寫在最前:
安全產品系列目錄:目錄&總述
FireWall 防火牆
用於邊界安全防護的權限控制和安全域的劃分
防外不防內,隔離區域
配置策略,按需劃分,最小授權原則
產品簡介
採用應用層安全防護理念,同時結合先進的多核高速數據包併發處理技術,研發而成的下一代邊界安全產品。其核心理念是立足於用戶網絡邊界,建立起以應用爲核心的網絡安全策略和以內網資產風險識別、雲端安全管理爲顯著特徵的全方位的安全防護體系。
產品特點
- 全面的應用、用戶識別能力
- 細緻的應用層控制
- 應用層安全防護能力
入侵防護、URL過濾、防病毒、內容過濾 - 應用層安全處理性能
基礎網絡數據包的高速轉發,應用層安全處理的高性能 - 內網資產風險管理
- 雲端安全管理模式
- 高穩定性和可靠性
- 支持路由、交換、訪問控制、流量管理、SNAT/DNAT、日誌報表等傳統功能
用戶價值
- 對應用、業務和用戶完全識別並加以控制、可以幫助企業降低管理難度、減少運維成本
- 事前的風險預知和事後的檢測&響應能力,主動發現被保護的資產對象,以及被保護對象的風險狀況
- 幫助有關部門、機構和人員及時對網絡安全風險信息進行監測評估
1.部署模式
路由模式
當防火牆位於內部網絡和外部網絡之間時,需要將防火牆與內部網絡、外部網絡以及DMZ 三個區域相連的接口分別配置成不同網段的IP 地址,重新規劃原有的網絡拓撲,此時相當於一臺路由器。路由器兩端是不同子網
採用路由模式時,可以完成ACL 包過濾、ASPF 動態過濾、NAT 轉換等功能。然而,路由模式需要對網絡拓撲進行修改(內部網絡用戶需要更改網關、路由器需要更改路由配置等),這是一件相當費事的工作,因此在使用該模式時需權衡利弊。
透明模式
如果防火牆採用透明模式進行工作,則可以避免改變拓撲結構造成的麻煩,此時防火牆對於子網用戶和路由器來說是完全透明的。也就是說,用戶完全感覺不到防火牆的存在。
採用透明模式時,只需在網絡中像放置網橋(bridge)一樣插入該防火牆設備即可,無需修改任何已有的配置。與路由模式相同,IP 報文同樣經過相關的過濾檢查(但是IP 報文中的源或目的地址不會改變),內部網絡用戶依舊受到防火牆的保護。
旁路模式
在其他設備上開一個鏡像口接入,邏輯上類似透明模式,檢查流量經過,但不能進行阻斷
部署簡單,不改變現有結構,不影響速度,出現故障不會影響其他設備
旁路部署可以進行特殊流量配置,比如:三角傳輸
三角傳輸,也叫Direct Server Return(DSR)模式,是旁路部署的一個特例這種模式下只有入站方向流量進入到設備,服務器返回的流量不經過設備。由於互聯網的流量具有典型的非對稱性,即請求方向上的流量比較小,絕大多數流量集中在服務器響應的方向上,若充分信任內部安全性,這種配置可以提升處理能力。
雙機熱備
這種可能會用到混合模式:防火牆既存在工作在路由模式的接口(接口具有IP 地址),又存在工作在透明模式的接口(接口無IP 地址),則防火牆工作在混合模式下
主備模式
主備模式下的兩臺防火牆,其中一臺作爲主設備,另一臺作爲備份設備。主設備處理所有業務,並將產生的會話信息傳送到備份設備進行備份;備份設備不處理業務,只用做備份。當主設備故障,備份設備接替主設備處理業務,從而保證新發起的會話能正常建立,當前正在進行的會話也不會中斷。
負載分擔模式
兩臺設備均爲主設備,都處理業務流量,同時又作爲另一臺設備的備份設備,備份對端的會話信息(如下圖所示,Firewall 1和Firewall 2均處理業務,互爲備份)。當其中一臺故障後,另一臺設備負責處理全部業務,從而保證新發起的會話能正常建立,當前正在進行的會話也不會中斷
一般部署
會話備份
因爲有重傳機制
所以在兩臺防火牆完全主備部署的情況下,即使不使用會話備份,在設備故障切換時只是會影響業務的切換時間,但不會完全導致業務不可用;對於新建連接,只是增加一次會話建立時間,對數據轉發沒有任何影響
當兩臺防火牆做負載分擔,而且數據流量存在來回路徑不一致的時候,防火牆必須開啓會話備份功能。
因爲開啓了OSPF負載分擔,以TCP數據流爲例,假如Trust區域的某客戶要去訪問Untrust區域的資源,TCP數據流第一個SYN報文根據等價路由被轉發到Firewall 1,但是對方迴應的SYN-ACK報文被上面路由器轉發到了Firewall 2,對於Firewall 2由於報文是從Untrust到Trust,策略是禁止的,而且設備本身又沒有會話,所以這個報文就會被丟棄,TCP連接建立失敗。儘管TCP超時後會再次發起連接,但是如果上下兩臺路由器等價路由的Hash方式不變,報文會一直按着上面所說的路徑轉發,所以TCP連接永遠失敗。
工作過程
路由工作模式
防火牆工作在路由模式下,此時所有接口都配置IP 地址,各接口所在的安全區域是三層區域,不同三層區域相關的接口連接的外部用戶屬於不同的子網。當報文在三層區域的接口間進行轉發時,根據報文的IP 地址來查找路由表,此時 防火牆表現爲一個路由器。但是, 防火牆與路由器存在不同, 防火牆中IP 報文還需要送到上層進行相關過濾等處理,通過檢查會話表或ACL 規則以確定是否允許該報文通過。此外,還要完成其它防攻擊檢查。路由模式的防火牆支持ACL 規則檢查、ASPF 狀態過濾、防攻擊檢查、流量監控等功能。
透明工作模式
防火牆工作在透明模式下,此時所有接口都不能配置IP 地址,接口所在的安全區域是二層區域,和二層區域相關接口連接的外部用戶同屬一個子網。當報文在二層區域的接口間進行轉發時,需要根據報文的MAC 地址來尋找出接口,此時防火牆表現爲一個透明網橋。但是,防火牆與網橋存在不同,防火牆中IP 報文還需要送到上層進行相關過濾等處理,通過檢查會話表或ACL 規則以確定是否允許該報文通過。此外,還要完成其它防攻擊檢查。透明模式的防火牆支持ACL 規則檢查、ASPF 狀態過濾、防攻擊檢查、流量監控等功能。工作在透明模式下的 防火牆在數據鏈路層連接局域網(LAN),網絡終端用戶無需爲連接網絡而對設備進行特別配置,就像LAN Switch 進行網絡連接。
混合工作模式
防火牆工作在混合透明模式下,此時部分接口配置IP 地址,部分接口不能配置IP 地址。配置IP 地址的接口所在的安全區域是三層區域,接口上啓動VRRP功能,用於雙機熱備份;而未配置IP 地址的接口所在的安全區域是二層區域,和二層區域相關接口連接的外部用戶同屬一個子網。當報文在二層區域的接口間
進行轉發時,轉發過程與透明模式的工作過程完全相同。
UTM 統一威脅管理
Unified Threat Management
集成多種功能
若開啓多項功能,可能性能不足,大多用於中低端公司
產品簡介
集合了防火牆、虛擬專用網(VPN)、入侵檢測和防禦(IPS)、網關防病毒、Web內容過濾、反垃圾郵件、流量整形、用戶身份認證、審計以及BT(藍牙)、IM(即時通訊)控制等多種應用
產品特點
集成多種產品功能,方便配置,管理
用戶價值
- 便於部署,維護
- 性價比高
1. 部署模式
與防火牆類似,但一般不用於區域劃分(太貴),只在內外網之間放一個
生產廠商
防火牆/UTM/安全網關/下一代防火牆/第二代防火牆:
天融信、山石網科、啓明星辰、網禦星雲、綠盟科技、安恆信息、藍盾、華爲、軟雲神州、杭州迪普、華清信安、東軟、上訊信息、利譜、深信服、奇安信、衛士通、H3C、交大捷普、信安世紀、任子行、上海紐盾、金電網安、亞信安全、北京擎企、金山、君衆甲匠、優炫、海峽信息、安信華、博智軟件、中科曙光、中科網威、江民科技、六壬網安、安碼科技、點點星光、瑞星、華域數安、中新網安、山東確信、有云信息、上元信安、成都世紀頂點、衛達安全、網禦科技、銳捷、清華永新、華諾科技、六方雲