文;

        2、安全審計(jì):對(duì)系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析,發(fā)現(xiàn)異常現(xiàn)象,得出系統(tǒng)的安全狀態(tài),找出所需要的證據(jù)

        3、主動(dòng)響應(yīng):主動(dòng)切斷連接或與防火墻聯(lián)動(dòng),調(diào)用其他程序處理。

        主要類型

        1、基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS):基于主機(jī)的入侵檢測(cè)系統(tǒng)是早期的入侵檢測(cè)系統(tǒng)結(jié)構(gòu),通常是軟件型的,直接安裝在需要保護(hù)的主機(jī)上。其檢測(cè)的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶,檢測(cè)原理是根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件。
        這種檢測(cè)方式的優(yōu)點(diǎn)主要有:信息更詳細(xì)、誤報(bào)率要低、部署靈活。這種方式的缺點(diǎn)主要有:會(huì)降低應(yīng)用系統(tǒng)的性能;依賴于服務(wù)器原有的日志與監(jiān)視能力;代價(jià)較大;不能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè);需安裝多個(gè)針對(duì)不同系統(tǒng)的檢測(cè)系統(tǒng)。

        2、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS):基于網(wǎng)絡(luò)的入侵檢測(cè)方式是目前一種比較主流的監(jiān)測(cè)方式,這類檢測(cè)系統(tǒng)需要有一臺(tái)專門的檢測(cè)設(shè)備。檢測(cè)設(shè)備放置在比較重要的網(wǎng)段內(nèi),不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包,而不再是只監(jiān)測(cè)單一主機(jī)。它對(duì)所監(jiān)測(cè)的網(wǎng)絡(luò)上每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析,如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合,入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào),甚至直接切斷網(wǎng)絡(luò)連接。目前,大部分入侵檢測(cè)產(chǎn)品是基于網(wǎng)絡(luò)的。
        這種檢測(cè)技術(shù)的優(yōu)點(diǎn)主要有:能夠檢測(cè)那些來自網(wǎng)絡(luò)的攻擊和超過授權(quán)的非法訪問;不需要改變服務(wù)器等主機(jī)的配置,也不會(huì)影響主機(jī)性能;風(fēng)險(xiǎn)低;配置簡(jiǎn)單。其缺點(diǎn)主要是:成本高、檢測(cè)范圍受局限;大量計(jì)算,影響系統(tǒng)性能;大量分析數(shù)據(jù)流,影響系統(tǒng)性能;對(duì)加密的會(huì)話過程處理較難;
        網(wǎng)絡(luò)流速高時(shí)可能會(huì)丟失許多封包,容易讓入侵者有機(jī)可乘;無法檢測(cè)加密的封包;對(duì)于直接對(duì)主機(jī)的入侵無法檢測(cè)出。

        主動(dòng)被動(dòng)

        入侵檢測(cè)系統(tǒng)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視,在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。絕大多數(shù) IDS 系統(tǒng)都是被動(dòng)的。也就是說,在攻擊實(shí)際發(fā)生之前,它們往往無法預(yù)先發(fā)出警報(bào)。

        使用方式

        作為防火墻后的第二道防線,適于以旁路接入方式部署在具有重要業(yè)務(wù)系統(tǒng)或內(nèi)部網(wǎng)絡(luò)安全性、保密性較高的網(wǎng)絡(luò)出口處。

        局限性

        1、誤報(bào)率高:主要表現(xiàn)為把良性流量誤認(rèn)為惡性流量進(jìn)行誤報(bào)。還有些IDS產(chǎn)品會(huì)對(duì)用戶不關(guān)心事件的進(jìn)行誤報(bào)。

        2、產(chǎn)品適應(yīng)能力差:傳統(tǒng)的IDS產(chǎn)品在開發(fā)時(shí)沒有考慮特定網(wǎng)絡(luò)環(huán)境下的需求,適應(yīng)能力差。入侵檢測(cè)產(chǎn)品要能適應(yīng)當(dāng)前網(wǎng)絡(luò)技術(shù)和設(shè)備的發(fā)展進(jìn)行動(dòng)態(tài)調(diào)整,以適應(yīng)不同環(huán)境的需求。

        3、大型網(wǎng)絡(luò)管理能力差:首先,要確保新的產(chǎn)品體系結(jié)構(gòu)能夠支持?jǐn)?shù)以百計(jì)的IDS傳感器;其次,要能夠處理傳感器產(chǎn)生的告警事件;最后還要解決攻擊特征庫的建立,配置以及更新問題。

        4、缺少防御功能:大多數(shù)IDS產(chǎn)品缺乏主動(dòng)防御功能。

        5、處理性能差:目前的百兆、千兆IDS產(chǎn)品性能指標(biāo)與實(shí)際要求還存在很大的差距。

        3、IPS(入侵防御系統(tǒng))

        定義

        入侵防御系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備,能夠即時(shí)的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。

        產(chǎn)生背景

        1、串行部署的防火墻可以攔截低層攻擊行為,但對(duì)應(yīng)用層的深層攻擊行為無能為力。

        2、旁路部署的IDS可以及時(shí)發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為,作為防火墻的有益補(bǔ)充,但很可惜的是無法實(shí)時(shí)的阻斷。

        3、IDS和防火墻聯(lián)動(dòng):通過IDS來發(fā)現(xiàn),通過防火墻來阻斷。但由于迄今為止沒有統(tǒng)一的接口規(guī)范,加上越來越頻發(fā)的“瞬間攻擊”(一個(gè)會(huì)話就可以達(dá)成攻擊效果,如SQL注入、溢出攻擊等),使得IDS與防火墻聯(lián)動(dòng)在實(shí)際應(yīng)用中的效果不顯著。

        入侵檢測(cè)系統(tǒng)(IDS)對(duì)那些異常的、可能是入侵行為的數(shù)據(jù)進(jìn)行檢測(cè)和報(bào)警,告知使用者網(wǎng)絡(luò)中的實(shí)時(shí)狀況,并提供相應(yīng)的解決、處理方法,是一種側(cè)重于風(fēng)險(xiǎn)管理的安全產(chǎn)品。

        入侵防御系統(tǒng)(IPS)對(duì)那些被明確判斷為攻擊行為,會(huì)對(duì)網(wǎng)絡(luò)、數(shù)據(jù)造成危害的惡意行為進(jìn)行檢測(cè)和防御,降低或是減免使用者對(duì)異常狀況的處理資源開銷,是一種側(cè)重于風(fēng)險(xiǎn)控制的安全產(chǎn)品。

        IDS和IPS的關(guān)系,并非取代和互斥,而是相互協(xié)作:沒有部署IDS的時(shí)候,只能是憑感覺判斷,應(yīng)該在什么地方部署什么樣的安全產(chǎn)品,通過IDS的廣泛部署,了解了網(wǎng)絡(luò)的當(dāng)前實(shí)時(shí)狀況,據(jù)此狀況可進(jìn)一步判斷應(yīng)該在何處部署何類安全產(chǎn)品(IPS等)。

        功能

        1、入侵防護(hù):實(shí)時(shí)、主動(dòng)攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、后門木馬、Dos等惡意流量,保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害,防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。

        2、Web安全:基于互聯(lián)網(wǎng)Web站點(diǎn)的掛馬檢測(cè)結(jié)果,結(jié)合URL信譽(yù)評(píng)價(jià)技術(shù),保護(hù)用戶在訪問被植入木馬等惡意代碼的網(wǎng)站時(shí)不受侵害,及時(shí)、有效地第一時(shí)間攔截Web威脅。

        3、流量控制:阻斷一切非授權(quán)用戶流量,管理合法網(wǎng)絡(luò)資源的利用,有效保證關(guān)鍵應(yīng)用全天候暢通無阻,通過保護(hù)關(guān)鍵應(yīng)用帶寬來不斷提升企業(yè)IT產(chǎn)出率和收益率。

        4、上網(wǎng)監(jiān)管:全面監(jiān)測(cè)和管理IM即時(shí)通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻,以及在線炒股等網(wǎng)絡(luò)行為,協(xié)助企業(yè)辨識(shí)和限制非授權(quán)網(wǎng)絡(luò)流量,更好地執(zhí)行企業(yè)的安全策略。

        技術(shù)特征

        嵌入式運(yùn)行:只有以嵌入模式運(yùn)行的 IPS 設(shè)備才能夠?qū)崿F(xiàn)實(shí)時(shí)的安全防護(hù),實(shí)時(shí)阻攔所有可疑的數(shù)據(jù)包,并對(duì)該數(shù)據(jù)流的剩余部分進(jìn)行攔截。

        深入分析和控制:IPS必須具有深入分析能力,以確定哪些惡意流量已經(jīng)被攔截,根據(jù)攻擊類型、策略等來確定哪些流量應(yīng)該被攔截。

        入侵特征庫:高質(zhì)量的入侵特征庫是IPS高效運(yùn)行的必要條件,IPS還應(yīng)該定期升級(jí)入侵特征庫,并快速應(yīng)用到所有傳感器。

        高效處理能力:IPS必須具有高效處理數(shù)據(jù)包的能力,對(duì)整個(gè)網(wǎng)絡(luò)性能的影響保持在最低水平。

        主要類型

        1.基于特征的IPS

        這是許多IPS解決方案中最常用的方法。把特征添加到設(shè)備中,可識(shí)別當(dāng)前最常見的攻擊。也被稱為模式匹配IPS。特征庫可以添加、調(diào)整和更新,以應(yīng)對(duì)新的攻擊。

        2. 基于異常的IPS

        也被稱為基于行規(guī)的IPS。基于異常的方法可以用統(tǒng)計(jì)異常檢測(cè)和非統(tǒng)計(jì)異常檢測(cè)。

        3、基于策略的IPS:

        它更關(guān)心的是是否執(zhí)行組織的安保策略。如果檢測(cè)的活動(dòng)違反了組織的安保策略就觸發(fā)報(bào)警。使用這種方法的IPS,要把安全策略寫入設(shè)備之中。

        4.基于協(xié)議分析的IPS

        它與基于特征的方法類似。大多數(shù)情況檢查常見的特征,但基于協(xié)議分析的方法可以做更深入的數(shù)據(jù)包檢查,能更靈活地發(fā)現(xiàn)某些類型的攻擊。

        主動(dòng)被動(dòng)

        IPS傾向于提供主動(dòng)防護(hù),其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截,避免其造成損失,而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。

        使用方式

        串聯(lián)部署在具有重要業(yè)務(wù)系統(tǒng)或內(nèi)部網(wǎng)絡(luò)安全性、保密性較高的網(wǎng)絡(luò)出口處。

        4、漏洞掃描設(shè)備

        定義

        漏洞掃描是指基于漏洞數(shù)據(jù)庫,通過掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測(cè),發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)(滲透攻擊)行為。

        主要功能

        可以對(duì)網(wǎng)站、系統(tǒng)、數(shù)據(jù)庫、端口、應(yīng)用軟件等一些網(wǎng)絡(luò)設(shè)備應(yīng)用進(jìn)行智能識(shí)別掃描檢測(cè),并對(duì)其檢測(cè)出的漏洞進(jìn)行報(bào)警提示管理人員進(jìn)行修復(fù)。同時(shí)可以對(duì)漏洞修復(fù)情況進(jìn)行監(jiān)督并自動(dòng)定時(shí)對(duì)漏洞進(jìn)行審計(jì)提高漏洞修復(fù)效率。

        1、定期的網(wǎng)絡(luò)安全自我檢測(cè)、評(píng)估

        安全檢測(cè)可幫助客戶最大可能的消除安全隱患,盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ),有效的利用已有系統(tǒng),提高網(wǎng)絡(luò)的運(yùn)行效率。

        2、安裝新軟件、啟動(dòng)新服務(wù)后的檢查

        由于漏洞和安全隱患的形式多種多樣,安裝新軟件和啟動(dòng)新服務(wù)都有可能使原來隱藏的漏洞暴露出來,因此進(jìn)行這些操作之后應(yīng)該重新掃描系統(tǒng),才能使安全得到保障。

        3、網(wǎng)絡(luò)承擔(dān)重要任務(wù)前的安全性測(cè)試

        4、網(wǎng)絡(luò)安全事故后的分析調(diào)查

        網(wǎng)絡(luò)安全事故后可以通過網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)分析確定網(wǎng)絡(luò)被攻擊的漏洞所在,幫助彌補(bǔ)漏洞,盡可能多得提供資料方便調(diào)查攻擊的來源。

        5、重大網(wǎng)絡(luò)安全事件前的準(zhǔn)備

        重大網(wǎng)絡(luò)安全事件前網(wǎng)絡(luò)漏洞掃描/網(wǎng)絡(luò)評(píng)估系統(tǒng)能夠幫助用戶及時(shí)的找出網(wǎng)絡(luò)中存在的隱患和漏洞,幫助用戶及時(shí)的彌補(bǔ)漏洞。

        主要技術(shù)

        1. 主機(jī)掃描:

        確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否在線。

        2. 端口掃描:

        發(fā)現(xiàn)遠(yuǎn)程主機(jī)開放的端口以及服務(wù)。

        3. OS識(shí)別技術(shù):

        根據(jù)信息和協(xié)議棧判別操作系統(tǒng)。

        4. 漏洞檢測(cè)數(shù)據(jù)采集技術(shù):

        按照網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫進(jìn)行掃描。

        5.智能端口識(shí)別、多重服務(wù)檢測(cè)、安全優(yōu)化掃描、系統(tǒng)滲透掃描

        6.多種數(shù)據(jù)庫自動(dòng)化檢查技術(shù),數(shù)據(jù)庫實(shí)例發(fā)現(xiàn)技術(shù);

        主要類型

        1.針對(duì)網(wǎng)絡(luò)的掃描器:基于網(wǎng)絡(luò)的掃描器就是通過網(wǎng)絡(luò)來掃描遠(yuǎn)程計(jì)算機(jī)中的漏洞。價(jià)格相對(duì)來說比較便宜;在操作過程中,不需要涉及到目標(biāo)系統(tǒng)的管理員,在檢測(cè)過程中不需要在目標(biāo)系統(tǒng)上安裝任何東西;維護(hù)簡(jiǎn)便。

        2.針對(duì)主機(jī)的掃描器:基于主機(jī)的掃描器則是在目標(biāo)系統(tǒng)上安裝了一個(gè)代理或者是服務(wù),以便能夠訪問所有的文件與進(jìn)程,這也使得基于主機(jī)的掃描器能夠掃描到更多的漏洞。

        3.針對(duì)數(shù)據(jù)庫的掃描器:數(shù)據(jù)庫漏掃可以檢測(cè)出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補(bǔ)丁未升級(jí)等自身漏洞。

        使用方式

        1、獨(dú)立式部署:

        在網(wǎng)絡(luò)中只部署一臺(tái)漏掃設(shè)備,接入網(wǎng)絡(luò)并進(jìn)行正確的配置即可正常使用,其工作范圍通常包含用戶企業(yè)的整個(gè)網(wǎng)絡(luò)地址。用戶可以從任意地址登錄漏掃系統(tǒng)并下達(dá)掃描評(píng)估任務(wù),檢查任務(wù)的地址必須在產(chǎn)品和分配給此用戶的授權(quán)范圍內(nèi)。

        2、多級(jí)式部署:

        對(duì)于一些大規(guī)模和分布式網(wǎng)絡(luò)用戶,建議使用分布式部署方式。在大型網(wǎng)絡(luò)中采用多臺(tái)漏掃系統(tǒng)共同工作,可對(duì)各系統(tǒng)間的數(shù)據(jù)共享并匯總,方便用戶對(duì)分布式網(wǎng)絡(luò)進(jìn)行集中管理。

        優(yōu)缺點(diǎn)

        1、優(yōu)點(diǎn)

        有利于及早發(fā)現(xiàn)問題,并從根本上解決安全隱患。

        2、不足

        只能針對(duì)已知安全問題進(jìn)行掃描;準(zhǔn)確性和指導(dǎo)性有待改善。

        5、安全隔離網(wǎng)閘

        定義

        安全隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立網(wǎng)絡(luò)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立網(wǎng)絡(luò)系統(tǒng)之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議,不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā),只有數(shù)據(jù)文件的無協(xié)議“擺渡”,且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫”兩個(gè)命令。所以,物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實(shí)現(xiàn)了真正的安全。

        功能模塊

        安全隔離閘門的功能模塊有:

        安全隔離、內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)換、病毒查殺、訪問控制、安全審計(jì)、身份認(rèn)證

        主要功能

        1、阻斷網(wǎng)絡(luò)的直接物理連接:物理隔離網(wǎng)閘在任何時(shí)刻都只能與非可信網(wǎng)絡(luò)和可信網(wǎng)絡(luò)上之一相連接,而不能同時(shí)與兩個(gè)網(wǎng)絡(luò)連接;

        2、阻斷網(wǎng)絡(luò)的邏輯連接:物理隔離網(wǎng)閘不依賴操作系統(tǒng)、不支持TCP/IP協(xié)議。兩個(gè)網(wǎng)絡(luò)之間的信息交換必須將TCP/IP協(xié)議剝離,將原始數(shù)據(jù)通過P2P的非TCP/IP連接方式,通過存儲(chǔ)介質(zhì)的“寫入”與“讀出”完成數(shù)據(jù)轉(zhuǎn)發(fā);

        3、安全審查:物理隔離網(wǎng)閘具有安全審查功能,即網(wǎng)絡(luò)在將原始數(shù)據(jù)“寫入”物理隔離網(wǎng)閘前,根據(jù)需要對(duì)原始數(shù)據(jù)的安全性進(jìn)行檢查,把可能的病毒代碼、惡意攻擊代碼消滅干凈等;

        4、原始數(shù)據(jù)無危害性:物理隔離網(wǎng)閘轉(zhuǎn)發(fā)的原始數(shù)據(jù),不具有攻擊或?qū)W(wǎng)絡(luò)安全有害的特性。就像txt文本不會(huì)有病毒一樣,也不會(huì)執(zhí)行命令等。

        5、管理和控制功能:建立完善的日志系統(tǒng)。

        6、根據(jù)需要建立數(shù)據(jù)特征庫:在應(yīng)用初始化階段,結(jié)合應(yīng)用要求,提取應(yīng)用數(shù)據(jù)的特征,形成用戶特有的數(shù)據(jù)特征庫,作為運(yùn)行過程中數(shù)據(jù)校驗(yàn)的基礎(chǔ)。當(dāng)用戶請(qǐng)求時(shí),提取用戶的應(yīng)用數(shù)據(jù),抽取數(shù)據(jù)特征和原始數(shù)據(jù)特征庫比較,符合原始特征庫的數(shù)據(jù)請(qǐng)求進(jìn)入請(qǐng)求隊(duì)列,不符合的返回用戶,實(shí)現(xiàn)對(duì)數(shù)據(jù)的過濾。

        7、根據(jù)需要提供定制安全策略和傳輸策略的功能:用戶可以自行設(shè)定數(shù)據(jù)的傳輸策略,如:傳輸單位(基于數(shù)據(jù)還是基于任務(wù))、傳輸間隔、傳輸方向、傳輸時(shí)間、啟動(dòng)時(shí)間等。

        8、支持定時(shí)/實(shí)時(shí)文件交換;支持支持單向/雙向文件交換;支持?jǐn)?shù)字簽名、內(nèi)容過濾、病毒檢查等功能。

        工作原理

        安全隔離網(wǎng)閘的組成:

        安全隔離網(wǎng)閘是實(shí)現(xiàn)兩個(gè)相互業(yè)務(wù)隔離的網(wǎng)絡(luò)之間的數(shù)據(jù)交換,通用的網(wǎng)閘模型設(shè)計(jì)一般分三個(gè)基本部分:

        1、 內(nèi)網(wǎng)處理單元:包括內(nèi)網(wǎng)接口單元與內(nèi)網(wǎng)數(shù)據(jù)緩沖區(qū)。接口部分負(fù)責(zé)與內(nèi)網(wǎng)的連接,并終止內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)連接,對(duì)數(shù)據(jù)進(jìn)行病毒檢測(cè)、防火墻、入侵防護(hù)等安全檢測(cè)后剝離出“純數(shù)據(jù)”,作好交換的準(zhǔn)備,也完成來自內(nèi)網(wǎng)對(duì)用戶身份的確認(rèn),確保數(shù)據(jù)的安全通道;數(shù)據(jù)緩沖區(qū)是存放并調(diào)度剝離后的數(shù)據(jù),負(fù)責(zé)與隔離交換單元的數(shù)據(jù)交換。

        2、 外網(wǎng)處理單元:與內(nèi)網(wǎng)處理單元功能相同,但處理的是外網(wǎng)連接。

        3、 隔離與交換控制單元(隔離硬件):是網(wǎng)閘隔離控制的擺渡控制,控制交換通道的開啟與關(guān)閉。控制單元中包含一個(gè)數(shù)據(jù)交換區(qū),就是數(shù)據(jù)交換中的擺渡船。對(duì)交換通道的控制的方式目前有兩種技術(shù),擺渡開關(guān)與通道控制。擺渡開關(guān)是電子倒換開關(guān),讓數(shù)據(jù)交換區(qū)與內(nèi)外網(wǎng)在任意時(shí)刻的不同時(shí)連接,形成空間間隔GAP,實(shí)現(xiàn)物理隔離。通道方式是在內(nèi)外網(wǎng)之間改變通訊模式,中斷了內(nèi)外網(wǎng)的直接連接,采用私密的通訊手段形成內(nèi)外網(wǎng)的物理隔離。該單元中有一個(gè)數(shù)據(jù)交換區(qū),作為交換數(shù)據(jù)的中轉(zhuǎn)。

        其中,三個(gè)單元都要求其軟件的操作系統(tǒng)是安全的,也就是采用非通用的操作系統(tǒng),或改造后的專用操作系統(tǒng)。一般為Unix BSD或Linux的經(jīng)安全精簡(jiǎn)版本,或者其他是嵌入式操作系統(tǒng)等,但都要對(duì)底層不需要的協(xié)議、服務(wù)刪除,使用的協(xié)議優(yōu)化改造,增加安全特性,同時(shí)提高效率。

        如果針對(duì)網(wǎng)絡(luò)七層協(xié)議,安全隔離網(wǎng)閘是在硬件鏈路層上斷開。

        區(qū)別比較

        1、與物理隔離卡的區(qū)別

        安全隔離網(wǎng)閘與物理隔離卡最主要的區(qū)別是,安全隔離網(wǎng)閘能夠?qū)崿F(xiàn)兩個(gè)網(wǎng)絡(luò)間的自動(dòng)的安全適度的信息交換,而物理隔離卡只能提供一臺(tái)計(jì)算機(jī)在兩個(gè)網(wǎng)之間切換,并且需要手動(dòng)操作,大部分的隔離卡還要求系統(tǒng)重新啟動(dòng)以便切換硬盤。

        2、網(wǎng)絡(luò)交換信息的區(qū)別

        安全隔離網(wǎng)閘在網(wǎng)絡(luò)間進(jìn)行的安全適度的信息交換是在網(wǎng)絡(luò)之間不存在鏈路層連接的情況下進(jìn)行的。安全隔離網(wǎng)閘直接處理網(wǎng)絡(luò)間的應(yīng)用層數(shù)據(jù),利用存儲(chǔ)轉(zhuǎn)發(fā)的方法進(jìn)行應(yīng)用數(shù)據(jù)的交換,在交換的同時(shí),對(duì)應(yīng)用數(shù)據(jù)進(jìn)行的各種安全檢查。路由器、交換機(jī)則保持鏈路層暢通,在鏈路層之上進(jìn)行IP包等網(wǎng)絡(luò)層數(shù)據(jù)的直接轉(zhuǎn)發(fā),沒有考慮網(wǎng)絡(luò)安全和數(shù)據(jù)安全的問題。

        3、與防火墻的區(qū)別

        防火墻一般在進(jìn)行IP包轉(zhuǎn)發(fā)的同時(shí),通過對(duì)IP包的處理,實(shí)現(xiàn)對(duì)TCP會(huì)話的控制,但是對(duì)應(yīng)用數(shù)據(jù)的內(nèi)容不進(jìn)行檢查。這種工作方式無法防止泄密,也無法防止病毒和黑客程序的攻擊。

        使用方式

        1、涉密網(wǎng)與非涉密網(wǎng)之間

        2、局域網(wǎng)與互聯(lián)網(wǎng)之間(內(nèi)網(wǎng)與外網(wǎng)之間)

        3、辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間

        4、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)之間

        侵權(quán)請(qǐng)私聊公眾號(hào)刪文

         
        (文/大連旅游小寶哥)
        免責(zé)聲明
        本文僅代表作發(fā)布者:大連旅游小寶哥個(gè)人觀點(diǎn),本站未對(duì)其內(nèi)容進(jìn)行核實(shí),請(qǐng)讀者僅做參考,如若文中涉及有違公德、觸犯法律的內(nèi)容,一經(jīng)發(fā)現(xiàn),立即刪除,需自行承擔(dān)相應(yīng)責(zé)任。涉及到版權(quán)或其他問題,請(qǐng)及時(shí)聯(lián)系我們刪除處理郵件:weilaitui@qq.com。
         

        Copyright ? 2016 - 2025 - 企資網(wǎng) 48903.COM All Rights Reserved 粵公網(wǎng)安備 44030702000589號(hào)

        粵ICP備16078936號(hào)

        微信

        關(guān)注
        微信

        微信二維碼

        WAP二維碼

        客服

        聯(lián)系
        客服

        聯(lián)系客服:

        在線QQ: 303377504

        客服電話: 020-82301567

        E_mail郵箱: weilaitui@qq.com

        微信公眾號(hào): weishitui

        客服001 客服002 客服003

        工作時(shí)間:

        周一至周五: 09:00 - 18:00

        反饋

        用戶
        反饋

        主站蜘蛛池模板: 亚洲av无码片区一区二区三区| 国产日韩高清一区二区三区| 无码精品前田一区二区| 无码人妻一区二区三区一| 久久国产一区二区三区| 中文字幕Av一区乱码| 日本不卡一区二区视频a| 日本一区二区三区精品视频| 精品成人一区二区三区免费视频| 午夜爽爽性刺激一区二区视频| 国产一区内射最近更新| 波多野结衣在线观看一区二区三区| 偷拍精品视频一区二区三区| 国产午夜福利精品一区二区三区| 中文字幕视频一区| 糖心vlog精品一区二区三区| 无码欧精品亚洲日韩一区夜夜嗨 | 日美欧韩一区二去三区| 国产AV国片精品一区二区| 秋霞午夜一区二区| 一区二区视频在线| 视频一区二区中文字幕| 日韩精品无码一区二区三区免费| 国产成人一区二区在线不卡| 亚洲色欲一区二区三区在线观看| 亚洲av无码一区二区三区四区 | 综合无码一区二区三区| 亚洲熟妇成人精品一区| 99精品高清视频一区二区| 欧美人妻一区黄a片| 成人免费区一区二区三区| 在线观看视频一区二区| 一区二区在线观看视频| 国产无码一区二区在线| 四虎成人精品一区二区免费网站 | 国产一区二区在线观看麻豆| 久久久91精品国产一区二区| 亚洲毛片αv无线播放一区| 日韩精品一区二区三区色欲AV| 亚洲一区二区三区四区视频| 日韩精品一区二区三区不卡|