(1) cortafuegos
Definición: Creo que todos saben para qué se utiliza un firewall. Creo que necesita un recordatorio especial de que el firewall es resistente a ataques externos y no tiene mucho efecto sobre los virus internos (como los virus ARP) o los ataques.
Función: La función del cortafuegos es principalmente realizar protección de borde entre las dos redes. En la empresa, se utilizan más funciones como NAT, reglas de filtrado de paquetes y mapeo de puertos de la intranet empresarial e Internet. La red de producción y la red de la oficina se utilizan para el aislamiento lógico La función principal es el uso de reglas de filtrado de paquetes.
Método de implementación: modo Gateway, modo transparente:
El modo de puerta de enlace es el modo más utilizado ahora, que puede reemplazar a los enrutadores y proporcionar más funciones. Es adecuado para varios tipos de despliegue transparente empresarial. Sin cambiar la estructura de red existente, el firewall está conectado en serie con el modo puente transparente. En el medio de la red de una empresa, el control de acceso se realiza mediante reglas de filtrado de paquetes para dividir el dominio de seguridad. En cuanto a cuándo usar el modo de puerta de enlace o el modo transparente, debe decidir según sus necesidades. No existe un método de implementación absoluto. El hecho de que el servidor se implemente o no en la zona DMZ depende del número y la importancia de los servidores.
En resumen, ¡cómo implementar es la elección del usuario!
Alta disponibilidad: para garantizar la confiabilidad de la red, los dispositivos ahora admiten implementaciones master-master, master-standby y otras implementaciones
(2) Muro antivirus
Definición: en comparación con un firewall, generalmente tiene la función de firewall y el objeto de defensa es más específico, es decir, un virus.
Función: igual que el firewall y aumenta la base de datos de firmas de virus, compara datos con la base de datos de firmas de virus y verifica y elimina virus.
Método de implementación: igual que el firewall, la mayoría de las veces utiliza el modo transparente para implementar detrás del firewall o enrutador o antes del servidor, para la prevención y eliminación de virus
(3) Prevención de intrusiones (IPS)
Definición: en comparación con un firewall, generalmente tiene la función de firewall, y el objeto de defensa es más específico, es decir, un ataque. El firewall controla el quíntuple para lograr el efecto del filtrado de paquetes, mientras que el IPS de prevención de intrusiones detecta los paquetes de datos (DPI) para verificar y matar gusanos, virus, troyanos y ataques de denegación de servicio.
Función: igual que el firewall y agregue una base de datos de firmas IPS para defenderse de los ataques.
Método de implementación: igual que el muro antivirus.
En particular, el firewall permite la transmisión de paquetes de datos que cumplen con las reglas, y no comprueba si hay código de virus o código de ataque en los paquetes de datos. El muro antivirus y la prevención de intrusiones lo compensan mediante una inspección más profunda de los paquetes de datos.
(4) Unified Threat Security Gateway (UTM)
Definición: con una comprensión simple, las amenazas se unifican, de hecho, los tres dispositivos anteriores se integran entre sí.
Función: también tiene las funciones de tres dispositivos: firewall, muro antivirus y prevención de intrusiones.
Método de implementación: debido a que puede reemplazar la función del firewall, el método de implementación es el mismo que el firewall
Ahora, la mayoría de los fabricantes, el antivirus y la prevención de intrusiones se han utilizado como un módulo de firewall. Sin tener en cuenta el rendimiento y el costo del hardware, el firewall con el módulo antivirus y el módulo de prevención de intrusiones activado es en realidad el mismo que UTM. En cuanto a por qué UTM y firewall, antivirus y detección de intrusos aparecen al mismo tiempo en la red.
Primero, es realmente necesario desplegar un muro antivirus frente al área del servidor para proteger contra virus en la red externa, así como detectar y proteger contra ataques en el servidor por parte de los usuarios en la red interna. Segundo, gastar dinero, todos lo saben. En resumen, la implementación del dispositivo todavía depende del usuario.
(5) IPSEC VPN
Poner IPSEC VPN en la protección de seguridad de la red es en realidad porque en la mayoría de los casos, el uso de IPSEC VPN se realiza a través de los dispositivos mencionados anteriormente, y el acceso a la red a través de un túnel encriptado es en sí mismo un tipo de protección de seguridad para la red.
Definición: Una tecnología VPN que utiliza el protocolo IPSec para lograr acceso remoto. En cuanto a qué es IPSEC y qué es VPN, únase a Baidu usted mismo
Función: Al usar IPSEC VPN para conectar un cliente o una red con otra red, la mayoría de ellos se utilizan para conectar sucursales y oficinas centrales.
Método de implementación: modo de puerta de enlace, modo de derivación
En vista del hecho de que los dispositivos de puerta de enlace básicamente tienen la función VPN IPSEC, en muchos casos, la función VPN IPSEC se habilita directamente en el dispositivo puerta de enlace y, en algunos casos, el nuevo dispositivo VPN IPSEC se compra nuevamente y la implementación de derivación se lleva a cabo sin afectar la red existente. Después de la implementación, se deben publicar reglas de seguridad para dispositivos VPN IPSEC, mapeo de puertos, etc. También puede usar un servidor de Windows para implementar VPN. Los estudiantes que lo necesiten también deben usar Baidu. En comparación con los dispositivos de hardware, no cuesta mucho implementarlo usted mismo. Sin embargo, IPSEC VPN se ve afectada por el sistema operativo y es menos estable que los dispositivos de hardware.
Fabricantes comunes de los equipos anteriores (no clasificados, no clasificados)
Juniper Check Point Fortinet (Torre Voladora) Cisco Tianrong Xinshan Stone Net Tecnología Iluminación Chenshen convence al NSFOCUS Royal Nebula Net Royal China Huasai Barracuda H3C
1) Guardián
Definición: El nombre completo es el portero de aislamiento de seguridad. El gatekeeper de aislamiento de seguridad es un dispositivo de seguridad de red que utiliza hardware especial con múltiples funciones de control para cortar la conexión de la capa de enlace entre redes en el circuito, y puede realizar un intercambio de datos de aplicaciones seguro y moderado entre redes
Función: se utiliza principalmente para el aislamiento entre dos redes y necesita intercambio de datos. Gatekeeper es un producto con características chinas.
Método de implementación: entre dos conjuntos de redes
La protección contra incendios generalmente está aislada lógicamente entre las dos redes, y el controlador de acceso cumple con los requisitos pertinentes. Puede aislarse físicamente, bloquear protocolos como tcp en la red y usar protocolos privados para el intercambio de datos. Generalmente, las empresas usan menos. Una unidad un poco más alta usará un portero.
VPN 2) SSL VPN
Definición: Una tecnología VPN que usa el protocolo SSL es más conveniente de usar que una VPN IPSEC. Después de todo, un navegador puede usar SSL VPN.
Función: con el rápido desarrollo de la oficina móvil, el uso de SSL VPN es cada vez mayor. Además del uso de la oficina móvil, también es muy conveniente iniciar sesión en SSL VPN a través de un navegador para conectarse a otras redes. IPSEC VPN prefiere el acceso a la red, mientras que SSL VPN Más inclinado a lanzar aplicaciones
Implementación: la implementación de SSL VPN generalmente adopta el método de implementación de derivación para lograr funciones como la oficina móvil sin cambiar la red del usuario.
(3) Sistema de protección de aplicaciones web WAF (Web Application Firewall)
Definición: Como puede ver en el nombre, la protección de WAF es una aplicación web. Para decirlo claramente, los objetos de protección son sitios web y varios sistemas de estructura B / S.
Funciones: analice el protocolo HTTP / HTTPS, protéjase contra ataques de inyección SQL, ataques XSS y ataques web, y tenga control de acceso basado en URL; cumplimiento del protocolo HTTP; protección de información confidencial de la web; control de carga y descarga de archivos; filtrado de palabras clave de formularios web . Protección de página web, protección de shell web y entrega de aplicaciones web.
Implementación: generalmente se implementa frente al servidor de aplicaciones web para protección
IPS también puede detectar algunos ataques web, pero no hay un objetivo WAF, por lo que es mejor elegir diferentes dispositivos de acuerdo con diferentes objetos de protección.
(1) Auditoría de seguridad de red
Definición: auditar contenido relacionado en la red
Función: Proporcionar auditoría de comportamiento efectiva, auditoría de contenido, alarma de comportamiento, control de comportamiento y funciones de auditoría relacionadas para el comportamiento de Internet. Para cumplir con los requisitos de los usuarios para auditar y archivar comportamientos de Internet y medidas de protección de seguridad, y proporcionar registros completos en línea para facilitar el seguimiento de la información, la gestión de seguridad del sistema y la prevención de riesgos
Implementación: Al usar el modo de implementación de derivación, al configurar el puerto espejo en el conmutador central, los datos reflejados se envían al dispositivo de auditoría.
(2) Auditoría de seguridad de la base de datos
Definición: El sistema de auditoría de seguridad de la base de datos se usa principalmente para monitorear y registrar varias operaciones en el servidor de la base de datos.
Función: audita todo tipo de operaciones en la base de datos, precisa para cada comando SQL, y tiene una potente función de informe.
Implementación: Al usar el modo de implementación de derivación, al configurar el puerto espejo en el conmutador central, los datos reflejados se envían al dispositivo de auditoría.
(3) Auditoría de registro
Definición: Recopile de forma centralizada todo tipo de información, como eventos de seguridad del sistema, registros de acceso de usuarios, registros de operación del sistema, estado de operación del sistema, etc. en el sistema de información, y después de la estandarización, filtrado, fusión y análisis de alarmas, etc., almacénelos en un formato unificado para almacenamiento centralizado. Y gestión, combinada con estadísticas de registro enriquecidas y funciones de análisis relacionadas, para lograr una auditoría integral de los registros del sistema de información.
Función: a través del procesamiento integral de estandarización de equipos de red, equipos de seguridad, registros de sistemas de host y aplicaciones, descubra oportunamente varias amenazas de seguridad y eventos de comportamiento anormales, brinde a los gerentes una perspectiva global y garantice el despliegue seguro de la operación ininterrumpida del negocio del cliente: Desvío del modo de implementación. Por lo general, el dispositivo envía registros al dispositivo de auditoría, o instala un agente en el servidor, y el agente envía registros al dispositivo de auditoría.
(4) Auditoría de seguridad de operación y mantenimiento (Fortress Machine)
Definición: en un entorno de red específico, para proteger la red y los datos del daño del sistema y la fuga de datos causados por operaciones ilegales de usuarios legales internos, se utilizan varios métodos técnicos para recopilar y monitorear cada uno de los entornos de red en tiempo real. Un medio técnico del estado del sistema, eventos de seguridad y actividades de red de los componentes para centralizar alarmas, registros, análisis y procesamiento.
Función: principalmente para el seguimiento, control, grabación y reproducción integrales del proceso de mantenimiento del personal de operación y mantenimiento, para ayudar al control interno a planificar y prevenir de antemano, monitoreo en tiempo real durante el evento, respuesta a violaciones, informe de cumplimiento posterior al incidente, reproducción de seguimiento de accidentes
Despliegue: Despliegue de modo de derivación. Usando firewalls para restringir los derechos de acceso al servidor, solo la máquina bastion puede operar dispositivos de red / servidores / bases de datos y otros sistemas.
Se puede ver que el objetivo final de los productos de auditoría es auditar, pero es solo el contenido de la auditoría. Elija diferentes productos de auditoría de acuerdo con las diferentes necesidades. Una vez que haya ataques, operaciones ilegales, operaciones ilegales, operaciones incorrectas, etc., es beneficioso para el procesamiento posterior. Evidencia
(5) Detección de intrusos (IDS)
Definición: Detecta ataques de intrusión
Función: Al recopilar información y analizar algunos puntos clave en la red informática o el sistema informático, se determina si existe una violación de las políticas de seguridad y signos de ser atacado en la red o el sistema
Implementación: Al usar el modo de implementación de derivación, al configurar el puerto espejo en el conmutador central, los datos reflejados se envían al dispositivo de detección de intrusos.
Aunque la detección de intrusiones es una detección de comportamiento de ataque de intrusión, también audita ataques y datos anormales durante el monitoreo, por lo que el sistema de detección de intrusiones también se introduce en la auditoría. El sistema de detección de intrusos es un equipo imprescindible en el tercer nivel de igual protección.
Manejo de comportamiento en internet
Definición: como su nombre indica, es para administrar comportamientos en línea
Función: Realizar la gestión del tráfico para usuarios en línea, auditar registros de comportamiento en línea, bloquear o restringir sitios o software de aplicación, filtrar palabras clave, etc.
Implementación: implementación de puerta de enlace, implementación transparente, implementación de derivación
Implementación de puerta de enlace: la red de pequeñas y medianas empresas es relativamente simple: puede usar la administración de comportamiento de Internet como una puerta de enlace en lugar de un enrutador o firewall y también tiene funciones de administración de comportamiento de Internet
Implementación transparente: en la mayoría de los casos, las empresas elegirán un modo de implementación transparente, implementarán el dispositivo entre la puerta de enlace y el conmutador central y administrarán los datos de Internet
Desvío de implementación: cuando solo se requiere la función de auditoría de administración de comportamiento en línea, también puede seleccionar el modo de implementación de desvío, configurar un puerto espejo en el conmutador central para enviar datos a la administración de comportamiento en línea
Personalmente, creo que la gestión del comportamiento en línea debe pertenecer a los productos de optimización de red. La función de control de flujo es la función más importante. Con el desarrollo de la tecnología, la certificación WeChat, el wifi anti-portátil y otras funciones se han mejorado continuamente, lo que la convierte en la favorita de los administradores de red
(2) Equilibrio de carga
Definición: El trabajo múltiple de la red o aplicación se comparte y completa al mismo tiempo, generalmente dividido en carga de enlace y carga de aplicación (carga del servidor)
Función: para garantizar que las aplicaciones comerciales del usuario se puedan entregar de manera rápida, segura y confiable a los empleados internos y grupos de servicios externos, ampliar el ancho de banda de los dispositivos y servidores de la red, aumentar el rendimiento, fortalecer las capacidades de procesamiento de datos de la red y aumentar la flexibilidad y disponibilidad de la red
Implementación: modo de derivación, modo de puerta de enlace, modo proxy
Modo de derivación: cuando el equilibrio de carga se usa generalmente para la carga de la aplicación, la derivación se implementa en el conmutador del servidor de aplicaciones correspondiente para la carga de la aplicación
Modo de puerta de enlace: cuando generalmente se usa la carga del enlace, el modo de puerta de enlace se usa para la implementación
Con el aumento de varios servicios, el uso del equilibrio de carga también se ha generalizado: la carga de aplicaciones web y la carga de la base de datos son cargas de servidor relativamente comunes. En vista de los repugnantes operadores nacionales, el problema de interconexión es más grave, y cada vez hay más usuarios que utilizan la carga de enlaces.
(3) Escaneo de vulnerabilidad
Definición: El escaneo de vulnerabilidad se refiere a un comportamiento de detección de seguridad (ataque de penetración) que detecta la vulnerabilidad de un sistema informático remoto o local específico a través del escaneo y otros medios basados en una base de datos de vulnerabilidad y descubre las vulnerabilidades disponibles.
Función: de acuerdo con su propia base de datos de vulnerabilidades, el objetivo se prueba para detectar vulnerabilidades, se generan informes relacionados y se proporcionan sugerencias para reparar vulnerabilidades. Las empresas generales usan menos escaneo de vulnerabilidades, principalmente las redes a gran escala y otras agencias de inspección de seguridad usan más
Despliegue: Desvío de despliegue. Por lo general, el desvío se implementa en el conmutador central y es accesible con la red objetivo de detección.
(4) limpieza de flujo anormal
Definición: Mira el nombre
Función: Tracción de tráfico anormal, limpieza de tráfico DDoS, control de ancho de banda P2P, reinyección de tráfico, también es el equipo principal para la protección de ataques DDOS
Implementación: omitir la implementación
(1) Definición de VPN
VPN (Red privada virtual) Red privada virtual, simplemente hablando, debido a algunos requisitos específicos, se establece una red privada virtual entre la red y la red, o entre el terminal y la red, y los datos se transmiten a través de un túnel encriptado (por supuesto, tampoco hay encriptación) ), Debido a que es fácil de implementar y tiene ciertas garantías de seguridad, se usa ampliamente en diversos entornos de red.
(2) clasificación VPN
Las VPN comunes incluyen L2TP VPN, PPTP, VPN, IPSEC, VPN, SSL, VPN y MPLS VPN.
MPLS
Los operadores de VPN usan más, y los escenarios de uso son principalmente entre la sede y las sucursales. Otras VPN son las VPN más utilizadas debido a su fácil implementación y bajo costo.
L2TP VPN y PPTP VPN usan protocolos de Capa 2 porque usan protocolos de túnel, por lo que también se llaman VPN de Capa 2. IPSEC VPN utiliza el protocolo IPSec y es una VPN de capa 3.
SSL VPN es una tecnología VPN basada en el protocolo HTTPS, fácil de usar y mantener, y se ha convertido en un líder en tecnología VPN
(3) Introducción a la implementación e implementación de VPN y escenarios de aplicación
1. El modo de implementación adopta principalmente el modo de puerta de enlace y el modo de derivación. Cuando se utiliza un equipo profesional de hardware VPN para establecer una VPN, es principalmente el modo de implementación de derivación. No hay necesidad de modificar la red existente. Incluso si el dispositivo VPN tiene problemas, no afectará a la existente Red. Cuando se utiliza la función VPN incorporada del firewall / enrutador para establecer una VPN, se implementa con su modo de implementación de hardware.
2. Existen principalmente los siguientes métodos:
(1) Establecer VPN mediante el uso de software VPN profesional
Ventajas: menos inversión, implementación más flexible
Desventajas: la estabilidad se ve afectada por factores como el hardware del servidor y el sistema operativo
(2) Configure un servidor VPN utilizando el servidor para establecer una VPN, el servidor de Windows es el principal
Ventajas: Menos inversión, implementación más flexible, el sistema Windows viene
Desventajas: la estabilidad se ve afectada por factores como el hardware del servidor, el sistema operativo, etc.
(3) Establezca una VPN utilizando la función VPN del dispositivo firewall / enrutador.
Ventajas: menor inversión y buena estabilidad.
Desventajas: debido al uso del propio módulo VPN del dispositivo existente, no se recomienda usar la VPN con una gran demanda, para evitar un rendimiento insuficiente del dispositivo y afectar el uso de firewall / enrutador. Como módulo autónomo del equipo existente, no puede cumplir con los requisitos especiales de los usuarios. El método de implementación es relativamente fijo.
(4) Establecer VPN mediante el uso de equipos profesionales de hardware VPN.
Ventajas: el producto es maduro y adecuado para diversos escenarios de VPN, con funciones potentes y un rendimiento estable.
Desventajas: cuesta más dinero ~~~~~ el equipo de hardware necesita dinero, la autorización del usuario necesita dinero, de todos modos, todo cuesta dinero
3. En lo que más personas deberían enredarse debería elegir en qué forma establecer una VPN e introducir algunos escenarios de aplicación VPN comunes basados en mi experiencia laboral.
Escenario 1: la sede y las sucursales están interconectadas
Las estructuras de las oficinas centrales y sucursales de las grandes empresas suelen utilizar MPLS VPN para la interconexión.En comparación con las grandes empresas, las pequeñas y medianas empresas optan por utilizar VPN IPSEC de menor seguridad para la interconexión.
Por ejemplo: en una gran empresa de sobreaprovisionamiento (distribución de supermercados), MPLS VPN se usa para la transmisión de datos entre la sede y el gran supermercado auto operado, y IPSEC VPN se usa para la transmisión de datos entre la sede y el pequeño supermercado auto operado. De acuerdo con las necesidades de transmisión de datos de varios supermercados, se utilizan diferentes tecnologías vpn en combinación, lo que ahorra costos de inversión y maximiza la transmisión de datos con la sede.
Escena 2 Oficina móvil
La administración de la red, el equipo de mantenimiento remoto, el acceso de los empleados a los recursos de la intranet y la aprobación electrónica de los viajes de negocios por parte de los ejecutivos se han convertido en una parte importante de la construcción de información empresarial, y también han brindado enormes oportunidades de negocios al mercado de VPN. SSL VPN se ha convertido en la mejor opción para la oficina móvil debido a su uso conveniente y mantenimiento. Se puede usar abriendo el navegador. Sin SSL VPN, L2TP VPN o PPTP VPN se usa generalmente para el mantenimiento remoto de la red.
Escenario 3 Lanzamiento de aplicación remota
Las funciones en SSL VPN están dirigidas principalmente a los requisitos de acceso al servicio C / S que requieren la instalación del cliente. La experiencia de los teléfonos móviles y las tabletas no es buena debido al tamaño de la pantalla, el mouse, el uso del teclado y otros factores. El acceso a la PC es mejor en ciertos escenarios.
Por ejemplo: el departamento financiero de una empresa realiza el lanzamiento remoto de la aplicación del software financiero utilizado, y otros usuarios pueden usar fácilmente el cliente de software financiero sin instalarlo.
Escenario 4: combinación de aplicación móvil y VPN
Con la popularidad de los teléfonos móviles, todos esperan que los teléfonos móviles puedan resolver muchos problemas en el trabajo. La aplicación móvil resuelve algunos de los problemas en el uso de aplicaciones remotas. Sin embargo, considerando los problemas de seguridad, los usuarios esperan que la aplicación móvil y la tecnología VPN Combinado, es fácil de usar y reduce los riesgos de seguridad.
Por ejemplo: la aplicación móvil OA de un grupo accede directamente a ciertos riesgos de seguridad mediante el mapeo de direcciones de Internet. Con el uso de la tecnología VPN, se establece un túnel VPN entre el teléfono móvil y el grupo, y luego se accede al servidor interno de la aplicación OA del grupo a través de la aplicación.
Finalmente, un resumen: qué tecnología VPN debe usarse para satisfacer las necesidades de los usuarios, o debe considerarse de acuerdo con las necesidades comerciales del usuario, por lo que espero que todos tengan una comprensión preliminar del negocio relevante y tomen las medidas correctas. También hay algunos contenidos como VPDN, DMVPN, etc. que no se introducen, principalmente porque se usan relativamente poco.