[网络安全产品]网络安全产品和功能.docVIP

[网络安全产品]网络安全产品和功能 NETGUARD 网络安全产http:///品和功能 网络安全产品和功能 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 防火墙 入侵检测 物理隔离 路由器 VPN网关 反垃圾产品 网络防毒 检测过滤 可信计算平台 安全审计与分析 NETGUARD 网络安全产品和功能 1. 防火墙 从软、硬件形式上分为： 软件防火墙 硬件防火墙 芯片级防火墙 NETGUARD 网络安全产品和功能 软件防火墙 NETGUARD 特点：运行于特定的计算机上（网关计算机） 需要客户预先安装好的计算机操作系统的支持 需要先在计算机上安装并做好配臵才可以使用 使用这类防火墙，需要网管对所工作的操作系统平 台比较熟悉。 防火墙厂商中做网络版软件防火墙最出名的莫过于 Checkpoint。 网络安全产品和功能 硬件防火墙 NETGUARD “所谓”的硬件防火墙——针对芯片级防火墙来说。 特点： 基于PC架构 运行一些经过裁剪和简化的操作系统(最常用的 有老版本的Unix、Linux和FreeBSD系统) 硬件防火墙一般至少应具备三个端口，分别接内网， 外网和DMZ区（非军事化区），现在一些新的硬件防火墙往 往扩展了端口，常见四端口防火墙一般将第四个端口做为 配臵口、管理端口。 目前市场上大多数防火墙都是这种所谓的硬件防火墙 此类防火墙采用的依然是别人的内核，因此依然会受 到OS（操作系统）本身的安全性影响。 网络安全产品和功能 芯片级防火墙 特点：基于专门的硬件平台 没有操作系统 专有的ASIC芯片 NETGUARD 比其他种类的防火墙速度更快，处理能力更强，性能 更高。做这类防火墙最出名的厂商有NetScreen、 FortiNet、Cisco等。 由于是专用OS（操作系统）,因此防火墙本身的漏洞 比较少，不过价格相对比较高昂。 网络安全产品和功能 从防火墙技术分为： NETGUARD 包过滤(Packet filtering)型（以以色列的 Checkpoint防火墙和美国Cisco公司的PIX防火墙为代表） 第一代静态包过滤 第二代动态包过滤 应用代理(Application Proxy)型（以美国NAI公 司的Gauntlet防火墙为代表） 第一代应用网关型代理防火墙 第二代自适应代理防火墙 网络安全产品和功能 包过滤(Packet filtering)型 NETGUARD 工作在OSI网络参考模型的网络层和传输层。 根据数据包头源地址，目的地址、端口号和协议类型 等标志确定是否允许通过。只有满足过滤条件的数据包才 被转发到相应的目的地，其余数据包则被从数据流中丢弃。 通用——不是针对各个具体的网络服务采取特殊的处 理方式，适用于所有网络服务 廉价——大多数路由器都提供数据包过滤功能，所以 这类防火墙多数是由路由器集成的； 有效——是因为它能很大程度上满足了绝大多数企业 安全要求。 网络安全产品和功能 NETGU ARD 网络安全产品和功能 第一代静态包过滤 NETGUARD 根据定义好的过滤规则审查每个数据包，以便确定其 是否与某一条包过滤规则匹配。过滤规则基于数据包的报 头信息进行制订。 第二代动态包过滤 对通过其建立的每一个连接都进行跟踪，并且根据需 要可动态地在过滤规则中增加或更新条目。 网络安全产品和功能 应用代理(Application Proxy)型 NETGUARD 工作在OSI的最高层，即应用层 完全“阻隔”了网络通信流 通过对每种应用服务编制专门的代理程序，实现监视 和控制应用层通信流的作用。 优点：安全。工作于最高层，可以对网络中任何一层 数据通信进行筛选保护，而不是像包过滤那样，只是对网 络层的数据进行过滤。代理机制为每一种应用服务建立一 个专门的代理，内外部网络之间的通信都需先经过代理服 务器审核，通过后再由代理服务器代为连接，根本没有给 内、外部网络计算机任何直接会话的机会，从而避免了入 侵者使用数据驱动类型的攻击方式入侵内部网。 网络安全产品和功能 缺点：速度相对比较慢 NETGUARD 当用户对内外部网络网关的吞吐量要求比较高时，代 理防火墙就会成为内外部网络之间的瓶颈。因为防火墙需 要为不同的网络服务建立专门的代理服务，在自己的代理 程序为内、外部网络用户建立连接时需要时间，所以给系 统性能带来了一些负面影响，但通常不会很明显。 网络安全产品和功能 NETGUARD 网络安全产品和功能 从防火墙结构上分： NETGUARD 单一主机防火墙 最为传统的防火墙，独立于其它网络设备，它位于网 络边界。 路由器集成式