网络安全设备功能及部署方式 ppt课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
安全设备功能及部署方式介绍
XX
网络安全设备功能及部署方式
主流安全设备概括
防火墙 入侵防御系统(IPS) 防毒墙 WEB应用防火墙(WAF) 网闸 上网行为管理
网络安全设备功能及部署方式
防火墙
• 基本功能
– 地址转换 – 访问控制 – VLAN支持 – IP/MAC绑定 – 带宽管理(QoS) – 入侵检测和攻击防
御
– 用户认证 – 动态IP环境支持 – 数据库长连接应用
支持
– 路由支持 网络安全设备功能及部署方式
• 扩展功能
– 防病毒 – VPN
• IPSEC VPN • PPTP/L2TP
防火墙的网络地址映射
192.168.1.2 192.168.1.3
192.168.1.5
192.168.1.4
❖ 内网服务器的私有地址映射成公网IP ❖ 隐藏内部网络的结构
防火墙是路由器访问控制功能的专业化产品 防火墙的路由功能部分环境替代路由器 防火墙的路由功能无法完全取代路由器的路由专业功能 许多环境中防火墙与路由器同时存在承担各自主要功能
网络安全设备功能及部署方式
IPS在网络中的作用
IPS
安全域A
• 阻拦已知攻击(重点)
安全域B
• 为已知漏洞提供虚拟补丁(重点)
敏感信息过滤
状态监控告警
网站效能分析
网络安全设备功能及部署方式
WAF的部署
• 在线部署
Байду номын сангаас
单位内网
Internet网用户
Internet
web服务器群
交换机
IP:124.124.124.1/27
WAF 桥IP:124.124.124.2/27
终端 IP:12.12.12.10/23
网络安全设备功能及部署方式
旁路,通过镜像获得数据
实时,其时延必须满足业务要求 准实时,可接受秒级时延
立刻影响网络报文
对网络及业务无直接影响
作用范围有限制
监控范围广
网络安全设备功能及部署方式
8
IPS的部署
独立部署
InInteternrneet t
Transport Network
Application Presentation
通过添加功能模块可以实现
访问控制 病毒查杀 安全审计
网络安全设备功能及部署方式
数据隔离交换的过程
可 信 任 网 络
内网主机系统
隔离交换模块
不 可 信 任 网 外网主机系统 络
1.内网主机系统收到数据,进行协议分离,安全检测,然后发送给隔离交换模块 2.隔离交换模块断开彼此连接,连接内外网主机系统,内网主机系统写数据到交换缓冲区 3.隔离交换模块断开内外网主机系统,彼此连接,进行通讯协商,完成数据交换 4.隔离交换模块断开彼此连接,连接内外网主机系统,外网主机系统从交换缓存读取数据 5.外网主机系统获取数据,进行数据重组,安全检测,与外网主机建立连接 6.从外网往内网交换数据,网络工安作全设流备程功相能及同部1署~方5 式
Session Transport Network
HA
网络安全设备功能及部署方式
办公区1 办公区2 数据系统
防毒墙
过滤垃圾邮件,病毒,蠕虫。可以针对重点网段进行 深度的保护。一般部署在防火墙与服务器之间。专门 的蠕虫库进行识别,同时还采用入侵防御(IPS)技术、 IP/端口/数据包封锁技术,优化了蠕虫识别机制,不 仅可以过滤已知蠕虫,还可以在未知蠕虫爆发时进行 拦截。
防止已知与未知的木马程序
通常见到的木马大部分是基于TCP的,木马在工作的时候客户端和服务器端 需要建立连接,而安全隔离网闸由于使用了自定义的私有协议(不同于通 用协议)。使得支持传统网络结构的所有协议均失效,从原理实现上就切 断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过 安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。
192.168.1.6 202.102.1.3
MAP 192.168.1.2:80 TO 202.102.1.3:80 MAP 192.168.1.3:21 TO 202.102.1.3:21 MAP 192.168.1.5:25 TO 202.102.1.3:25 MAP 192.168.1.4:53 TO 202.102.1.3:53
WAF一般部署在web服务器的下一跳 通常情况下,WAF放在企业对外提供网站服务的DMZ
区域或者放在数据中心服务区域,也可以与防火墙或 IPS等网关设备串联在一起(这种情况较少)。总之,
网络安全设备功能及部署方式
WAF的功能及作用
WEB攻击防护 网页防篡改
WEB加速
WAF
DDOS攻击防护 漏洞扫描
• 速率或流量控制
• 行为管理
IPS可提供有效的、防火墙无法提供的应用层安全防护功能。 但为了避免误报,IPS对未知攻击的防御能力几乎没有
网络安全设备功能及部署方式
7
入侵防御系统(IPS)
入侵防御系统(IPS)与入侵检测系统(IDS)
入侵防御IPS
入侵检测IDS
IPS
IDS
在线,流量必须通过IPS
Host C Host D
❖ 基于源IP地址 ❖ 基于目的IP地址 ❖ 基于源端口 ❖ 基于目的端口 ❖ 基于时间 ❖基于用户 ❖ 基于流量 ❖ 基于文件 ❖ 基于网址 ❖ 基于MAC地址
网络安全设备功能及部署方式
防火墙与路由器类比
路由器主要功能 防火墙主要功能
路由 具有访问控制功能.
. 访问控制 具有路由功能.
http://202.102.1.3
Internet
网络安全设备功能及部署方式
12.4.1.5
防火墙的基本访问控制功能
Access list 192.168.1.3 to 202.2.33.2 Access 202.1.2.3 to 192.168.1.3 block Access default pass
WAF的部署
• 旁路部署:
单位内网 WAF
服务器群
交换机
Internet网用户
路由器
Internet
终端
网络安全设备功能及部署方式
网闸
网闸的功能:
物理层面的网络安全隔离
对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但 是为了交换数据,隔离硬件在两个网络对应的硬件上进行切换,通 过对硬件上的存储芯片的读写,完成数据的交换。
网络安全设备功能及部署方式
防毒墙的功能
网络安全设备功能及部署方式
WEB应用防火墙(WAF)
WAF是一款专门针对企业网站进行安全防护的产品。 能够针对Web应用攻击提供更全面、更精准的防护, 尤其对一些可以"绕过"传统防火墙和IPS的攻击方法, 可以精准地阻断。正因如此,WAF可以对:数据盗窃、 网页篡改、网站挂马、虚假信息传播、针对客户端的 攻击等行为,提供完善的解决方案。
XX
网络安全设备功能及部署方式
主流安全设备概括
防火墙 入侵防御系统(IPS) 防毒墙 WEB应用防火墙(WAF) 网闸 上网行为管理
网络安全设备功能及部署方式
防火墙
• 基本功能
– 地址转换 – 访问控制 – VLAN支持 – IP/MAC绑定 – 带宽管理(QoS) – 入侵检测和攻击防
御
– 用户认证 – 动态IP环境支持 – 数据库长连接应用
支持
– 路由支持 网络安全设备功能及部署方式
• 扩展功能
– 防病毒 – VPN
• IPSEC VPN • PPTP/L2TP
防火墙的网络地址映射
192.168.1.2 192.168.1.3
192.168.1.5
192.168.1.4
❖ 内网服务器的私有地址映射成公网IP ❖ 隐藏内部网络的结构
防火墙是路由器访问控制功能的专业化产品 防火墙的路由功能部分环境替代路由器 防火墙的路由功能无法完全取代路由器的路由专业功能 许多环境中防火墙与路由器同时存在承担各自主要功能
网络安全设备功能及部署方式
IPS在网络中的作用
IPS
安全域A
• 阻拦已知攻击(重点)
安全域B
• 为已知漏洞提供虚拟补丁(重点)
敏感信息过滤
状态监控告警
网站效能分析
网络安全设备功能及部署方式
WAF的部署
• 在线部署
Байду номын сангаас
单位内网
Internet网用户
Internet
web服务器群
交换机
IP:124.124.124.1/27
WAF 桥IP:124.124.124.2/27
终端 IP:12.12.12.10/23
网络安全设备功能及部署方式
旁路,通过镜像获得数据
实时,其时延必须满足业务要求 准实时,可接受秒级时延
立刻影响网络报文
对网络及业务无直接影响
作用范围有限制
监控范围广
网络安全设备功能及部署方式
8
IPS的部署
独立部署
InInteternrneet t
Transport Network
Application Presentation
通过添加功能模块可以实现
访问控制 病毒查杀 安全审计
网络安全设备功能及部署方式
数据隔离交换的过程
可 信 任 网 络
内网主机系统
隔离交换模块
不 可 信 任 网 外网主机系统 络
1.内网主机系统收到数据,进行协议分离,安全检测,然后发送给隔离交换模块 2.隔离交换模块断开彼此连接,连接内外网主机系统,内网主机系统写数据到交换缓冲区 3.隔离交换模块断开内外网主机系统,彼此连接,进行通讯协商,完成数据交换 4.隔离交换模块断开彼此连接,连接内外网主机系统,外网主机系统从交换缓存读取数据 5.外网主机系统获取数据,进行数据重组,安全检测,与外网主机建立连接 6.从外网往内网交换数据,网络工安作全设流备程功相能及同部1署~方5 式
Session Transport Network
HA
网络安全设备功能及部署方式
办公区1 办公区2 数据系统
防毒墙
过滤垃圾邮件,病毒,蠕虫。可以针对重点网段进行 深度的保护。一般部署在防火墙与服务器之间。专门 的蠕虫库进行识别,同时还采用入侵防御(IPS)技术、 IP/端口/数据包封锁技术,优化了蠕虫识别机制,不 仅可以过滤已知蠕虫,还可以在未知蠕虫爆发时进行 拦截。
防止已知与未知的木马程序
通常见到的木马大部分是基于TCP的,木马在工作的时候客户端和服务器端 需要建立连接,而安全隔离网闸由于使用了自定义的私有协议(不同于通 用协议)。使得支持传统网络结构的所有协议均失效,从原理实现上就切 断所有的TCP连接,包括UDP、ICMP等其他各种协议,使各种木马无法通过 安全隔离网闸进行通讯。从而可以防止未知和已知的木马攻击。
192.168.1.6 202.102.1.3
MAP 192.168.1.2:80 TO 202.102.1.3:80 MAP 192.168.1.3:21 TO 202.102.1.3:21 MAP 192.168.1.5:25 TO 202.102.1.3:25 MAP 192.168.1.4:53 TO 202.102.1.3:53
WAF一般部署在web服务器的下一跳 通常情况下,WAF放在企业对外提供网站服务的DMZ
区域或者放在数据中心服务区域,也可以与防火墙或 IPS等网关设备串联在一起(这种情况较少)。总之,
网络安全设备功能及部署方式
WAF的功能及作用
WEB攻击防护 网页防篡改
WEB加速
WAF
DDOS攻击防护 漏洞扫描
• 速率或流量控制
• 行为管理
IPS可提供有效的、防火墙无法提供的应用层安全防护功能。 但为了避免误报,IPS对未知攻击的防御能力几乎没有
网络安全设备功能及部署方式
7
入侵防御系统(IPS)
入侵防御系统(IPS)与入侵检测系统(IDS)
入侵防御IPS
入侵检测IDS
IPS
IDS
在线,流量必须通过IPS
Host C Host D
❖ 基于源IP地址 ❖ 基于目的IP地址 ❖ 基于源端口 ❖ 基于目的端口 ❖ 基于时间 ❖基于用户 ❖ 基于流量 ❖ 基于文件 ❖ 基于网址 ❖ 基于MAC地址
网络安全设备功能及部署方式
防火墙与路由器类比
路由器主要功能 防火墙主要功能
路由 具有访问控制功能.
. 访问控制 具有路由功能.
http://202.102.1.3
Internet
网络安全设备功能及部署方式
12.4.1.5
防火墙的基本访问控制功能
Access list 192.168.1.3 to 202.2.33.2 Access 202.1.2.3 to 192.168.1.3 block Access default pass
WAF的部署
• 旁路部署:
单位内网 WAF
服务器群
交换机
Internet网用户
路由器
Internet
终端
网络安全设备功能及部署方式
网闸
网闸的功能:
物理层面的网络安全隔离
对网络地隔离是通过网闸隔离硬件实现两个网络在链路层断开,但 是为了交换数据,隔离硬件在两个网络对应的硬件上进行切换,通 过对硬件上的存储芯片的读写,完成数据的交换。
网络安全设备功能及部署方式
防毒墙的功能
网络安全设备功能及部署方式
WEB应用防火墙(WAF)
WAF是一款专门针对企业网站进行安全防护的产品。 能够针对Web应用攻击提供更全面、更精准的防护, 尤其对一些可以"绕过"传统防火墙和IPS的攻击方法, 可以精准地阻断。正因如此,WAF可以对:数据盗窃、 网页篡改、网站挂马、虚假信息传播、针对客户端的 攻击等行为,提供完善的解决方案。