[TOC]

В основном он представляет классификацию оборудования безопасности, обычно используемого предприятиями на текущем рынке, поскольку при личном контакте в основном используются продукты Sangfor, Tianrongxin и NSFOCUS для классификации и сравнения;

0x01 Продукты NSFOCUS

1. Система предотвращения вторжений IPS

система предотвращения сетевых вторжений （IPS）Intrusion Prevention System Это средство безопасности компьютерной сети, последовательное устройство и антивирусное программное обеспечение (Антивирус). программы) и межсетевые экраны (пакетные Filter, Application Gateway), предложенный в 2014 году; Система предотвращения вторжений (IPS) — это устройство безопасности компьютерной сети, которое может отслеживать режим передачи сетевых данных в сети или сетевом устройстве и может немедленно прерывать, корректировать или изолировать некоторые аномальные или вредные режимы передачи сетевых данных.

Основываясь на практике обнаружения и защиты сетевых вторжений, а также на глубоком понимании и исследовании атак и защиты, технология NSFOCUS запустила систему предотвращения вторжений следующего поколения;

Схема развертывания WeiyiGeek.IPS

Наступательные и защитные характеристики:

1) Атаки на уровне приложений: сложность приложений увеличивается, угрозы безопасности становятся более ориентированными на приложения и более глубокими, а атаки, скрытые в приложениях, увеличиваются.

2) Атака вредоносного файла: спрятать код атаки в файлах обычного формата, таких как Word, Excel, PDF и Flash. Такие файлы хорошо скрыты и обманчивы;

3) Атака на личность пользователя. Методы защиты, основанные исключительно на IP, не могут точно идентифицировать личность пользователя и не могут осуществлять детальное управление политиками на основе личности пользователя.

4) Атаки с аномальным поведением. Для атак с аномальным поведением, представленных APT, методы обнаружения двухточечной безопасности устарели.

5) Требования к эффективности защиты: оборудование защиты безопасности должно иметь достаточную производительность и масштабируемость;

6) Проблемы безопасности IPV6: как осуществить безопасный и плавный переход, обеспечивая при этом нормальную бизнес-операцию, и обеспечить бесперебойную и стабильную работу защиты как в сетях IPv4, так и в сетях IPv6;

Типичные продукты IPS: Зеленый Альянссистема предотвращения сетевых вторжений（NSFOCUS NIPS NX5 Серия) Продукты серии NX ： NIPS-NX5-ZN-6001A Поддерживает типы интерфейсов 10G/40G/100G и адаптируется к различным сетевым средам. Оно обеспечивает унифицированное управление конфигурацией всей машины, резервное резервирование модулей питания 3+1 и модули питания переменного и постоянного тока с возможностью горячей замены для обеспечения эффективной работы системы.

Слот СОЛТ : В компьютерной индустрии слот относится к слоту расширения периферийных компонентов, который отличается от так называемых интерфейсов ЦП, таких как слот1 и слот2;
4GE/4SFP/SFPP： 4 гигабитных сетевых порта, 4 оптических порта, модуль многомодового оптического порта;
2SPF+   : 2 гигабита Слот расширения оптоволоконного модуля SFP+

WeiyiGeek.

Функции: обнаружение вторжений и расширенная защита от угроз, защита репутации в облаке, защита от DoS/DDoS, предотвращение утечки данных, обнаружение и защита от вирусов, веб-фильтрация, идентификация и контроль приложений, идентификация и контроль трафика, отслеживание источников атак на основе NTI; Развертывание и управление: настройка защиты, высокая надежность, инкапсуляция протоколов, возможности управления, методы реагирования на тревоги;

Функция НА: Резервирование статуса сети: активная-активная и активно-пассивная синхронизация информации на основе правил и сеансов, прозрачная передача сетевого протокола.

БАЙПАСное решение: (1) Когда NSFOCUS NIPS сталкивается с программным или аппаратным сбоем и не может отправить контрольный сигнал, он выполняет действие переключения, чтобы оптический сигнал обходил неисправное устройство, тем самым сохраняя оптическую сеть открытой и избегая прерывания всей сети из-за единая точка отказа; (2) Внешний переключатель BYPASS или встроенная сетевая карта с функцией обхода. Отказ оборудования: оптические сигналы обходят неисправное оборудование, сохраняя оптическую сеть открытой. Устранение неполадок: переключите оптический сигнал обратно на NSFOCUS NIPS. (3) Два состояния связи, по умолчанию — нормальное состояние, канал связи переключается при использовании BYPASS. (4) Встроенный сторожевой таймер (WDT) используется для управления группой реле для реализации физической маршрутизации двух портов Ethernet и переключения связи между этими двумя состояниями.

WeiyiGeek.Bypass

Архитектура продукта:

Включает три основных компонента: сетевой механизм, модуль управления и модуль реагирования безопасности.

Механизм обнаружения вторжений, объединяющий несколько технологий:

На самом деле протокол и порт — это два совершенно не связанных между собой понятия. Мы можем только думать, что определенный протокол работает на относительно фиксированном порту по умолчанию. Вредоносные программы, включая трояны и бэкдоры, а также P2P-приложения на базе Smart Tunnel (например, различные инструменты загрузки P2P, IP-телефоны и т. д.), IMS (системы обмена сообщениями в реальном времени, такие как MSN, Yahoo Pager), онлайн-игры и т. д. Приложения могут работать на любом указанном порту, что позволяет избежать обнаружения и контроля со стороны традиционных продуктов безопасности.

Обнаружение аномалий протокола является ключевой технологией, в основе которой лежит углубленный анализ протокола, и любое обнаруженное поведение, нарушающее правила RFC, рассматривается как аномалия протокола. Наиболее важной ролью исключений протокола является обнаружение и проверка определенных дефектов выполнения приложения (например, исключений переполнения буфера приложения) или исключений, которые нарушают определенные правила протокола (например, исключения RFC), тем самым обнаруживая неизвестные атаки переполнения, атаки нулевого дня и т. д. и атака типа «отказ в обслуживании».

Защита репутации в облаке: подозрительная репутация IP-адресов в базе данных репутации.、C&CРепутация адреса сервера,А также информацию о репутации, такую ​​как файлы и вредоносные URL-адреса.,Провести соответствующие защитные мероприятия;

NSFOCUS NIPS обеспечивает мощные и гибкие функции управления трафиком, используя четыре измерения управления трафиком: глобальное измерение (протокол/порт), локальное измерение (IP-адрес источника/назначения, пользователь, сегмент сети), временное измерение (время) и измерение трафика (пропускная способность). ). кортеж;

Защита от APT-атак: IPS обнаруживает известные атаки на основе сигнатур с помощью механизма потокового сканирования, а TAC обнаруживает атаки на уязвимости нулевого дня и неизвестные вредоносные программы с помощью статических механизмов и виртуального выполнения. IPS и TAC обеспечивают плавную связь для обнаружения известных и неизвестных атак, имея возможность подписывать неизвестные атаки. .

Гибридные решения защиты:

WeiyiGeek.Гибридная защита

Номер учетной записи и пароль списка продуктов IPS:

продукт	пользователь	по умолчанию
Санши Сетевой IPS
hillstone	hillstone
Зеленый АльянсIPS	admin	nsfocus

2. Система обнаружения вторжений IDS

Системы обнаружения вторжений (IPS | Система обнаружения вторжений) — это обходное устройство, которое отслеживает рабочее состояние сети и системы в соответствии с определенными политиками безопасности и обнаруживает различные попытки атак, поведение атак или результаты атак, насколько это возможно, чтобы гарантировать, что сетевая система Конфиденциальность, целостность и доступность ресурсов;

Развертывание WeiyiGeek.IDS

В последние годы, с изменением интересов хакерских группировок, их методы атак также претерпели большие изменения. Традиционные угрозы безопасности, такие как атаки переполнения, трояны, черви и DDOS. Благодаря постепенному повышению осведомленности пользователей о безопасности и постоянному совершенствованию мер защиты для ключевых предприятий, цели хакерских атак имеют тенденцию смещаться от традиционных прямых атак на серверы к атакам. на клиентах интрасети со слабой безопасностью использование клиента в качестве трамплина для проникновения на сервер, как обеспечить безопасность клиента интрасети, стало проблемой, с которой сталкиваются предприятия.

Типичные продукты IDS: Обнаружение системы обнаружения вторжений NSFOCUS NIDS NIDSNX3-N3000A-Z2 Функция: включая функции обнаружения вторжений, анализа трафика и управления приложениями. Пропускная способность: 8 Гбит/с. Количество новых подключений в секунду: 120 000. Максимальное количество одновременных подключений: 3 миллиона.

В чем разница между IPS и IDS?

Разница WeiyiGeek.IPS/IDS

По функции,Различия в развертывании,разница в цене（IPS>IDS）Квалификация бывает разной（имя、ISCCCОбязательная сертификация）,IPS в основном используется на границе сети предприятия или на входе и выходе внешней сети предприятия.,Он бессилен против интранет-атак.,В это время такое оборудование, как IDS, необходимо подключить к основному коммутатору.,Сделать зеркало трафика, чтобы можно было анализировать угрозы во внутренней сети;

Вопрос: В чем сходство между IPS и IDS? NIDS и NIPS в основном имеют одно и то же происхождение; (1) Обходное и последовательное гибридное развертывание: одновременно поддерживается мониторинг обхода IDS, последовательная защита IPS и гибридный рабочий режим для удовлетворения потребностей развертывания на разных этапах; (2) NIDS и NIPS используют одинаковую аппаратную и программную архитектуру и имеют одинаковые функции;

3. WAF (брандмауэр приложений)

Система предотвращения вторжений на уровне веб-приложений (англ. Web Application Firewall, аббревиатура: WAF). Брандмауэр веб-приложений — это продукт, который специально защищает веб-приложения, выполняя ряд политик безопасности для HTTP/HTTPS. Он создан на основе брандмауэра следующего поколения;

Типичные продукты WAF: Гигабитное оборудование NSFOCUS WAF серии NX3 (NF NX3-G2000M) Традиционный межсетевой экран: Охватывает традиционные функции межсетевого экрана, включая контроль доступа, поддержку NAT, протоколы маршрутизации, VLAN, STP, активное/активное/резервное горячее резервное копирование. Защита от вирусов: поддерживает технологию обнаружения вирусов на основе механизма потока, обнаружения и уничтожения таких протоколов, как HTTP, FTP, SMTP, POP3 и т. д. Управление Интернетом: контроль трафика P2P, контроль трафика приложений, фильтрация веб-сайтов, фильтрация вредоносных сайтов, управление фильтрацией контента, фильтрация вредоносных сценариев. Другие функции: Управление журналами облачной безопасности. HWAF (хост-версия системы защиты веб-приложений) 6.0.0.401

Ключевые слова: Пропускная способность. Данные в сети состоят из пакетов данных. Межсетевой экран потребляет ресурсы для обработки каждого пакета данных. Пропускная способность означает количество пакетов данных, которые проходят через межсетевой экран в единицу времени без потери пакетов; Количество одновременных подключений: относится к способности межсетевого экрана или прокси-сервера обрабатывать поток бизнес-информации. Это максимальное количество двухточечных подключений, которые межсетевой экран может обрабатывать одновременно. Оно отражает возможности управления доступом устройства межсетевого экрана. и возможности отслеживания состояния соединения для нескольких подключений. Размер этого параметра напрямую влияет на максимальное количество информационных точек, которые может поддерживать межсетевой экран.

4. ADS (атака против отказа в обслуживании)

Анти-DDoS-система (ADS), которая быстро перехватывает атакующий трафик в зависимости от типа атаки и обеспечивает прохождение обычного трафика; DDoS (распределенный отказ в обслуживании) обычно относится к хакерам, контролирующим большое количество машин в Интернете (часто называемых машинами-зомби) для мгновенного запуска потока атак на цель атаки. Большое количество сообщений об атаках ведет к ссылке. ресурсы атакуемой системы, такие как серверы приложений или сетевые межсетевые экраны, блокируются, а ресурсы сетевой инфраструктуры, такие как серверы приложений или сетевые межсетевые экраны, исчерпаны, что делает невозможным предоставление пользователям нормального бизнес-доступа;

Типичные продукты ADS: Система защиты от отказа в обслуживании NSFOCUS (NSFOCUS ADS)-ADS1200 Он может защитить от различных атак типа «отказ в обслуживании», основанных на сетевом уровне, транспортном уровне и уровне приложений, таких как SYN Flood, UDP Flood, UDP DNS Query Flood, (M)Stream Flood, ICMP Flood, HTTP Get Flood и соединение. истощение и другие распространенные приступы. Интеллектуальная защита с помощью встроенной «интеллектуальной многоуровневой матрицы идентификации и очистки» реализует механизмы обнаружения и фильтрации атак на основе поведенческих аномалий, не полагаясь на традиционное сопоставление сигнатур (или отпечатков пальцев) и другие методы, обеспечивая полное обнаружение аномального трафика; , защита от атак, управление устройствами, создание отчетов, дополнительные операции и другие функции; В основном: функция очистки потока;

5. TAC (система анализа угроз)

TAC - Анализ поведения вредоносных программ показывает, что хакеры используют все более изощренные и эффективные методы для проведения атак, используя передовые вредоносные программы посредством целевых фишинговых писем или атак через «водопой». Атакуют хосты терминалов для проникновения во внутреннюю сеть организации. для кражи или уничтожения. Из-за характеристик этого продвинутого вредоносного ПО (таких как множественные методы обнаружения уклонения, нацеливание на конкретные цели, атаки нулевого дня и т. д.) традиционным продуктам безопасности трудно своевременно обнаружить;

Типичные продукты TAC: Система анализа угроз NSFOCUS (TAC) может точно обнаруживать вредоносное ПО, которое пытается проникнуть во внутреннюю сеть через веб-страницы, электронную почту или обмен файлами, включая атаки «нулевого дня» и расширенные вредоносные программы с возможностями защиты от обнаружения, обладающие мощными возможностями защиты от уклонения; , и APT-атаки также могут использовать атаки нулевого дня. Традиционным антивирусным механизмам сложно их обнаружить. TAC может эффективно обнаруживать такое поведение атак с помощью новой технологии обнаружения виртуального выполнения и помогать клиентам эффективно сдерживать их, например, конфиденциальные. утечка информации, прерывание деятельности и т. д.

6. RSAS (система удаленной оценки безопасности)

Сканирование уязвимостей эффективно и всесторонне обнаруживает различные риски уязвимостей в сети, обеспечивает профессиональный и эффективный анализ безопасности и предложения по исправлениям, а также проверяет эффекты исправлений в соответствии с процессом управления безопасностью, чтобы минимизировать поверхность атаки; Функция: в одну интегрированы различные возможности проверки, которые могут обнаруживать различные угрозы безопасности системы, реализовывать управление безопасностью с обратной связью и способствовать реализации процессов управления безопасностью (включая раннее предупреждение, обнаружение, анализ и управление, исправления, аудит). , и т. д.)

Продукты системы удаленной оценки безопасности RSAS: NSFOCUS RSAS NX3 Сканирование уязвимостей гигабитных устройств RSAS NX3-S-C Система сканирования уязвимостей NetShen SecVSS 3600

7.ОСМС (система аудита безопасности — хост-бастион)

Прежде чем разобраться с машиной-бастионом, сначала разберитесь с машиной Board. Машина Board — это единственный способ для разработчиков войти на сервер приложений, закрепленный за веб-сайтом. Разработчики должны сначала войти в машину Board, а затем войти в систему. сервер приложений через машину Spring Board.

Метод аутентификации машины Springboard обновляет исходный метод использования фиксированного пароля для входа в систему Springboard до метода трехфакторной аутентификации «сертификат + фиксированный пароль + динамический код проверки». Новый метод аутентификации использует сертификаты, чтобы избежать подделки личности. и динамические токены, чтобы избежать потери сертификата. Поддельное удостоверение может обеспечить максимальную безопасность. Фактически, это уже прототип машины-бастиона.

WeiyiGeek.Трамплин

Здесь идет речь. Система аудита безопасности эксплуатации и обслуживания представляет собой машину-бастион. Машина-бастион использует различные технические средства для сбора и анализа данных в реальном времени в конкретной сетевой среде с целью защиты сети и данных от вторжения и повреждения. внешние и внутренние пользователи контролируют состояние системы, события безопасности и сетевую активность каждого компонента в сетевой среде, чтобы централизованные сигналы тревоги, своевременная обработка и аудит могли определить ответственность.

Слово «крепость» означает прочное здание, используемое для защиты, или метафору чего-то, что трудно сломать. Таким образом, в буквальном смысле «машина-крепость» относится к компьютеру, используемому для защиты от атак. По сценариям применения машины-бастионы можно разделить на два типа: (1) Бастионный хост шлюзового типа. Этот тип бастионного хоста должен обрабатывать содержимое данных прикладного уровня и потребляет большую производительность. Поэтому по мере увеличения трафика на входе и выходе сети бастионный хост развертывается на уровне сети. шлюз постепенно становится узким местом в производительности, поэтому машины-бастионы типа шлюза постепенно заменяются все более зрелыми продуктами безопасности, такими как межсетевые экраны, UTM, IPS и гейткиперы. (2) Бастионная машина типа аудита эксплуатации и обслуживания: «Бастионная машина внутреннего контроля». Этот тип бастионной машины также является наиболее часто используемым в настоящее время. Бастионные машины типа аудита эксплуатации и обслуживания развернуты в основных серверах и сетевом оборудовании. в интрасети перед ресурсами контролируйте разрешения на эксплуатацию для эксплуатационного и обслуживающего персонала и проверяйте поведение при работе. Он решает проблему сложности контроля хаотичной ситуации с полномочиями эксплуатационного и обслуживающего персонала, а также может контролировать и проверять незаконные операции. Более того, поскольку сама операция по эксплуатации и техническому обслуживанию не генерирует крупномасштабное движение, бастионная машина не будет. стал узким местом производительности, поэтому машина-бастион Он быстро развивался как средство аудита эксплуатации и технического обслуживания;

SAS-H: Хост системы аудита безопасности: бастионный хост серии NSFOCUS Security Audit System (ранняя стадия). OSMS: Система управления эксплуатационной безопасностью: система аудита безопасности эксплуатации и технического обслуживания NSFOCUS (основное оборудование на более позднем этапе)

Проще говоря, аудит безопасности эксплуатации и обслуживания может перехватывать незаконный доступ и злонамеренные атаки, блокировать незаконные команды, фильтровать весь незаконный доступ к целевым устройствам, а также проверять и отслеживать неправильные операции и незаконные действия внутреннего персонала, чтобы облегчить последующее отслеживание ответственности. Для администраторов SASH все управление учетными записями операций и обслуживания осуществляется на одной платформе. Управление учетными записями становится более простым и упорядоченным. Устанавливаются соответствующие отношения между пользователями и учетными записями эксплуатации и обслуживания (реализована аутентификация по настоящему имени), а для облегчения устанавливаются минимальные разрешения. мониторинг и раннее предупреждение. Для различных вариантов доступа несколько человек могут легко найти соответствующий персонал по эксплуатации и техническому обслуживанию, используя одну учетную запись бизнес-системы для пользователей по эксплуатации и техническому обслуживанию, им нужно только запомнить пароль машины-бастиона для управления и обслуживания нескольких машин; также можно войти в трамплин и выполнить дальнейшие операции;

Гарантия соответствия требованиям предприятия, эксплуатации данных и технического обслуживания персонала (единый вход, полный аудит), двухуровневый аудит базы данных, выпуск встроенной прикладной системы;

WeiyiGeek Примеры сценариев хост-приложений Bastion.

Функция: Полное управление ролями.,Гибкий и разнообразныйпользователь Метод аутентификации,Гибкие и разнообразные способы входа в систему,Расширенная аутентификация личности,Многомерная авторизация доступа,Строгая авторизация (режим хранилища),Система заказов на работу,Интеллектуальное инспекционное оборудование,Полный аудит эксплуатации и технического обслуживания,Поддержка протокола&актерское мастерство,Двухуровневый аудит базы данных,Выпуск встроенной прикладной системы,BVS&SAS-HСвязь,виртуализация Бастионная машина；

Поддерживаемые протоколы: RDP, Telent, SSH, HTTP/HTTPS, SFTP, VNC, X11; Клиенты поддержки: SecurCRT, Mstsc, Realvnc, Winscp и т. д. Режим аудита эксплуатации и обслуживания: символ/файл/изображение/база данных

Выбор крепостной машины (передовой станок):

WeiyiGeek Выбор машины.

Случаи/сценарии применения: Машины Bastion также широко используются в банках, ценных бумагах и других финансовых учреждениях для проведения аудита финансовых и бухгалтерских операций. После проекта преобразования двойной сети в электроэнергетике бастионная машина использовалась для решения проблемы межсетевого доступа после изоляции двойной сети, что вполне может решить проблему безопасности доступа между двойными сетями.

WeiyiGeek Сценарии применения машин Bastion.

Продукты системы аудита эксплуатации и технического обслуживания SASH:

Зеленый Альянс, утренняя звезда, паради , Цичжи, Аньхэн, Цзяннань, Кейю, Тенюшин
продукт	пользователь	по умолчанию
Бастионная машина SAS NX-H3 Series
sysadmin системный администратор
weboper	администратор безопасности 
webaudit системный аудитор	nsfocus@2018

8. DAS (система аудита баз данных)

Система аудита базы данных (сокращенно DAS) — это система управления соответствием, которая может отслеживать и записывать действия базы данных в сети в режиме реального времени, а также проводить детальный аудит операций базы данных. Он записывает, анализирует и сообщает о поведении пользователей при доступе к базе данных, чтобы помочь пользователям создавать отчеты о соответствии и отслеживать происшествия до их источника. Он также усиливает записи поведения внутренней и внешней сети и повышает безопасность активов данных.

DAS — это профессиональное устройство безопасности баз данных в режиме реального времени, предназначенное для мониторинга и аудита доступа к базам данных.

• 1. Анализируйте действия базы данных с разных точек зрения и выполняйте уведомления о тревогах, записи аудита и функции анализа отслеживания времени на предмет аномального поведения.
• 2 - Независимая настройка и развертывание, Достичь цели управления безопасностью, не затрагивая базу данных. Поддержка DAS
• 3 — Гибкие режимы развертывания, включая режимы обхода и многоуровневого развертывания.
• 4 — Полностью имитировать лексический и грамматический (lex/yacc) анализ базы данных.,Может точно и разумно идентифицировать типы SQL.,Гибко строить поведенческие модели,И может быстро и точно настроить стратегию позиционирования.
• 5. Интеллектуальная идентификация SQL с использованием эвристической оценки рисков может оперативно обнаруживать потенциальные риски в операциях базы данных, что позволяет проводить последующий анализ записей операций базы данных на соответствие.
• 6. Благодаря технологии идентификации сигнатур атак на уязвимости можно точно отслеживать и своевременно предупреждать более 400 атак на уязвимости базы данных, не требуя каких-либо исправлений или обновлений базы данных.
• 5. Для достижения цели детальной настройки аудита доступа непосредственно выполняйте детальное разделение разрешений пользователей базы данных, а также проводите аудиты и оповещения о поведении доступа, которое нарушает детальные политики, тем самым гарантируя, что операции с базой данных соответствуют требованиям соответствия.

9. Осведомленность о ситуации

Оценка рисков внешних угроз — это основанная на окружающей среде, динамичная и целостная способность получить представление о рисках безопасности. Это способ улучшить способность обнаруживать, идентифицировать, понимать, анализировать и реагировать на угрозы безопасности с глобальной точки зрения. безопасность больших данных. В конечном счете, они предназначены для принятия решений и действий, а также для реализации возможностей безопасности;

Цель: Обнаружение, анализ, прогнозирование, защита.

Продукты этого типа: NSFOCUS, Сангфор, Vulnerability Box Net Vine,

0x01 Продукция Сангфора

Некоторые отраслевые стандарты программного обеспечения для управления безопасностью от Sangfor; Продукция Sangfor Technology делится на две категории: Первая категория — это линейка продуктов сетевой безопасности, включающая: SSL VPN, IPSec VPN, управление поведением Интернета (AC), межсетевой экран нового поколения (NGAF) и настольное устройство управления поведением Интернета второго поколения. Первая категория — это линейка продуктов для оптимизации сети, включающая: шлюз оптимизации Интернета (SG), управление трафиком (BM), доставку приложений (AD), оптимизацию глобальной сети (WOC) и управление производительностью приложений (APM).

1. AC (Управление поведением в Интернете)

Функция устройства управления поведением AC на английском языке означает контроль доступа (который можно проверять и управлять совместно с сервером Radius). Sangfor — первый отечественный производитель средств управления поведением в Интернете, и его продукты также стали отраслевыми стандартами;

AC выполняет три основные функции: аудит, управление и контроль, а также контроль потока.

пользовательуправлять：IPиMacПривязка адреса/ADПрозрачная аутентификация домена/местныйWebСертификация/LDAPСертификация/数据库Сертификация/RADIUSСертификация/актерское мастерство Сертификация/统一из第三方Сертификация接口/短信Сертификация/пользователь Группа、Управление сегментацией и т. д.
Фильтрация веб-страниц: 120 категорий, 46 миллионов библиотек классификации URL-адресов/технология интеллектуальной идентификации локального контента
Управление приложениями: поддерживает более 4000 основных приложений в 40 категориях, таких как онлайн-игры, P2P-загрузки, инструменты чата, онлайн-видео и онлайн-торговля акциями, блокирует приложения/ограничивает пропускную способность/ограничивает время использования;
пропускная способностьуправлять：Настроитьпропускная способностьряд/многоуровневыйпропускная способностьряд/на основе протокола、приложение、пользовательизпропускная способностьраспространять/пользователь组成员平均распространятьпропускная способность/ Мультиплексирование свободной полосы пропускания
Аудит контента: электронная почта/Интернет почта/BBS/Weibo/QQ/Fetion/ключевые слова для поиска по веб-страницам и т. д.
Аудит интернет-активности: поддерживает мониторинг в реальном времени/на основе пользователя, времени, приложения, пропускной способности. способность、外发信息等из监控记录/可生成на основе日/неделя/月以及指定日期范围из统计报表/поддерживатьemailПодписаться на отчеты
Античастные звонки: отображение количества частных звонков/настраиваемое время блокировки/настраиваемый белый список/описание причин частных звонков и т. д.
Нажатие страницы: можно установить период времени нажатия/можно установить частоту нажатия страницы/настраиваемая страница нажатия
Управление мобильными терминалами: может отслеживать и собирать статистику по мобильным терминалам/может настраивать политики для мобильных терминалов/может устанавливать черные и белые списки мобильных терминалов
Доступ к терминалу: требуется/запрещено устанавливать указанное программное обеспечение/обязательно/запрещено запускать определенные программы/запрещено указанным программам доступ к сети.
Центр журналов: хранилище данных, сводный анализ, автономные запросы и поддержка базы данных Oracle профессионального уровня.
集中управлять：Централизованное оформление、Стратегия выпуска/Мониторинг состояния филиального оборудования/пользовательбревно、Сбор информации о тревогах
Защита от атак: поддерживает мониторинг ARP-атак/мониторинг аномального сетевого трафика/аномальный мониторинг IP-трафика/DDOS-атаки/широковещательный шторм
Методы управления и контроля: поддержка черного и белого списка/IP без мониторинга/мониторинг без записи/мониторинга и записи/разрешения/блокировки и т. д.
Рабочий интерфейс: WEB-интерфейс (поддерживает различные основные браузеры, зашифрованную передачу HTTPS)/интерфейс командной строки (SSH/консольный порт)
Метод развертывания: режим прозрачного моста/шлюза/обхода зеркалирования и т. д.

Если клиент хочет сохранить большой объем информации журнала, рекомендуется установить внешний центр обработки данных (очень полезно иметь гарантию ожидания, поскольку закон о безопасности требует от 6 до 12 месяцев информации журнала); Когда объем журнала большой, производительность синхронизации данных AC можно повысить, включив высокопроизводительный режим, то есть все данные синхронизируются с внешним центром обработки данных, а встроенный центр обработки данных не сохраняет данные.

Типичные продукты переменного тока: Сангфор АС-1000-Д420; Нетком Нетком NI3200-HEM

2. Брандмауэр нового поколения AF

Прежде чем вводить AF, мы сначала вводим зону DMZ. Появление межсетевых экранов имеет для нее большое значение; DMZ — это сокращение от «демилитаризованная зона» на английском языке. Китайское название — «демилитаризованная зона», также известная как «демилитаризованная зона». Пространство между двумя межсетевыми экранами называется DMZ (демилитаризованная зона). По сравнению с Интернетом DMZ может обеспечить. Более высокий уровень безопасности, но менее безопасный, чем внутренние сети; Это буферная зона между системой, не связанной с безопасностью, и системой безопасности, созданная для решения проблемы, связанной с тем, что пользователи, обращающиеся к внешней сети, не могут получить доступ к серверу внутренней сети после установки межсетевого экрана. Буферная зона расположена в небольшом пространстве между предприятиями; внутренняя сеть и внешняя сеть В пределах сетевой области в этой небольшой сетевой области вы можете разместить несколько; Серверные объекты, которые должны быть открыты, такие как корпоративные веб-серверы, FTP-серверы, форумы и т. д., с другой стороны, через такую ​​DMZ-зону внутренняя сеть защищена более эффективно, поскольку такой тип развертывания сети по сравнению с общее решение брандмауэра менее восприимчиво к трафику из внешней сети. Существует еще один уровень для злоумышленников.

Межсетевой экран, также известный как защитная стена, представляет собой систему сетевой безопасности, расположенную между внутренней сетью и внешней сетью. Это система защиты информации, которая разрешает или ограничивает передачу данных в соответствии с определенными правилами.

Легенда межсетевого экрана нового поколения:

WeiyiGeek.Легенда брандмауэра

Традиционный брандмауэр: Фильтрация пакетов: контроль доступа может осуществляться на основе нескольких параметров, таких как IP, порт, страна, время, приложение, услуга, пользователь и т. д. NAT: технология повторного использования портов для расширения пространства портов, маршрутизация оператора и обратная маршрутизация решают проблему многоканального использования; IPSe: стандартная конструкция протокола, может быть подключена к основным производителям и полностью поддерживает активный и пассивный режимы. SSL VPN: идеально адаптируется к различным клиентским средам, доступ к нему возможен через Интернет или туннель, а также обеспечивает полный механизм управления пользователями. Маршрутизация, коммутация, высокая доступность: стандартная конструкция протокола, горячий резерв с двумя компьютерами может адаптироваться к маршрутизации, коммутации, виртуальным линиям, асимметричной маршрутизации и другим сценариям.

Функции: идентификация приложений, защита безопасности, управление Интернетом, защита ботнетов, управление беспроводными точками доступа, корреляционный анализ событий, идентификация среды программного обеспечения активов, двухуровневое страхование, соединение VPN, изоляция интрасети, защита от неизвестных угроз;

Типичные продукты AF: Межсетевой экран Sangfor, межсетевой экран NSFOCUS (например), Amaranten Firewall - Firewall F5000 (плохое самочувствие)

WeiyiGeek.Выбор

Разница между AF и AC: Функциональные различия, основная функция AF — защита, которая немного слабее трех функций AC; Разница между журналами в том, что AF фокусируется на безопасности и защите, а AC — на записи и контроле.

Отличия охранной продукции производителя:

Отличия межсетевого экрана WeiyiGeek.

3. AD (балансировка нагрузки | доставка приложений)

4. БМ (Управление дорожным движением)

5. Ускорение шлюза SG Оптимизация шлюза |

6. WOC WAN-ускорение

7. Управление производительностью приложений APM

Шлюз безопасности

Шлюзы безопасности представляют собой интересное сочетание технологий, обеспечивающих важную и уникальную защиту: от фильтрации на уровне протокола до очень сложной фильтрации на уровне приложений. Цель настройки — предотвратить распространение незащищенности Интернета или внешней сети на внутреннюю сеть вашей компании или организации. Шлюз безопасности имеет межсетевой экран на прикладном и сетевом уровне, а также функцию VPN можно увидеть на третьем. слой. .

Продукты шлюза безопасности: Касперский

0x02 Тяньжунсинь

1. UTM (унифицированное управление угрозами)

UTM (Unified Threat Management | Unified Threat Management) — это шлюз UTM (Unified Threat Management), который объединяет межсетевой экран, VPN, антивирус, защиту от спама, фильтрацию контента, защиту от атак, формирование трафика и другие функции;

Основные характеристики продукта:

• Идеальное сочетание универсальности и производительности,Примите превосходную модульную архитектуру TOS.,При обеспечении брандмауэра, VPN, антивируса, антиспама, фильтрации контента, защиты от атак, формирования трафика и других функций.,Гарантия отличной производительности:
• Одна машина для нескольких целей, простое управление, экономия средств.
• Поддержка VPN-сервисов,Имейте обабрандмауэр、V**、Антивируси Фильтрация контент и другие функции,И различные функции интегрированы в один,Возможность выполнять различные проверки различных данных VPN.,Блокируйте вирусы, трояны, вредоносные коды и другие вредоносные данные,Полностью обеспечивает безопасность VPN-коммуникаций.
• Полная защита контента

0x03 360 Цяньсинь

1.360 привратник

Описание: Используйте полупроводниковый переключаемый носитель чтения-записи с множеством функций управления для подключения оборудования информационной безопасности между двумя независимыми хост-системами. 目前流行из网络隔离技术изпродуктиплан：Независимый сетевой план и Решение уровня терминала;

Baidu: Поскольку две независимые хост-системы изолированы через гейткипер, для связи между системами не существует физических соединений, логических соединений и протоколов передачи информации. На основе протокола не происходит обмена информацией, а только беспроводная связь в виде беспроводной связи. файлы данных. Таким образом, привратник логически изолирует и блокирует все сетевые соединения, которые потенциально могут атаковать внутреннюю сеть, не позволяя внешним злоумышленникам напрямую вторгаться, атаковать или разрушать внутреннюю сеть, обеспечивая безопасность внутренних хостов.

Краткое описание: При наличии в среде общедоступной сети и частной сети.,Привратник гарантирует, что машины могут иметь доступ только к одной сети одновременно.,Другая сеть будет изолирована;

Решение уровня терминала:пользователь Используйте одно клиентское устройство для исключительного выбора подключений к внутренней сети.ивнешняя сеть,Основные виды можно разделить на следующие виды

(1) Двойная материнская плата,Тип двойного жесткого диска: реализуется путем установки двух комплектов независимых компьютеров.,При использовании,Выберите две компьютерные системы соответственно через клиентский переключатель.。
(2) Тип материнской платы с двумя жесткими дисками: клиент добавляет карту изоляции и жесткий диск и передает интерфейс жесткого диска на материнскую плату через добавленную карту изоляции. Сетевая карта также ведет через карту к двум сетевым интерфейсам. Используйте эту карту для управления клиентскими устройствами хранения и выбора соответствующего сетевого интерфейса для достижения сетевой изоляции.
(3) Одна материнская плата,Тип одного жесткого диска: клиенту необходимо добавить изоляционную карту.,Память подключена к материнской плате через изолирующую карту.,Сетевая карта также ведет к двум сетевым интерфейсам через изолирующую карту. Разделите жесткий диск на безопасные и небезопасные области.,Контролируйте использование безопасных и небезопасных зон клиентским устройством хранения данных с разделением времени с помощью изоляционных карт.,При этом выберите соответствующий сетевой интерфейс,реализовать сетевую изоляцию.

• Привратник реализует логическую изоляцию внутренних и внешних сетей. С точки зрения технических характеристик это в основном отражается в отключении каждого уровня сетевой модели, например отключении физического уровня, отключении канального уровня, изоляции протокола TCP/IP и т. д. изоляция протокола приложения;
• приложениесцена:конфиденциальная сетьи非конфиденциальная сеть之间、Между локальной сетью и Интернетом、Офисная сеть и деловая сеть、Между бизнес-сетью и Интернетом、Между интранетом и частной сетью электронного правительства
• Рекомендации по выбору: сценарии применения, основные функции, пропускная способность, количество портов;

0x03 Шлюз управления бухгалтерским учетом (B-RAS)

Продукты Б-РАН: Городские горячие точки: B-RAS/BMG series оборудование 10G (DrCOM — сервер базы данных + B-RAS — это шлюз управления биллингом) Поддерживаемые методы аутентификации: клиент Dr.COM, Web, PPPoE, PPTP, 802.1x и другие методы аутентификации; Два режима аутентификации: аутентификация по учетной записи и паролю и аутентификация без учетной записи (режим выделенной линии и режим прямой связи); 可实现на основепользовательимяи密码из身份Сертификация,Может быть связан через трехслойную сетьпользовательизIP、MAC、Важная информация об элементах сети, например VLAN; Поддерживает внутренние данные до 64 000 пользователей, а одно устройство поддерживает до 16 000 одновременных онлайн-пользователей; как радиус Клиент, внешняя аутентификация поддерживает стандартный Radius Расширенные атрибуты от нескольких производителей, поддержка внешней аутентификации на основе LDAP, поддержка внешнего сервера Radius с одним главным и одним резервным сервером, а также возможность реализации Radius; Также можно использовать функцию кэша; радиус Сервер обеспечивает аутентификацию для других устройств доступа; Поддерживает синхронную аутентификацию между шлюзами и коммутаторами 802.1x. Одна аутентификация может одновременно входить во внутреннюю и внешнюю сети. Аутентификация ассоциации и синхронизация между несколькими шлюзами. Поддерживает функцию антиприватного подключения на основе клиента Dr.COM, клиента 802.1x и клиента PPPoE; Поддерживает балансировку нагрузки, горячее резервное копирование двух компьютеров, распределенный доступ и имеет высокую надежность.