網絡安全設備功能及部署方式20XX主講人：請在此輸入輔助性文案內容，請在此輸入輔助性文案內容。請在此輸入輔助性文案內容，請在此輸入輔助性文案內容。請在此輸入輔助性文案內容，請在此輸入輔助性文案內容。網絡科技公司目錄防火墻THISTEMPLATEDESIGNEDTHISTEMPLATEDESIGNEDFORFEIERSHEJIFORFEIERSHEJI防毒墻THISTEMPLATEDESIGNEDTHISTEMPLATEDESIGNEDFORFEIERSHEJIFORFEIERSHEJI網閘THISTEMPLATEDESIGNEDTHISTEMPLATEDESIGNEDFORFEIERSHEJIFORFEIERSHEJI入侵防御系統(IPS)THISTEMPLATEDESIGNEDTHISTEMPLATEDESIGNEDFORFEIERSHEJIFORFEIERSHEJIWEB應用防火墻(WAF)THISTEMPLATEDESIGNEDTHISTEMPLATEDESIGNEDFORFEIERSHEJIFORFEIERSHEJI上網行為管理THISTEMPLATEDESIGNEDTHISTEMPLATEDESIGNEDFORFEIERSHEJIFORFEIERSHEJI010203040506PARTONE防火墻THISTEMPLATEDESIGNEDTHISTEMPLATEDESIGNEDFORFEIERSHEJIFORFEIERSHEJI01小熊貓網絡科技公司防火墻的網絡地址映射Internet內網服務器的私有地址映射成公網IP

隱藏內部網絡的結構192.168.1.6MAP：80TO：80MAP：21TO：21MAP：53TO：53MAP：25TO：25防火墻的基本訪問控制功能基于源IP地址基于目的IP地址基于源端口基于目的端口基于時間基于用戶基于流量基于文件基于網址基于MAC地址AccesslisttoAccesstoblockAccessdefaultpass防火墻與路由器類比路由器主要功能防火墻主要功能路由具有訪問控制功能.防火墻是路由器訪問控制功能的專業化產品防火墻的路由功能部分環境替代路由器防火墻的路由功能無法完全取代路由器的路由專業功能許多環境中防火墻與路由器同時存在承擔各自主要功能訪問控制具有路由功能.IPS在網絡中的作用阻攔已知攻擊（重點）為已知漏洞提供虛擬補丁（重點）速率或流量控制行為管理安全域A安全域BIPSIPS可提供有效的、防火墻無法提供的應用層安全防護功能。但為了避免誤報，IPS對未知攻擊的防御能力幾乎沒有PARTTWO入侵防御系統(IPS)THISTEMPLATEDESIGNEDTHISTEMPLATEDESIGNEDFORFEIERSHEJIFORFEIERSHEJI02小熊貓網絡科技公司入侵防御系統(IPS)與入侵檢測系統(IDS)入侵檢測IDS入侵防御IPSIPSIDS在線，流量必須通過IPS旁路，通過鏡像獲得數據實時，其時延必須滿足業務要求準實時，可接受秒級時延立刻影響網絡報文對網絡及業務無直接影響作用范圍有限制監控范圍廣IPS的部署獨立部署Internet數據系統辦公區1辦公區2NetworkTransportSessionPresentationApplicationHANetworkTransportPARTTHREE防毒墻THISTEMPLATEDESIGNEDTHISTEMPLATEDESIGNEDFORFEIERSHEJIFORFEIERSHEJI03小熊貓網絡科技公司過濾垃圾郵件，病毒，蠕蟲。可以針對重點網段進行深度的保護。一般部署在防火墻與服務器之間。專門的蠕蟲庫進行識別，同時還采用入侵防御（IPS）技術、IP/端口/數據包封鎖技術，優化了蠕蟲識別機制，不僅可以過濾已知蠕蟲，還可以在未知蠕蟲爆發時進行攔截。防毒墻的功能PARTFOURWEB應用防火墻(WAF)THISTEMPLATEDESIGNEDTHISTEMPLATEDESIGNEDFORFEIERSHEJIFORFEIERSHEJI04小熊貓網絡科技公司WAF是一款專門針對企業網站進行安全防護的產品。能夠針對Web應用攻擊提供更全面、更精準的防護，尤其對一些可以"繞過"傳統防火墻和IPS的攻擊方法，可以精準地阻斷。正因如此，WAF可以對：數據盜竊、網頁篡改、網站掛馬、虛假信息傳播、針對客戶端的攻擊等行為，提供完善的解決方案。WAF一般部署在web服務器的下一跳通常情況下，WAF放在企業對外提供網站服務的DMZ區域或者放在數據中心服務區域，也可以與防火墻或IPS等網關設備串聯在一起（這種情況較少）。總之，決定WAF部署位置的是WEB服務器的位置。因為WEB服務器是WAF所保護的對象。部署時當然要使WAF盡量靠近WEB服務器。

WAF的功能及作用網頁防篡改WEB加速DDOS攻擊防護漏洞掃描敏感信息過濾WEB攻擊防護狀態監控告警

WAF網站效能分析WAF的部署web服務器群交換機終端WAFInternetInternet網用戶單位內網IP：/27橋IP：/27IP：0/23在線部署WAF的部署旁路部署服務器群交換機終端WAFInternetInternet網用戶單位內網路由器PARTFIVE網閘THISTEMPLATEDESIGNEDTHISTEMPLATEDESIGNEDFORFEIERSHEJIFORFEIERSHEJI05小熊貓網絡科技公司網閘的功能對網絡地隔離是通過網閘隔離硬件實現兩個網絡在鏈路層斷開，但是為了交換數據，隔離硬件在兩個網絡對應的硬件上進行切換，通過對硬件上的存儲芯片的讀寫，完成數據的交換。物理層面的網絡安全隔離通常見到的木馬大部分是基于TCP的，木馬在工作的時候客戶端和服務器端需要建立連接，而安全隔離網閘由于使用了自定義的私有協議（不同于通用協議）。使得支持傳統網絡結構的所有協議均失效，從原理實現上就切斷所有的TCP連接，包括UDP、ICMP等其他各種協議，使各種木馬無法通過安全隔離網閘進行通訊。從而可以防止未知和已知的木馬攻擊。防止已知與未知的木馬程序訪問控制病毒查殺安全審計通過添加功能模塊可以實現數據隔離交換的過程內網主機系統收到數據，進行協議分離，安全檢測，然后發送給隔離交換模塊1隔離交換模塊斷開彼此連接，連接內外網系統，內網主機系統寫數據到交換緩沖區2隔離交換模塊斷開內外網主機系統，彼此連接，進行通訊協商，完成數據交換3隔離交換模塊斷開彼此連接，連接內外網系統，外網主機系統從交換緩存讀取數據4外網主機系統獲取數據，進行數據重組，安全檢測，與外網主機建立連接5從外網往內網交換數據，工作流程相同1~56網閘與傳統隔離設備的對比對比項目傳統隔離設備安全隔離網閘硬件結構

單主機“2+1”結構操作系統

單一OS

兩主機系統各有獨立OS協議處理

采用在OSI協議棧的2-7層進行包過濾

網閘采用自身定義的私有通信協議，避免了基于OSI7層模型攻擊安全機制

簡單的進行包頭檢查

綜合了訪問控制、內容過濾、抗攻擊、硬件隔離等安全防護技術管理安全

攻擊者獲得了管理權限，可調整防火墻的安全策略

兩主機系統分別有獨立的管理接口，安全策略分別下達，不可能被控制PARTSIX上網行為管理THISTEMPLATEDESIGNEDTHISTEMPLATEDESIGNEDFORFEIERSHEJIFORFEIERSHEJI06小熊貓網絡科技公司上網行為控制，規范員工上網行為，提高工作效率強大的監控和審計，保護內部數據安全、防止機密信息泄漏

流量控制和帶寬管理，優化帶寬資源的使用海量日志存儲、豐富的報表功能，為組織決策提供最有效的數據支持該設備一般部署在網絡的出口，對內部網絡連接到互聯網的數據進行采集，分析，和識別。實時記錄內網用戶的上網行為，過濾不良信息。并對相關的上網的行為，發送和接收的相關內容進行控制，存儲，分析和查詢。上網行為管理在網絡中的作用流量監控日志審查統計用戶管理行為管理上網行為管理功能產品功能備注應用控制基于數據包特征碼的應用識別技術，識別超過300多種當前主流應用，定義所允許，禁止使用的某些應用(如p2p下載，p2p流媒體，IM軟件，網絡游戲，炒股軟件等）。內容過濾對于常用的應用（如郵件，FTP)等的內容進行關鍵字的檢測，對出現關鍵字的則進行過濾。網址控制用于定義所允許，禁止訪問的網站，可以手動添加網址類型。網頁搜索記錄搜索的關鍵字，進行的控制可以是禁止，記錄。應用審計分為即時通信審計，郵件發送審計，郵件接收審計，發帖審計流量控制控制用戶，應用的流量，可以支持動態流量，靜態流量的設置部署的位置…………..上網行為管理網關…..管控端內網受控終端內網免監控終端用戶管理應用識別控制流量管理網頁訪問實時監控QQ：596***72無法登陸Internet總結010203防火墻===============訪問控制與NAT入侵防御系統(IPS)======攔截已知的攻擊