网络安全产品简介
网络安全产品基本可以分为以下几个方面的产品:1.1 防火墙类产品:
典型的防火墙包括路由式防火墙、Proxy防火墙和状态滤式防火墙。
路由式防火墙(Packet Filter Router)--防火墙会在数据处于网络层被路由时检测数据包,通过设定好的规则决定允许其通过或将其锁定。通常情况下,如果在规则中没有明确一个特定的数据包是否能够被通过,则在实际检测中遇到这种类型数据包时会将其抛弃掉。
路由式防火墙的缺点在于:对用户不能察觉,过滤的判断仅取决于对数据包内的部分数据,主要是IP报头的数据,对其它相关信息没有能力做出判断;没有针对应用的过滤,过滤器只根据数据报头进行判断,不涉及数据内容;无连接的可见性,在防火墙的过滤规则中没有网络连接的相关概念,不能根据通过网络传输的信息的连贯性来做出判断;没有对Datagram数据包的支持,不能对如UDP、TFTP和RPC等Datagram协议进行过滤控制;缺少可管理的反馈,在绝大多数情况下,此类防火墙没有标准的警告、日志信息。
Proxy防火墙—由一系列代理服务进程组成。每一个代理服务都是一个运行在网关服务器上的应用,对应一个真实的应用服务器。任何一个想运行应用程序的用户必须首先登录到代理服务器上或这个应用程序必须被设定为支持代理服务的。这样,针对每一个应用的申请,代理服务器都会进行判断与过滤。
Proxy防火墙的缺点主要在于性能比较低,每一个包都需要经过代理应用和网络协议堆栈两处,会影响数据包的通过效率;并不是所有的应用可以被代理型防火墙支持;另外,由于每一个应用都必须提供给防火墙唯一的代码,各应用都要支持代理的服务,因此会存在运行冲突和安全方面的限制。
状态滤(Stateful Packet Filter)--状态滤器在网络层对流经的数据进行智能地检测。在一个TCP数据包传输过来时,防火墙首先会根据规则检查包的起始连接(start-of-connection)部分,之后创建一个连接,在其基础之上建立应用级的传输前后顺序关系,之后所有的数据包都会被监视其状态或顺序关系。根据防火墙收集到的数据包顺序关系,只有被验证过的数据包才能通过防火墙。这种类型的防火墙提供了一个较理想的性能与安全的平衡。
1.2 网闸
网闸与防火墙一样都是属于逻辑隔离的产品。但是他有比防火墙更强的安全性。一般网闸均有:内部网关、外部网关以及切换控制器组成。内部网关可以实现认证和访问控制,实现基本的防火墙功能。切换控制器则在内部和外部网关之间进行切换,进行数据的倒入和倒出。切换控制器采用特有的控制协议,所以准确的讲,他是一个协议转换的设备。与防火墙相比,他的优点是可以防止通过后门的入侵。因为防火墙虽然安全,但是他是建立在操作系统的基础上的,如果操作系统出现漏洞或后门,那么黑客就有可能绕过防火墙。但是现在的芯片级防火墙一般采用自己的嵌入式操作系统,这种可能性就比较小了。所以网闸应该说是一个很有争议的安全产品。
1.3 物理隔离卡
物理隔离卡是安装在单机上,使一台计算机变成两台计算机分别连接内部和外部网络,从而形成两个网络,这两个网络是物理隔离的。使用物理隔离卡实现物理隔离是国家保密局确认的物理隔离方案。
1.4 杀毒软件
目前的查毒杀毒软件能有效遏止已知病毒的存活和蔓延,同时能对木马等一些入侵程序进行查杀。国内主要采用的有:瑞星、诺顿等。杀毒工具也可以分为网关级和单机级2种。杀毒软件的最大特点是必须经常更新病毒库才能有效防止新的病毒。
1.5 漏洞扫描类设备
这一类设备主要是对网络和单机的安全漏洞进行评估,并能形成安全建议报告。便于内部进行主动的安全防御。
1.6 信息安全类产品
信息安全类产品主要是基于PKI体系实现基于数字证书的身份认证、授权和访问控制。并通过密码学的技术确保信息的机密性、完整性、真实性以及不可抵赖性。信息安全类产品是所有安全产品中最复杂也是最有效的产品。主要包括加密和签名器件,如智能卡、KEY等产品;数字证书认证系统(CA);认证、授权和访问控制系统(信息安全平台);单点登陆系统(SSO)等产品。信息安全类技术和产品是我们在本书中重点讨论的问题。
1.7 安全审计类产品
安全审计主要是对内部的网络访问行为进行记录,存档和分析的工具。通过记录和清楚的反映什么人在什么时候发生过什么样的网络行为。防止内部人员的网络犯罪。
1.8 网络警察
对内部人员的网络行为进行监视和控制。防止内部人员的网络犯罪
1.9 入侵检测类产品
如果我们将防火墙比成是门卫的话,那么入侵检测就好象是内部巡逻人员。在内部的各个重要部分检测是否有入侵行为。一旦发现可以进行报警,同时可以与防火墙进行联动,及时提示防火墙抵御入侵。
入侵检测包括入侵探测和服务拒绝型攻击探测引擎,可以自动识别各种入侵模式,在对网络数据进行分析时与这些模式进行匹配,一旦发现某些入侵的企图,就会进行报警。
页:
[1]