網(wǎng)絡(luò)設(shè)備維護(hù)常見的術(shù)語
(1)防火墻( Firewall)
定義 : 相信大家都知道防火墻是干什么用的, 我覺得需要特別提醒一下,防火墻抵御的是外部的攻擊,并不能對內(nèi)部的病毒 ( 如ARP病毒 ) 或攻擊沒什么太大作用。
功能 : 防火墻的功能主要是兩個網(wǎng)絡(luò)之間做邊界防護(hù), 企業(yè)中更多使用的是企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的 NAT、包過濾規(guī)則、端口映射等功能。生產(chǎn)網(wǎng)與辦公網(wǎng)中做邏輯隔離使用, 主要功能是包過濾規(guī)則的使用。
部署方式 : 網(wǎng)關(guān)模式、透明模式 :
網(wǎng)關(guān)模式是現(xiàn)在用的最多的模式, 可以替代路由器并提供更多的功能,適用于各種類型企業(yè)透明部署是在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的情況下,將防火墻以透明網(wǎng)橋的模式串聯(lián)到企業(yè)的網(wǎng)絡(luò)中間, 通過包過濾規(guī)則進(jìn)行訪問控制,做安全域的劃分。至于什么時候使用網(wǎng)關(guān)模式或者使用透明模式, 需要根據(jù)自身需要決定, 沒有絕對的部署方式。需不需要將服務(wù)器部署在 DMZ區(qū),取決于服務(wù)器的數(shù)量、 重要性。
總之怎么部署都是用戶自己的選擇!
高可用性 : 為了保證網(wǎng)絡(luò)可靠性, 現(xiàn)在設(shè)備都支持主 - 主、主- 備,等各種部署
(2)防毒墻
定義 : 相對于防火墻來說,一般都具有防火墻的功能, 防御的對象更具有針對性,那就是病毒。
功能 : 同防火墻, 并增加病毒特征庫, 對數(shù)據(jù)進(jìn)行與病毒特征庫進(jìn)行比對,進(jìn)行查殺病毒。
部署方式 : 同防火墻,大多數(shù)時候使用透明模式部署在防火墻或路由器后或部署在服務(wù)器之前,進(jìn)行病毒防范與查殺
(3)入侵防御 (IPS)
定義 : 相對于防火墻來說,一般都具有防火墻的功能,防御的對象更具有針對性, 那就是攻擊。防火墻是通過對五元組進(jìn)行控制,達(dá)到包過濾的效果, 而入侵防御 IPS,則是將數(shù)據(jù)包進(jìn)行檢測 (深度包檢測 DPI)對蠕蟲、病毒、木馬、拒絕服務(wù)等攻擊進(jìn)行查殺。
功能 : 同防火墻,并增加 IPS 特征庫,對攻擊行為進(jìn)行防御。
部署方式 : 同防毒墻。
特別說明一下 : 防火墻允許符合規(guī)則的數(shù)據(jù)包進(jìn)行傳輸,對數(shù)據(jù)包中是否有病毒代碼或攻擊代碼并不進(jìn)行檢查, 而防毒墻和入侵防御則通過更深的對數(shù)據(jù)包的檢查彌補(bǔ)了這一點(diǎn)。
(4)統(tǒng)一威脅安全網(wǎng)關(guān) (UTM)
定義 : 簡單的理解, 把威脅都統(tǒng)一了,其實就是把上面三個設(shè)備整合到一起了。
功能 : 同時具備防火墻、 防毒墻、入侵防護(hù)三個設(shè)備的功能。
部署方式 : 因為可以代替防火墻功能, 所以部署方式同防火墻
現(xiàn)在大多數(shù)廠商,防病毒和入侵防護(hù)已經(jīng)作為防火墻的模塊來用,在不考慮硬件性能以及費(fèi)用的情況下, 開啟了防病毒模塊和入侵防護(hù)模塊的防火墻,和UTM其實是一樣的。至于為什么網(wǎng)絡(luò)中同時會出現(xiàn) UTM和防火墻、防病毒、入侵檢測同時出現(xiàn)。
第一,實際需要,在服務(wù)器區(qū)前部署防毒墻, 防護(hù)外網(wǎng)病毒的同時, 也可以檢測和防護(hù)內(nèi)網(wǎng)用戶對服務(wù)器的攻擊。第二,花錢,大家都懂的。總之還是那句話,設(shè)備部署還是看用戶。
(5)IPSEC VPN
把 IPSEC VPN放到網(wǎng)絡(luò)安全防護(hù)里,其實是因為大多數(shù)情況下, IPSEC VPN的使用都是通過上述設(shè)備來做的,而且通過加密隧道訪問網(wǎng)絡(luò),本身也是對網(wǎng)絡(luò)的一種安全防護(hù)。
定義 : 采用 IPSec 協(xié)議來實現(xiàn)遠(yuǎn)程接入的一種 VPN技術(shù),至于什么是 IPSEC 什么是 VPN,小伙伴們請自行百度吧
功能 : 通過使用 IPSEC VPN使客戶端或一個網(wǎng)絡(luò)與另外一個網(wǎng)絡(luò)連接起來,多數(shù)用在分支機(jī)構(gòu)與總部連接。
部署方式 : 網(wǎng)關(guān)模式、旁路模式
鑒于網(wǎng)絡(luò)設(shè)備維護(hù)基本都具備 IPSEC VPN功能,所以很多情況下都是直接在網(wǎng)關(guān)設(shè)備上啟用 IPSEC VPN功能,也有個別情況新購買IPSEC VPN設(shè)備,在對現(xiàn)有網(wǎng)絡(luò)沒有影響的情況下進(jìn)行旁路部署,部署后需要對 IPSEC VPN設(shè)備放通安全規(guī)則,做端口映射等等。也可以使用 windows server 部署 VPN,需要的同學(xué)也請自行百度 ~相比硬件設(shè)備,自己部署沒有什么花費(fèi),但 IPSEC VPN受操作系統(tǒng)影響,相比硬件設(shè)備穩(wěn)定性會差一些。