寫在最前:
安全產品系列目錄:目錄&總述
GAP網閘
能在電路上切斷網絡之間的鏈路層連接,進行安全適度的應用數據交換的安全設備
一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接,並能夠在網絡間進行安全適度的應用數據交換的網絡安全設備(擺渡)。 相比於防火牆,能夠對應用數據進行過濾檢查,防止泄密、進行病毒和木馬檢查
在鏈路層工作,二層設備,電路切斷(仍然是邏輯隔離,不是物理隔離)
將兩端隔離爲兩個網絡,進行數據擺渡
產品簡介
用於不同安全網絡的連接,對經過的數據進行安全交換
產品特點
- 應用安全深度管控,對應用數據進行檢查
- 從鏈路層斷開,可靠隔離
用戶價值
- 安全隔離和可控交換,防止數據泄露
- 深層應用層數據控制
- 加固安全邊界,提高安全等級
1.部署模式
串行部署,放在大型網絡之間
比防火牆安全級別高,但數據交換慢,不能相互代替(比防火牆貴)
一般比較重要,安全要求高的地方纔會使用
生產廠商
網閘:
奇安信、北京安盟、利譜、啓明星辰、杭州合衆、天融信、交大捷普、天行網安、偉思、金電網安、賽博興安、東軟、海峽信息、安信華、重慶愛思、中新網安、藍盾、網禦星雲
AC 准入控制
准入控制是實名制ID網絡准入控制(NAC)的簡稱。Admission Control
合規性檢查,判斷是否允許其接入
准入控制是向接入網絡請求建立無線鏈路的時候,接入網絡根據網絡目前的負荷水平對是否允許其接入網絡進行的判斷和控制,對網絡的邊界進行保護,對接入網絡的終端和終端的使用人進行合規性檢查。
產品簡介
集中的用戶管理、認證管理、授權管理和審計等功能,爲多業務系統提供用戶身份、系統資源、權限策略、審計日誌等統一、安全、有效的配置和服務
產品特點
- 單點登錄
- 用戶管理
- 認證管理
- 授權管理(訪客註冊等)
- 審計管理
用戶價值
- 防止越權,方便管理
- 防止泄露,保證安全
- 部署方便,對用戶無影響
1.控制類型
1.802.1x准入控制
802.1x准入控制的設計強調對交換機端口的控制。但與網絡兼容性較差。在用戶使用終端接入前,會將終端隔離在隔離VLAN中。只有在進行完身份認證後,纔將終端改放在應屬的VLAN中。當802.1x准入技術要求交換機必須支持802.1x。當端口下掛Hub或普通交換機的情況下,則無法實現對非法人和終端的VLAN隔離。
2.DHCP准入控制
DHCP准入控制與現有網絡兼容性較好。但一般廠家的DHCP准入控制採用DHCP服務器與DHCP准入控制裝置分離的控制方法,實施較難。一些廠家採用一體化DHCP准入控制,如Leagsoft,能夠很好地解決802.1x和普通DHCP准入控制的問題。
3. 網關型准入控制
網關型准入控制實際上不是一種真正意義上的准入控制。因爲網關型准入控制只控制了網絡的出口,沒有控制內網的邊界接入。
4.ARP型准入控制
ARP型准入控制是用ARP欺騙和ARP攻擊對不合規的終端進行攻擊,達到對網絡邊界進行保護的目的。但ARP的欺騙和攻擊對裝有ARP防火牆的終端沒有作用。另外,ARP的攻擊會造成網絡堵塞,不利於大型網絡。
5. portal型准入
portal型准入控制是兼容性相對比較好的一種控制手段,最利用交換機端口重定向(既:http重定向)的手段進行身份認證。這種方式不需要考慮客戶網絡的情況進行部署的,只要下面的終端能與設備進行通訊就沒有問題。
2.部署模式
旁路接入
生產廠商
網絡准入控制:
北信源、無錫寶界、藍盾、互普&溢信(IP-Guard)、啓明星辰、金盾軟件、廣州國邁、盈高科技、畫方科技、聯軟、中軟、上訊信息、交大捷普、信安世紀、中孚信息、上海紐盾、艾科網信、海峽信息、博智軟件、江民科技、亞東軟件、瑞星、福建伊時代、奇安信、通軟公司、上海寧盾、H3C、易泰通(捍衛者)
負載均衡
分爲鏈路負載與應用負載
實現資源的有效利用,分擔共同壓力,避免資源分佈不均
產品簡介
集成了壓縮、緩存、SSL卸載等網絡優化技術來加速業務系統交付的整個過程,提升業務系統處理效率
產品特點
- 從網絡層、應用層全方位的探測、檢查運行狀態
- 利用負載均衡算法防止資源分配不均
- 對應用傳輸進行優化
用戶價值
- 充分利用帶寬資源
- 提升處理性能
- 降低延時,保證通訊
1.部署模式
路由模式
透明模式
旁路模式(三角傳輸在這裏對大流量高帶寬要求用戶很合適)
生產廠商
負載均衡:
深信服、北京中科四方、東華軟件、信安世紀、靈州網絡、北京華夏創新、北京楷然昊天、上海雲速、湖南麒麟、杭州迪普、啓明星辰、易安聯、上海紐盾、Panabit、北京擎企、H3C、弘積科技、北京遠爲軟件、福建伊時代、信諾瑞得、太一星辰、山石網科、冰峯網絡