常见网络安全设备

防火墙

简介

• 防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

• 防火墙可以分为网络层防火墙和应用层防火墙【WAF】。网络层防火墙基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。应用层防火墙针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。

• 防火墙最基础的功能是策略控制流入流出IP及端口、NAT【公网IP和私网IP的转换】、端口映射。防火墙定义也较为模糊，多带有集成功能，目前，世面上购买的防火墙大多也带有IPS功能或服务（兼顾功能）。

为什么需要WAF？

WAF的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗，并且IPS【入侵预防系统】也无法从根本上防护应用层的攻击，因此出现了保护Web应用安全的Web应用防火墙系统。

什么是WAF？

• WAF是一种基础的安全保护模块，通过特征提取和分块检索技术进行特征匹配，主要针对 HTTP访问的Web程序保护。
• WAF部署在Web应用程序前面，在用户请求到达 Web 服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。
• 通过检查HTTP流量，可以防止源自Web应用程序的安全漏洞【如SQL注入，跨站脚本（XSS），文件包含和安全配置错误】的攻击。

与传统防火墙的区别

• WAF区别于常规防火墙，因为WAF能够过滤特定Web应用程序的内容，而常规防火墙则充当服务器之间的安全门。
• WAF不是全能的
• WAF不是一个最终的安全解决方案，而是它们要与其他网络周边安全解决方案【如网络防火墙和入侵防御系统IPS】一起使用，以提供全面的防御策略。

功能

• 进、出网络的数据
• 防止不安全的协议和服务
• 管理进、出网络的访问行为
• 记录通过防火墙的信息内容
• 对网络攻击进行检测与警告
• 防止外部对内部网络信息的获取
• 提供与外部连接的集中管理

局限性

1. 不能防止源于内部的攻击，不提供对内部的保护

2. 不能防病毒

3. 不能根据网络被恶意使用和攻击的情况动态调整自己的策略

4. 本身的防攻击能力不够，容易成为被攻击的首要目标

IPS（入侵防御系统）

简介

• 入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

• 串行部署的防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但是无法实时的阻断。

• 因此出现了基于IDS和防火墙联动的IPS：通过IDS来发现，通过防火墙来阻断。但由于迄今为止没有统一的接口规范，加上越来越频发的“瞬间攻击”（一个会话就可以达成攻击效果，如SQL注入、溢出攻击等），使得IDS与防火墙联动在实际应用中的效果不显著。

功能

1. 它能够提供安全审计、监视、攻击识别和反攻击等多项功能，对内部攻击、外部攻击和误操作进行实时监控，在网络安全技术中起到了不可替代的作用。

2. 实时监测：实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文；

3. 安全审计：对系统记录的网络事件进行统计分析，发现异常现象，得出系统的安全状态，找出所需要的证据

4. 主动响应：主动切断连接或与防火墙联动，调用其他程序处理。

IDS（入侵检测系统）

简介

• 入侵检测即通过从网络系统中的若干关键节点收集并分析信息，监控网络中是否有违反安全策略的行为或者是否存在入侵行为。

• 信息收集包括收集系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自：系统和网络日志文件、非正常的目录和文件改变、非正常的程序执行这三个方面。

• 分析引擎对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，是通过模式匹配、统计分析和完整性分析这三种手段进行分析的。前两种用于实时入侵检测，完整性分析用于事后分析。

• 告警与响应根据入侵性质和类型，做出相应的告警与响应。

功能

1. 入侵防护：实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、Dos等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。

2. Web安全：基于互联网Web站点的挂马检测结果，结合URL信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵害，及时、有效地第一时间拦截Web威胁。

3. 流量控制：阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业IT产出率和收益率。

4. 上网监管：全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频，以及在线炒股等网络行为，协助企业辨识和限制非授权网络流量，更好地执行企业的安全策略。

漏扫设备

简介

漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。

功能

可以对网站、系统、数据库、端口、应用软件等一些网络设备应用进行智能识别扫描检测，并对其检测出的漏洞进行报警提示管理人员进行修复。同时可以对漏洞修复情况进行监督并自动定时对漏洞进行审计提高漏洞修复效率。

1. 定期的网络安全自我检测、评估

   安全检测可帮助客户最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效的利用已有系统，提高网络的运行效率。

2. 安装新软件、启动新服务后的检查

   由于漏洞和安全隐患的形式多种多样，安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来，因此进行这些操作之后应该重新扫描系统，才能使安全得到保障。

3. 网络承担重要任务前的安全性测试

4. 网络安全事故后的分析调查

   网络安全事故后可以通过网络漏洞扫描/网络评估系统分析确定网络被攻击的漏洞所在，帮助弥补漏洞，尽可能多得提供资料方便调查攻击的来源。

5. 重大网络安全事件前的准备
   重大网络安全事件前网络漏洞扫描/网络评估系统能够帮助用户及时的找出网络中存在的隐患和漏洞，帮助用户及时的弥补漏洞。

安全隔离网闸

简介

• 安全隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立网络系统的信息安全设备。由于物理隔离网闸所连接的两个独立网络系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。
• 如果针对网络七层协议，安全隔离网闸是在硬件链路层上断开。

功能

1. 阻断网络的直接物理连接：物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接，而不能同时与两个网络连接；

2. 阻断网络的逻辑连接：物理隔离网闸不依赖操作系统、不支持TCP/IP协议。两个网络之间的信息交换必须将TCP/IP协议剥离，将原始数据通过P2P的非TCP/IP连接方式，通过存储介质的“写入”与“读出”完成数据转发；

3. 安全审查：物理隔离网闸具有安全审查功能，即网络在将原始数据“写入”物理隔离网闸前，根据需要对原始数据的安全性进行检查，把可能的病毒代码、恶意攻击代码消灭干净等；

4. 原始数据无危害性：物理隔离网闸转发的原始数据，不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样，也不会执行命令等。

5. 管理和控制功能：建立完善的日志系统。

6. 根据需要建立数据特征库：在应用初始化阶段，结合应用要求，提取应用数据的特征，形成用户特有的数据特征库，作为运行过程中数据校验的基础。当用户请求时，提取用户的应用数据，抽取数据特征和原始数据特征库比较，符合原始特征库的数据请求进入请求队列，不符合的返回用户，实现对数据的过滤。

7. 根据需要提供定制安全策略和传输策略的功能：用户可以自行设定数据的传输策略，如：传输单位（基于数据还是基于任务）、传输间隔、传输方向、传输时间、启动时间等。

8. 支持定时/实时文件交换：支持支持单向/双向文件交换；支持数字签名、内容过滤、病毒检查等功能。

VPN设备

简介

虚拟专用网络指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台之上的逻辑网络，用户数据在逻辑链路中传输。

安全审计系统

网络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督，预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。