最深入的网络安全设备知识讲解.pdfVIP

最深入的网络安全设备知识讲解 来源于:互联网 观念: 在网络上，主要的概念是: 该如何做才能让封包流量更快、更稳。 在资安上，主要的概念是: 如何掌握、比对、判断、控制封包。 好吧~让我们直接来看在一个网络环境里，我们可以在哪些地方摆入资安设备: (设备实际摆设位置会因为产品不同与客户环境而有所变动) 是滴~任何网络设备、任何网络位置都可以看见资安设备的踪影!为什么呢?因为上面提过， 资安的概念是如何掌握、比对、判断、控制封包!做个有趣的比喻，你可以想象一个原始封 包就像个光着身子的美女，随着 OSI 模式各层的设计师帮她穿上合适的衣服之后才让它出 门，VPN 只能看见包裹着白布的木乃衣、Firewall 可以看见去掉白布后穿着厚衣服的美女容 貌、IPS 可以从外套推测美女内在的三围、该死的 VirusWall 竟然有权可以对美女搜身、上 网行为管理可以去掉白色的衬杉看美女身上的内衣裤是否是老板希望的款式…好吧~我们聊 的是 Network Security，我必需就此打住!至少我们了解一件事，资安的 Solution 可以存 在网络的任何地上(SI 知道一定很开心~生意做不完呀!) 资安设备简介: 接下来是针对各设备做常识性地说明，让大家对资安设备有一个全盘性的概念! (由于小弟碰的设备有限经验也不足，仅对知道的一小部份说明，任何错误与不足，还望各 前辈们指正) 。Router: Router 通常是 Cisco 的 Router 才能加上资安的解决方案，Cisco 新一代 Router 都叫 ISR(Integrated Service Router)，可以整合 IPS 或 Voice 模块，在外部的 Router 通常我 们希望它扮演好 Router 的角色即可，而内部买不动一台 IPS 设备时，会建议客户从现有的 Router 上加上 IPS 模块。 。Switch: Switch 一般也要到 Core 等级才可加入 IPS 模块，就如同 Router 一样，主要就是加上入侵 侦测的功能，在客户环境 Switch 效能 ok，也不打算多买设备，可以加入模块方式来保护网 络。 。VPN: VPN 即 Virtual Private Network，顾名思义即是要达成一个虚拟的私人网络，让在两个网 域的计算机之间可以像在同一个网域内沟通一样。这代表的是必需做到外部网络是不能存取 或看见我们之间的封包传送，而这两个网域之间是可以轻易的相互使用网络资源。要做到如 此，VPN 必需对流经封包进行加密，以让对外传输过程不被外人有机看见传输内容，相对的 传过去的目的地需要一台解密的机器，可能也是一台 VNP 或是一个装在 notebook 上的软件。 也因为传输过程加密之故，许多希望在传输上更安全的需求，也都会寻求 VPN。 VPN 的发展到现在，主要市场以 SSL VPN 的运作，因为可以利用现有的客户端程序(如 IE) 即可完成加密、解密、验证的程序，使用端不需一台 VPN 机器，或是 client 端程序，在导 入一个环境最容易，使用上也最简便。 。FireWall: FireWall 肯定是最古老的资安产品，但!也是最经典的产品，简单的说，它就像 Port 的开 关，如上图firewall左边的port可能1~65535都有，但封包想流进来~嘿!得先问问Firewall 老大哥，这里他只开放了 25,80,443 的流量进来，其它都别想!! Firewall 的第二个大功能就是可以区别网段，如上图的 DMZ 也可以从Firewall 切出来，如 此可以确保网络封包的流向，当流量从外面进来观顾时，只允许流到 DMZ 区，不可能流至内