安全产品介绍

防火墙

简介：
网络层的防护设备，依照特殊的规则允许或者限制传输的数据通过
是由软件和硬件设备组合而成，在内部网和外部网之间、专用网和公共网之间的界面上构造的保护屏障。
下一代防火墙(NG Firewall):next generation firewall
是一款可以全面应对应用层威胁的高性能防火墙，提供网络层应用层一体化防护
防火墙主要用于边界安全的防护的权限控制和安全域的划分。

防火墙分类

硬件如华为的硬件防火墙

软件防火墙：如微软自带的防火墙、云防火墙如阿里云的ECS规则、

WAF(Web应用防火墙)：如安全狗、D盾

功能：
所谓“防火墙”，是指一种将内部网和公众访问网分开的方法，它实际上是一种隔离技术。
单向防护控制，只管进，不管出。所以很多木马从内网网外网连接，这叫反向连接。

部署：

部署于内、外网络边界和各个区域之间，用于权限访问控制和安全域划分。

防火墙的部署主要有三种模式：透明、路由和混合

1.透明模式

此时防火墙对于子网用户和路由器来说是完全透明的，也就是说，用户完全感觉不到防火墙的存在。

无需修改任何已有的网络配置，内部网络和外部网络必须处于同一个子网。

2.路由模式

当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址，重新规划原有的网络拓扑，此时相当于一台路由器。

采用路由模式时，可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而，路由模式需要对网络拓扑进行修改（内部网络用户需要更改网关、路由器需要更改路由配置等）

3.混合模式

防火墙既存在工作在路由模式的接口（接口具有IP 地址），又存在工作在透明模式的接口（接口无IP 地址），则防火墙工作在混合模式下。

混合模式主要用于透明模式作双机备份的情况，此时启动VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）功能的接口需要配置IP 地址，其它接口不配置IP地址。

内部网络和外部网络必须处于同一个子网。

功能模块：
NAT：把内网地址映射到外网

路由：路由寻址

策略：过滤规则

UTM统一威胁管理：

(Unified Threat Management)
具备防火墙、IPS入侵检测、防病毒、防垃圾邮件等综合功能。
同时开启多项功能会大大降低UTM性能、所以主要用于对性能要求不高的中低端领域。
在高端领域，比如电信、金融仍然以防火墙和IPS为主流。

GAP网闸：

(安全隔离网闸)
安全网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在
网络间进行安全适度的应用数据交换的网络安全设备。
专门用来做数据交换，相比于防火墙，能够对应用数据进行检查，防止泄密、进行病毒和木马检查。
物理隔离，只有数据文件的无协议摆渡，阻断具有潜在攻击的一切连接。

保密单位、科研单位、石化、石油对网闸的需求非常大。要做内外网隔离、大网透传、数据摆渡。
安全性高于防火墙，性能不如防火墙。

主要功能：安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证

部署：部署于不同区域之间物理隔离、不同网络之间物理隔离、网络边界物理隔离，也常用于数据同步、信息发布等。

DDOS防火墙：抗攻击算法、流量清洗

负载均衡：

负载均衡建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
负载均衡，英文名称为Load Balance，其意思就是分摊到多个操作单元上进行执行，例如Web服务器、FTP服务器、企业关键应用服务器和其它关键任务服务器等，从而共同完成工作任务。

主要目的是实现资源的有效利用，分担共同压力，避免资源分布不均。

部署三种模式：路由模式、桥接模式、服务直接返回模式。
路由模式部署灵活，越60%用户采用这种方式部署；
桥模式不改变现有的网络架构；
服务直接返回(DSR)比较适合吞吐量大，特别是内容分发的网络应用。越30%用户采用这种模式。

VPN虚拟专用网络:

(Virtual private network)
在公用网络上建立专用网络,进行加密通讯。
VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
VPN隧道协议主要有三种：PPTP、L2TP、IPSec
常用类型有SSL VPN(以HTTPS为基础的VPN技术，外网访问内网平台)和IPSec VPN