[TOC]

主要介绍当前市面企业中常用的安全设备进行分类,因为个人的接触主要以深信服,天融信,绿盟产品进行分类对比;

0x01 绿盟产品

1. IPS 入侵防护系统

网络入侵防护系统 (IPS)Intrusion Prevention System 是电脑网络安全设施,串联设备,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充,提出时间2014年;
入侵防御系统(IPS)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

基于对网络入侵检测和防护的实践,以及攻防的深刻理解和研究;绿盟科技推出了下一代入侵防护系统;

WeiyiGeek.IPS部署图

WeiyiGeek.IPS部署图


攻防特点:
1)应用层攻击:应用复杂度提高,安全威胁向应用化、深层化转变,隐藏在应用中的攻击增多
2)恶意文件攻击:将攻击代码埋设在Word、Excel、PDF及Flash等正常格式文件中,这类文件隐蔽性高、欺骗性强;
3)用户身份攻击:仅依赖 IP的防护手段无法准确识别用户身份,无法基于用户身份做细粒度的策略管理
4)异常行为攻击:以APT为代表的异常行为攻击以点概面的安全检测手段已显得不合时宜
5)安全防护的性能要求:安全防护设备应有足够的性能和扩展性;
6)IPV6的安全问题:如何在保证业务正常运营的前提下安全平滑过渡以及保证安全防护在IPv4网络和IPv6网络上均实现无缝稳定地运行;

IPS典型产品:
绿盟网络入侵防护系统(NSFOCUS NIPS NX5 Series)NX系列产品 : NIPS-NX5-ZN-6001A
支持10G/40G/100G接口类型,适配多种网络环境。提供整机统一配置管理,电源模块3+1冗余备份,交、直流电源模块支持热插拔,保证系统高效工作。

1
2
3
SOLT插槽 : slot在计算机行业指的就是周边元件扩展插槽,与slot1,slot2这些所谓的CPU接口不同;
4GE/4SFP/SFPP: 4个千兆网口,4个光口,多模光口模块;
2SPF+ : 2个万兆 SFP+光纤模块扩展插槽

WeiyiGeek.

WeiyiGeek.

功能:入侵检测与高级威胁防护,云端信誉防护,DoS/DDoS防护,数据防泄漏,病毒检测与防护,Web过滤,应用识别与控制,流量识别与控制,基于NTI的攻击溯源;
部署和管理:防护配置,高可靠性,协议封装,管理能力,告警响应方式;

HA功能:
网络状态冗余:Active-Active、Active-Passive基于规则、会话的信息同步网络协议透传。

BYPASS解决方案:
(1) NSFOCUS NIPS出现软件或硬件故障,而无法发出心跳信号时,执行切换动作,使光信号绕开故障设备,从而保持光网络畅通,避免因为单点故障而导致全网中断;
(2) 外置BYPASS交换机或自带bypass功能网卡
设备故障:光信号绕过故障设备,保持光网络畅通
故障排除:光信号重新切回绿盟NIPS
(3) 两种通讯状态,缺省为正常状态,BYPASS时切换通讯链路
(4) 内置看门狗定时器(Watch-dog-timer WDT),用来控制一个继电器组,实现两个以太网端口的物理路由,并在这两种状态中切换通讯

WeiyiGeek.Bypass

WeiyiGeek.Bypass


产品架构:
包括三个主要组件:网络引擎、管理模块、安全响应模块
多种技术融合的入侵检测机制:
事实上,协议与端口是完全无关的两个概念,我们仅仅可以认为某个协议运行在一个相对固定的缺省端口。包括木马、后门在内的恶意程序,以及基于Smart Tunnel(智能隧道)的P2P应用(如各种P2P下载工具、IP电话等),IMS(实时消息系统 如MSN、Yahoo Pager),网络在线游戏等应用都可以运行在任意一个指定的端口,从而逃避传统安全产品的检测和控制。

协议异常检测是一项关键技术,以深度协议分析为核心,将发现的任何违背RFC规定的行为视为协议异常。
协议异常最为重要的作用是检测检查特定应用执行缺陷(如:应用缓冲区溢出异常),或者违反特定协议规定的异常(如:RFC异常),从而发现未知的溢出攻击、零日攻击以及拒绝服务攻击。

云端信誉防护:信誉库内的可疑IP信誉、C&C服务器地址信誉,以及文件、恶意URL等信誉信息,执行相应的防护动作;

NSFOCUS NIPS提供强大、灵活的流量管理功能,采用全局维度(协议/端口)、局部维度(源/目的IP地址、用户、网段)、时间维度(时间)、流量纬度(带宽)等流量控制四元组;

APT攻击防护:
IPS通过流式扫描引擎发现已知的基于签名的攻击,TAC通过静态引擎和虚拟执行发现0day漏洞攻击和未知恶意软件,通过IPS与TAC进行无缝联动,实现对已知攻击和未知攻击的检测防御,同时能够将未知攻击签名化。

混合防护解决方案:

WeiyiGeek.混合防护

WeiyiGeek.混合防护

IPS产品列表账号及密码:

1
2
3
4
产品	用户	缺省
三石网科IPS
hillstone hillstone
绿盟IPS admin nsfocus

2. IDS 入侵检测系统

Intrusion Detection Systems(IPS|入侵检测系统)是一个旁路设备,按照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性;

WeiyiGeek.IDS部署

WeiyiGeek.IDS部署

近年来随着黑客群体利益的变化,其攻击方式也发生了很大的改变。溢出攻击、木马、蠕虫、DDOS等传统安全威胁,由于用户安全意识的逐步提高、关键业务的安全防护措施不断完善,黑客攻击目标趋向于从传统直接攻击服务器转向攻击安全较薄弱的内网客户端,以客户端为跳板再向服务器渗透,如何保障内网客户端的安全已经成为企业面临的难题。

IDS典型产品:
检测绿盟 NIDS 入侵检测系统 NIDSNX3-N3000A-Z2
功能:含入侵检测、流量分析和应用管理功能
吞吐量:8Gbit/s 每秒新建连接数:12万 最大并发连接数:300万

IPS与IDS到底有什么区别?

WeiyiGeek.IPS/IDS区别

WeiyiGeek.IPS/IDS区别

按照功能,部署区别,价格区别(IPS>IDS)资质不一样(名称、ISCCC强制认证),IPS主要用在企业的边界网络中或者企业外部网络的进出口,对于内网攻击是无能为力的,这时需要IDS这样的设备接到核心交换机之上,做一个镜像流量这样就能分析内网中的威胁;

Q:IPS与IDS有什么相同之处?
NIDS和NIPS基本都是一脉相承的;
(1)旁路、串联混合部署:同时支持IDS旁路监听、IPS串联防护以及混合工作模式,满足不同阶段部署需求;
(2)NIDS和NIPS采用相同硬件软件架构,功能一致;

3. WAF(应用防火墙)

网站应用级入侵防御系统(英文:Web Application Firewall,简称: WAF),Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品;衍生出下一代防火墙;

WAF典型产品:绿盟WAF NX3 Series 千兆设备 (NF NX3-G2000M)
传统防火墙:覆盖传统防火墙功能包括访问控制、NAT支持、路由协议、VLAN、STP、主主/主备双机热备
病毒防护:支持基于流引擎查毒技术,针对HTTP、FTP、SMTP、POP3等协议进行查杀
上网管理:P2P流量管控、应用流量控制、web网站过滤、恶意站点过滤、内容过滤管理、恶意脚本过滤
其他功能:云安全日志管理
HWAF(WEB应用防护系统主机版)6.0.0.401

关键字:
吞吐量:网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源,吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量;
并发连接数:是指防火墙或代理服务器对其业务信息流的处理能力,是防火墙能够同时处理的点对点连接的最大数目,它反映出防火墙设备对多个连接的访问控制能力和连接状态跟踪能力,这个参数的大小直接影响到防火墙所能支持的最大信息点数

4. ADS(抗拒绝服务攻击)

抗拒绝服务系统(Anti-DDoS System,简称ADS),针对攻击类型迅速对攻击流量进行拦截,保证正常流量的通过;
DDoS(分布式拒绝服务)通常是指黑客通过控制大量互联网上的机器(通常称为僵尸机器),在瞬间向一个攻击目标发动潮水般的攻击,大量的攻击报文导致被攻击系统的链路被阻塞、应用服务器或网络防火墙等网络基础设施资源被耗尽,无法为用户提供正常业务访问;

ADS典型产品:
绿盟抗拒绝服务系统(NSFOCUS ADS)- ADS1200
可防护各类基于网络层、传输层及应用层的拒绝服务攻击,如SYN Flood、UDP Flood、UDP DNS Query Flood、(M)Stream Flood、ICMP Flood、HTTP Get Flood以及连接耗尽等常见的攻击行为;
智能防御,借助内嵌的“智能多层识别净化矩阵”,实现基于行为异常的攻击检测和过滤机制,而不依赖于传统的特征字(或指纹)匹配等方式;提供完备的异常流量检测、攻击防御、设备管理、报表生成、增值运营等功能;
主要就是:流量清洗功能;

5. TAC (威胁分析系统 )

TAC - 通过行为分析恶意软件,网络安全事件的发展显示骇客正在使用越来越精密且有效率的方式来进行攻击,通过鱼叉式钓鱼邮件或者水坑式攻击的方式,利用高级恶意软件去攻击终端主机,以进入组织的内部网络,进行偷窃或破坏,由于这种高级恶意软件的具备的特点(如:多种逃避检测技术、针对特定目标、零日攻击等)传统安全产品很难及时发现;

TAC典型产品:
绿盟威胁分析系统(简称TAC)可以精确检测通过网页、电子邮件或文件共享方式试图进入内部网络的恶意软件,包括零日攻击及具有抗检测能力的高级恶意软件;当前的恶意软件大多具备强大的抗逃避能力,而APT攻击还可能使用零日攻击的方式,传统的防病毒引擎很难发现它们,TAC通过新型的虚拟执行检测技术可以有效发现这些攻击行为,帮助客户有效的遏制由此带来的风险,如敏感信息泄露、业务中断等。

6. RSAS (远程安全评估系统 )

漏洞扫描它高效、全方位的检测网络中的各类脆弱性风险,提供专业、有效的安全分析和修补建议,并贴合安全管理流程对修补效果进行审计,最大程度减小受攻击面;
功能:多种检查能力合一,能够发现系统各类安全隐患;实现闭环安全管理,促进安全管理流程实施(包括预警、检测、分析管理、修补、审计等几个环节)

RSAS 远程安全评估系统产品:
绿盟 RSAS NX3 Series 千兆设备漏洞扫描 RSAS NX3-S-C
网神 SecVSS 3600 漏洞扫描系统

7.OSMS (安全审计系统 - 堡垒机)

了解堡垒机之前先了解一哈跳板机(Board machine) ,跳板机是开发者登录到网站分配给应用服务器的唯一途径,开发者必须首先登录跳板机,再通过跳板机登录到应用服务器。

跳板机认证方式,将原有的使用固定密码登录跳板机的方式升级为“证书+固定密码+动态验证码”三重认证方式,新的认证方式通过证书避免身份伪造,通过动态token避免证书丢失后的身份假冒,能够最大程度保证安全,其实这已经是堡垒机的雏形了;

WeiyiGeek.跳板机

WeiyiGeek.跳板机

正题来了,运维安全审计系统即堡垒机,堡垒机即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、及时处理及审计定责。

堡垒”一词的含义是指用于防守的坚固建筑物或比喻难于攻破的事物,因此从字面的意思来看“堡垒机”是指用于防御攻击的计算机,
基于其应用场景,堡垒机可分为两种类型:
(1)网关型堡垒机:此类堡垒机需要处理应用层的数据内容,性能消耗很大,所以随着网络进出口处流量越来越大,部署在网关位置的堡垒机逐渐成为了性能瓶颈,因此网关型的堡垒机逐渐被日趋成熟的防火墙、UTM、IPS、网闸等安全产品所取代。
(2)运维审计型堡垒机:“内控堡垒机”,这种类型的堡垒机也是当前应用最为普遍的一种,运维审计型堡垒机被部署在内网中的服务器和网络设备等核心资源的前面,对运维人员的操作权限进行控制和操作行为审计;解决了运维人员权限难以控制混乱局面,又可对违规操作行为进行控制和审计,而且由于运维操作本身不会产生大规模的流量,堡垒机不会成为性能的瓶颈,所以堡垒机作为运维操作审计的手段得到了快速发展;

SAS-H:Security Audit System-Host:绿盟安全审计系统系列堡垒机,(前期)
OSMS:Operation Security Manager System : 绿盟运维安全审计系统,(后期主要设备)

简要的说就是运维安全审计能够拦截非法访问,和恶意攻击,对不合法命令进行命令阻断,过滤掉所有对目标设备的非法访问行为,并对内部人员误操作和非法操作进行审计监控,以便事后责任追踪。
对于SASH管理员来说,所有运维账号管理都在一个平台上进行管理,账号管理更加简单有序,建立运维用户与账号的对应关系(实现实名认证)并设置最小权限,方便监控与预警各种访问行为,对于多个人运用一个业务系统账号也能轻松找到对应的运维人员;对于运维用户来说只需要记住一个堡垒机密码,便能对多台机器进行管理运维,之后也可以在登录跳板机然后进行进一步的操作;

企业合规,数据运维人员操作规范保证(统一入口,全程审计),数据库双层审计,内置应用系统发布;

WeiyiGeek.堡垒机应用场景示例

WeiyiGeek.堡垒机应用场景示例

功能:完备的角色管理,灵活多样的用户认证方式,登录方式灵活多样,丰富的身份认证,多维度的访问授权,严格授权(金库模式),工单系统,智能化巡检设备,运维操作全程审计,协议支持&代理,数据库双层审计,内置应用系统发布,BVS&SAS-H联动,虚拟化堡垒机;

支持协议:RDP、Telent、SSH、HTTP/HTTPS、SFTP、VNC、X11;
支持客户端:SecurCRT、Mstsc、Realvnc、Winscp等
运维审计模式:字符/文件/图像/数据库

堡垒机选型(前置机):

WeiyiGeek.堡垒机选型

WeiyiGeek.堡垒机选型

应用案例/场景:
在银行、证券等金融业机构也广泛采用堡垒机来完成对财务、会计操作的审计。
在电力行业的双网改造项目后,采用堡垒机来完成双网隔离之后跨网访问的问题,能够很好的解决双网之间的访问的安全问题。

WeiyiGeek.堡垒机应用场景

WeiyiGeek.堡垒机应用场景

SASH 运维审计系统产品:

1
2
3
4
5
6
绿盟,启明星辰,帕拉迪 ,齐治,安恒,江南,科有,天融信
产品 用户 缺省
堡垒机 SAS NX-H3 Series
sysadmin 系统管理员
weboper 安全管理员 
webaudit 系统审计员 [email protected]

8. DAS(数据库审计系统)

Database Audit System(简称DAS)是能够实时监视、记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理系统。它通过对用户访问数据库行为的记录、分析和汇报,用来帮助用户事后生成合规报告、事故追根溯源,同时加强内外部网络行为记录,提高数据资产安全。

DAS是一款专业、实时进行数据库访问监视与审计的数据库安全设备。

  • 1 - 多角度分析数据库活动,对异常的行为进行告警通知、审计记录、时候追踪分析功能 -
  • 2 - 独立配置和部署, 在不影响数据库的前提下,达到安全管理的目的
    DAS支持
  • 3 - 灵活的部署模式,包括旁路和多级部署模式。
  • 4 - 完全模拟数据库的词法、语法(lex/yacc)解析,可以精准、智能的识别SQL类型,从而灵活的构建行为模型,且能够快速、准确的配置和定位策略。
  • 5 - 智能的SQL识别,采用启发式风险评估,能够及时发现数据库操作的潜在风险,从而能够实现事后对数据库操作记录进行合规性分析。
  • 6 - 通过漏洞攻击特征识别技术,在不需要数据库做任何补丁、升级工作的前提下,即可实现对400种以上的数据库漏洞攻击行为进行准确监测,及时告警。
  • 5 - 达到细粒度访问审计配置的目的,直接对数据库用户权限进行细粒度划分,对于违反细粒度策略的访问行为进行审计、告警,从而确保数据库操作达到合规性要求。
9. 态势感知 (Situation Awareness)

外部威胁风险评测评估,基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地;

目的: 检测、分析、预测、防御

该类产品:
绿盟,深信服,漏洞盒子网藤,

0x01 深信服产品

深信服(Sangfor)的一些安全管理软件的业界标准;
深信服科技产品分为两类:
一类为网络安全产品线,包括:SSL VPN,IPSec VPN,上网行为管理(AC),下一代防火墙(NGAF),第二代上网行为管理——安全桌面。
一类为网络优化产品线,包括:上网优化网关(SG),流量管理(BM),应用交付(AD),广域网优化(WOC),应用性能管理(APM)。

1. AC (上网行为管理)

AC行为管理设备上的功能,英文表示 access control 访问控制(可以和radius服务器联合审计管理) , 深信服sangfor是国内最早做上网行为管理的厂商,其产品也成为行业标准 ;

AC是审计、管控、流控三大功能。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
用户管理:IP和Mac地址绑定/AD域透明认证/本地Web认证/LDAP认证/数据库认证/RADIUS认证/代理认证/统一的第三方认证接口/短信认证/用户分组、分段管理等
网页过滤:120种分类、4600万条URL分类库/本地内容智能识别技术
应用控制:支持网络游戏、P2P下载、聊天工具、网络视频、网络炒股等40类超过4000种主流应用;阻塞应用/限制带宽/限制使用时长
带宽管理:自定义带宽通道/多级带宽通道/基于协议、应用、用户的带宽分配/用户组成员平均分配带宽/ 空闲带宽复用
内容审计:Email/Web mail/BBS/微博/QQ/飞信/网页搜索关键字等
互联网活动审计:支持实时监控/基于用户、时间、应用、带宽、外发信息等的监控记录/可生成基于日/周/月以及指定日期范围的统计报表/支持email订阅报表
防私接:私接数量显示/封堵时间可设置/可设置白名单/私接原因描述等
页面推送:可设置推送时间段/可设置页面推送频率/自定义推送页面
移动终端管理:可对移动终端进行监控、统计/可针对移动终端配置策略/可设置移动终端的黑白名单
终端准入:必须/禁止安装指定软件/必须/禁止运行指定程序/禁止指定程序访问网络
日志中心:海量存储,汇总分析,离线查询/支持专业级Oracle数据库
集中管理:集中制定、下发策略/分支机构设备状态监控/用户日志、报警信息收集
攻击防护:支持ARP攻击监控/网络异常流量监控/IP流量异常监控/DDOS攻击/广播风暴
管控方式:支持黑白名单/免监控IP/监控不记录/监控并记录/允许/阻塞等
操作界面:WEB界面(支持各种主流浏览器,HTTPS加密传输)/命令行界面(SSH/Console口)
部署方式:透明网桥/网关模式/旁路镜像等

如果客户想要保存大量日志信息,建议安装外置数据中心(做等保是很有用的,由于安全法规定要6~12个月的日志信息);
在日志量很大的情况下,可以通过启用高性能模式来提高AC数据同步的性能,即将数据全部同步到外置数据中心,内置数据中心不保存数据。

AC典型产品:
深信服(Sangfor)AC-1000-D420 ;
网康 网康NI3200-HEM

2.AF 下一代防火墙

介绍AF前我们先介绍一哈DMZ区,防火墙的产生对其意义非常大;
DMZ是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”,两个防火墙之间的空间被称为DMZ(隔离区),与Internet相比DMZ可以提供更高的安全性,但是其安全性比内部网络低;
它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区;该缓冲区位于企业内部网络和外部网络之间的小网络区域内;在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等,另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络,因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。

防火墙(firewall)别称防护墙, 它是一种位于内部网络与外部网络之间的网络安全系统,一项信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过。

下一代防火墙的图例:

WeiyiGeek.防火墙的图例

WeiyiGeek.防火墙的图例

传统防火墙:
包过滤:可以依照IP,端口,国家,时间,应用,服务,用户等多个维度进行访问控制
NAT:端口复用技术,扩展端口空间;运营商路由、反向路由解决多链路利用难题
IPSe:标准协议设计,可与主流厂家对接,主模式、被动模式全面支持。
SSL VPN:完美适应多种客户端环境,可通过web或隧道两种方式接入,提供完善的用户管理机制。
路由、交换、HA:标准协议设计,双机热备可以适应路由,交换,虚拟线,非对称路由等多种场景

功能:应用识别,安全防护,上网管理,僵尸网络防护,无线热点管理,事件关联分析,识别资产软件环境,双引擎保险,VPN互联,内网隔离,未知威胁防护;

AF典型产品:
深信服防火墙,绿盟防火墙(为例),
阿姆瑞特防火墙 - 防火墙F5000(感觉不行)

WeiyiGeek.选型

WeiyiGeek.选型

AF与AC的区分:
功能区别,AF主要功能是防护,其有AC中三个功能稍弱一些;
日志区别,AF侧重安全和防护,AC侧重记录和控制,

安全厂商产品区别:

WeiyiGeek.防火墙差别

WeiyiGeek.防火墙差别

3. AD (负载均衡|应用交付)
4. BM (流量管理)
5. SG 网关加速|优化网关
6. WOC 广域网加速
7. APM 应用性能管理
安全网关 (Security Gateway)

安全网关是各种技术有趣的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤。设置的目的是防止Internet或外网不安全因素蔓延到自己企业或组织的内部网,安全网关在应用层和网络层上面都有防火墙的身影,在第三层上面还能看到VPN作用。

安全网关产品:
卡巴斯基

0x02 天融信

1. UTM (统一威胁管理)

UTM(统一威胁管理 | Unified Threat Management ),集合了集防火墙、VPN、防病毒、防垃圾邮件、内容过滤、抗攻击、流量整形等多种功能于一体的UTM(统一威胁管理)网关;

产品的主要特点:

  • 多功能与高性能的完美结合,采用TOS优秀的模块化设计架构,在提供防火墙、VPN、防病毒、防垃圾邮件、内容过滤、抗攻击、流量整形等功能时,保证了优异的性能:
  • 一机多用,治理简单,节省大量成本
  • VPN 服务的支持,同时具备防火墙、VPN、防病毒和内容过滤等功能,并且各种功能融为一体,能够对各种VPN数据进行各种检查,拦截病毒、木马、恶意代码等有害数据,彻底保证了VPN通信的安全
  • 完全的内容防护(Complete Content Protection)

0x03 360奇安信

1.360网闸

描述:使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备, 目前流行的网络隔离技术的产品和方案:独立网络方案终端级解决方案;

  • 百度:由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。因此,网闸从逻辑上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全
  • 简单描述:就是当环境中存在公用网络和专用网络时候,网闸保证了机器只能在同一时间访问一个网络,另外一个网络将会被隔离;
  • 终端级解决方案:用户使用一台客户端设备排他性选择连接内部网络和外部网络,主要类型可分为以下几种
    1
    2
    3
    (1)双主板,双硬盘型:通过设置两套独立计算机的设备实现,使用时,通过客户端开关分别选择两套计算机系统。
    (2)单主板,双硬盘型:客户端通过增加一块隔离卡、一块硬盘,将硬盘接口通过添加的隔离卡转接到主板,网卡也通过该卡引出两个网络接口。通过该卡控制客户端存储设备,同时选择相应的网络接口,达到网络隔离的效果。
    (3)单主板,单硬盘型:客户端需要增加一块隔离卡,存储器通过隔离卡连接到主板,网卡也通过隔离卡引出两个网络接口。对硬盘上划分安全区、非安全区,通过隔离卡控制客户端存储设备分时使用安全区和非安全区,同时对相应的网络接口进行选择,以实施网络隔离。
    • 网闸实现了内外网的逻辑隔离,在技术特征上,主要表现在网络模型各层的断开如物理层断开、链路层断开、TCP/IP协议隔离、应用协议隔离;
    • 应用场景:涉密网和非涉密网之间、局域网和互联网之间、办公网与业务网、业务网与互联网之间、电子政务的内网与专用网之间
    • 选型参考:应用场景、基础功能、吞吐量、端口数量;

0x03 计费管理网关(B-RAS)

B-RAS产品:
城市热点:B-RAS/BMG series 万兆设备 (DrCOM是数据库服务器 + B-RAS是计费管理网关)
支持认证方式包括:Dr.COM客户端,Web,PPPoE,PPTP,802.1x等认证方式;
两种认证模式:账号密码认证和免账号认证(专线方式和直通方式);
可实现基于用户名和密码的身份认证,可以透过三层网络绑定用户的IP、MAC、VLAN等重要网元信息;
支持最高64000个用户的内部资料,单台支持最高16000个同时在线用户;
作为Radius Client,外部认证支持标准Radius 和多个厂家的扩展属性,并支持基于LDAP的外部认证;并支持一主一备的外部Radius服务器,并可以实现Radius Cache的功能;同时也可以作为Radius Server,为其它接入设备提供认证;
支持网关与802.1x交换机的同步认证,一次认证可以同时登录内网和外网;多台网关的之间的关联认证和同步,对于多个出口的情况,一次认证就可以通过各个网关;
支持基于Dr.COM客户端、802.1x客户端和PPPoE客户端的防私接功能;
支持负载均衡,双机热备份,分布式接入,具有很高的可靠性。