網(wǎng)絡(luò)安全板塊

下一代防火墻：下一代防火墻，即Next Generation Firewall，簡(jiǎn)稱(chēng)NG Firewall，是一款可以全面應(yīng)對(duì)應(yīng)用層威脅的高性能防火墻。通過(guò)深入洞察網(wǎng)絡(luò)流量中的用戶(hù)、應(yīng)用和內(nèi)容，并借助全新的高性能單路徑異構(gòu)并行處理引擎，NGFW能夠?yàn)橛脩?hù)提供有效的應(yīng)用層一體化安全防護(hù)，幫助用戶(hù)安全地開(kāi)展業(yè)務(wù)并簡(jiǎn)化用戶(hù)的網(wǎng)絡(luò)安全架構(gòu)。

產(chǎn)品描述

　　網(wǎng)絡(luò)安全：

　　1、下一代防火墻：下一代防火墻，即Next Generation Firewall，簡(jiǎn)稱(chēng)NG Firewall，是一款可以全面應(yīng)對(duì)應(yīng)用層威脅的高性能防火墻。通過(guò)深入洞察網(wǎng)絡(luò)流量中的用戶(hù)、應(yīng)用和內(nèi)容，并借助全新的高性能單路徑異構(gòu)并行處理引擎，NGFW能夠?yàn)橛脩?hù)提供有效的應(yīng)用層一體化安全防護(hù)，幫助用戶(hù)安全地開(kāi)展業(yè)務(wù)并簡(jiǎn)化用戶(hù)的網(wǎng)絡(luò)安全架構(gòu)。2009年，著名咨詢(xún)機(jī)構(gòu)Gartner介紹為應(yīng)對(duì)當(dāng)前與未來(lái)新一代的網(wǎng)絡(luò)安全威脅認(rèn)為防火墻必需要再一次升級(jí)為“下一代防火墻”。第一代防火墻已基本無(wú)法探測(cè)到利用僵尸網(wǎng)絡(luò)作為傳輸方法的威脅。由于采用的是基于服務(wù)的架構(gòu)與Web2.0使用的普及，更多的通訊量都只是通過(guò)少數(shù)幾個(gè)端口及采用有限的幾個(gè)協(xié)議進(jìn)行，這也就意味著基于端口/協(xié)議類(lèi)安全策略的關(guān)聯(lián)性與效率都越來(lái)越低。深層數(shù)據(jù)包檢查入侵防御系統(tǒng)(IPS)可根據(jù)已知攻擊對(duì)操作系統(tǒng)與漏失部署補(bǔ)丁的軟件進(jìn)行檢查，但卻不能有效的識(shí)別與阻止應(yīng)用程序的濫用，更不用說(shuō)對(duì)于應(yīng)用程序中的具體特性的保護(hù)了。

　　Gartner將網(wǎng)絡(luò)防火墻定義為在線(xiàn)安全控制措施，即：可實(shí)時(shí)在各受信級(jí)網(wǎng)絡(luò)間執(zhí)行網(wǎng)絡(luò)安全策略。Gartner使用“下一代防火墻”這一術(shù)語(yǔ)來(lái)說(shuō)明升級(jí)防火墻的必要性，以應(yīng)對(duì)業(yè)務(wù)程序使用IT的方法以及針對(duì)業(yè)務(wù)系統(tǒng)所發(fā)起的攻擊方法所發(fā)生的改變。

　　2、負(fù)載均衡：負(fù)載均衡，英文名稱(chēng)為L(zhǎng)oad Balance，其含義就是指將負(fù)載(工作任務(wù))進(jìn)行平衡、分?jǐn)偟蕉鄠€(gè)操作單元上進(jìn)行運(yùn)行，例如FTP服務(wù)器、Web服務(wù)器、企業(yè)核心應(yīng)用服務(wù)器和其它主要任務(wù)服務(wù)器等，從而協(xié)同完成工作任務(wù)。

　　負(fù)載均衡構(gòu)建在原有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種透明且廉價(jià)有效的方法擴(kuò)展服務(wù)器和網(wǎng)絡(luò)設(shè)備的帶寬、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、增加吞吐量、提高網(wǎng)絡(luò)的可用性和靈活性。

　　包括軟/硬件負(fù)載均衡和本地/全局負(fù)載均衡兩大類(lèi)。

　　3、上網(wǎng)行為管理：指幫助互聯(lián)網(wǎng)用戶(hù)控制和管理對(duì)互聯(lián)網(wǎng)的使用。其包括對(duì)網(wǎng)頁(yè)訪問(wèn)過(guò)濾、上網(wǎng)隱私保護(hù)、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計(jì)、用戶(hù)行為分析等。隨著計(jì)算機(jī)、寬帶技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)辦公日益流行，互聯(lián)網(wǎng)已經(jīng)成為人們工作、生活、學(xué)習(xí)過(guò)程中不可或缺、便捷高效的工具。但是，在享受著電腦辦公和互聯(lián)網(wǎng)帶來(lái)的便捷同時(shí)，員工非工作上網(wǎng)現(xiàn)象越來(lái)越突出，企業(yè)普遍存在著電腦和互聯(lián)網(wǎng)絡(luò)濫用的嚴(yán)重問(wèn)題。網(wǎng)上購(gòu)物、在線(xiàn)聊天、在線(xiàn)欣賞音樂(lè)和電影、P2P工具下載等與工作無(wú)關(guān)的行為占用了有限的帶寬，嚴(yán)重影響了正常的工作效率。

　　上網(wǎng)行為管理產(chǎn)品及技術(shù)是專(zhuān)用于防止非法信息惡意傳播，避免國(guó)家機(jī)密、商業(yè)信息、科研成果泄漏的產(chǎn)品;并可實(shí)時(shí)監(jiān)控、管理網(wǎng)絡(luò)資源使用情況，提高整體工作效率。上網(wǎng)行為管理產(chǎn)品系列適用于需實(shí)施內(nèi)容審計(jì)與行為監(jiān)控、行為管理的網(wǎng)絡(luò)環(huán)境，尤其是按等級(jí)進(jìn)行計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的相關(guān)單位或部門(mén)。

　　早期的上網(wǎng)行為管理產(chǎn)品幾乎都可以化身為URL過(guò)濾器，用戶(hù)所有訪問(wèn)的網(wǎng)頁(yè)地址都會(huì)被系統(tǒng)監(jiān)控、追蹤及記錄，如果是設(shè)定為合法地址的訪問(wèn)則不做限制，如果是非法地址則會(huì)被禁止或發(fā)出警告，而且每一次對(duì)訪問(wèn)行為的監(jiān)控都是具體到每一個(gè)人的。這也就在一定程度上成為黑白名單的一種限定。此外，針對(duì)郵件收發(fā)行為的監(jiān)控也一如URL過(guò)濾，成為了一種常規(guī)性的上網(wǎng)行為管理功能。

　　4、等保一體機(jī)：幫助用戶(hù)順利通過(guò)等級(jí)保護(hù)測(cè)評(píng)，從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全等多個(gè)層面進(jìn)行體系化等保建設(shè)，提高安全運(yùn)維效率。同時(shí)，通過(guò)等保一體機(jī)提供的定制化安全增值服務(wù)，實(shí)現(xiàn)全網(wǎng)動(dòng)態(tài)監(jiān)測(cè)、精確感知、主動(dòng)防護(hù)。在一臺(tái)硬件設(shè)備上即可提供下一代防火墻、數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制、WEB應(yīng)用防火墻、堡壘機(jī)、VPN、入侵檢測(cè)與防御等各類(lèi)等級(jí)保護(hù)建設(shè)所需要的安全組件。在滿(mǎn)足合規(guī)要求的同時(shí)，讓用戶(hù)的等級(jí)保護(hù)建設(shè)可信可控、簡(jiǎn)單高效。

　　5、IPS：入侵防御系統(tǒng)(IPS: Intrusion Prevention System)是電腦網(wǎng)絡(luò)安全設(shè)施，是對(duì)防病毒軟件(Antivirus Programs)和防火墻(Packet Filter, Application Gateway)的補(bǔ)充。入侵防御系統(tǒng)(Intrusion-prevention system)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備，能夠及時(shí)的中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。在ISO/OSI網(wǎng)絡(luò)層次模型中，防火墻主要在第二到第四層起作用，它的作用在第四到第七層一般很微弱。而除病毒軟件主要在第五到第七層起作用。為了彌補(bǔ)防火墻和除病毒軟件二者在第四到第五層之間留下的空檔，幾年前，工業(yè)界已經(jīng)有入侵偵查系統(tǒng)(IDS: Intrusion Detection System)投入使用。入侵偵查系統(tǒng)在發(fā)現(xiàn)異常情況后及時(shí)向網(wǎng)絡(luò)安全管理人員或防火墻系統(tǒng)發(fā)出警報(bào)?？上н@時(shí)災(zāi)害往往已經(jīng)形成。雖然，亡羊補(bǔ)牢，尤未為晚，但是，防衛(wèi)機(jī)制最好應(yīng)該是在危害形成之前先期起作用。隨后應(yīng)運(yùn)而生的入侵響應(yīng)系統(tǒng)(IRS: Intrusion Response Systems) 作為對(duì)入侵偵查系統(tǒng)的補(bǔ)充能夠在發(fā)現(xiàn)入侵時(shí)，迅速作出反應(yīng)，并自動(dòng)采取阻止措施。而入侵預(yù)防系統(tǒng)則作為二者的進(jìn)一步發(fā)展，汲取了二者的長(zhǎng)處。

　　6、IDS：入侵檢測(cè)系統(tǒng)(intrusion detection system，簡(jiǎn)稱(chēng)“IDS”)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行、即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。不同于防火墻，IDS入侵檢測(cè)系統(tǒng)是一個(gè)監(jiān)聽(tīng)設(shè)備，沒(méi)有跨接在任何鏈路上，無(wú)須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對(duì)IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里，"所關(guān)注流量"指的是來(lái)自高危網(wǎng)絡(luò)區(qū)域的訪問(wèn)流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報(bào)文。在如今的網(wǎng)絡(luò)拓?fù)渲?，已?jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級(jí)到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護(hù)資源的位置。這些位置通常是：服務(wù)器區(qū)域的交換機(jī)上;Internet接入路由器之后的第一臺(tái)交換機(jī)上;重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。

　　7、WAF：Web應(yīng)用防護(hù)系統(tǒng)(也稱(chēng)為：網(wǎng)站應(yīng)用級(jí)入侵防御系統(tǒng)。英文：Web Application Firewall，簡(jiǎn)稱(chēng)： WAF)。利用國(guó)際上公認(rèn)的一種說(shuō)法：Web應(yīng)用防火墻是通過(guò)執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來(lái)專(zhuān)門(mén)為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。當(dāng)WEB應(yīng)用越來(lái)越為豐富的同時(shí)，WEB 服務(wù)器以其強(qiáng)大的計(jì)算能力、處理性能及蘊(yùn)含的較高價(jià)值逐漸成為主要攻擊目標(biāo)。SQL注入、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬等安全事件，頻繁發(fā)生。2007年，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心監(jiān)測(cè)到中國(guó)大陸被篡改網(wǎng)站總數(shù)累積達(dá)61228個(gè)，比2006年增加了1.5倍。其中，中國(guó)大陸政府網(wǎng)站被篡改各月累計(jì)達(dá)4234個(gè)。企業(yè)等用戶(hù)一般采用防火墻作為安全保障體系的第一道防線(xiàn)。但是在現(xiàn)實(shí)中，Web服務(wù)器和應(yīng)用存在各種各樣的安全問(wèn)題，并隨著黑客技術(shù)的進(jìn)步也變得更加難以預(yù)防，因?yàn)檫@些問(wèn)題是普通防火墻難以檢測(cè)和阻斷的，由此產(chǎn)生了WAF(Web應(yīng)用防護(hù)系統(tǒng))。Web應(yīng)用防護(hù)系統(tǒng)(Web Application Firewall, 簡(jiǎn)稱(chēng)：WAF)代表了一類(lèi)新興的信息安全技術(shù)，用以解決諸如防火墻一類(lèi)傳統(tǒng)設(shè)備束手無(wú)策的Web應(yīng)用安全問(wèn)題。與傳統(tǒng)防火墻不同，WAF工作在應(yīng)用層，因此對(duì)Web應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢(shì)?；趯?duì)Web應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF對(duì)來(lái)自Web應(yīng)用程序客戶(hù)端的各類(lèi)請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證，確保其安全性與合法性，對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷，從而對(duì)各類(lèi)網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。

　　8、網(wǎng)閘：網(wǎng)閘是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)讀寫(xiě)介質(zhì)，連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于兩個(gè)獨(dú)立的主機(jī)系統(tǒng)通過(guò)網(wǎng)閘進(jìn)行隔離，使系統(tǒng)間不存在通信的物理連接、邏輯連接及信息傳輸協(xié)議，不存在依據(jù)協(xié)議進(jìn)行的信息交換，而只有以數(shù)據(jù)文件形式進(jìn)行的無(wú)協(xié)議擺渡。因此，網(wǎng)閘從物理上隔離、阻斷了對(duì)內(nèi)網(wǎng)具有潛在攻擊可能的一切網(wǎng)絡(luò)連接，使外部攻擊者無(wú)法直接入侵、攻擊或破壞內(nèi)網(wǎng)，保障了內(nèi)部主機(jī)的安全。網(wǎng)閘就是要解決目前網(wǎng)絡(luò)安全存在的下述問(wèn)題。

　　(1)對(duì)操作系統(tǒng)的依賴(lài)，因?yàn)椴僮飨到y(tǒng)也有漏洞;

　　(2)對(duì)TCP/IP協(xié)議的依賴(lài)，而TCP/IP協(xié)議有漏洞;

　　(3)解決通信連接的問(wèn)題，內(nèi)網(wǎng)和外網(wǎng)直接連接，存在基于通信的攻擊;

　　(4)應(yīng)用協(xié)議的漏洞，如非法的命令和指令等。

　　網(wǎng)閘的指導(dǎo)思想與防火墻有下述很大的不同。

　　(1)防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全;

　　(2)網(wǎng)閘的思路是在保證必須安全的前提下，盡可能互聯(lián)互通，如果不安全則隔離斷開(kāi)。

　　9、日志審計(jì)系統(tǒng)：日志審計(jì)系統(tǒng)是用于全面收集企業(yè)IT系統(tǒng)中常見(jiàn)的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)、服務(wù)器、應(yīng)用系統(tǒng)、主機(jī)等設(shè)備所產(chǎn)生的日志(包括運(yùn)行、告警、操作、消息、狀態(tài)等)并進(jìn)行存儲(chǔ)、監(jiān)控、審計(jì)、分析、報(bào)警、響應(yīng)和報(bào)告的系統(tǒng)。國(guó)家的政策法規(guī)、行業(yè)標(biāo)準(zhǔn)等都明確對(duì)日志審計(jì)提出了要求，日志審計(jì)已成為企業(yè)滿(mǎn)足合規(guī)內(nèi)控要求所必須的一項(xiàng)基本要求。 2017年6月1日起施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》中規(guī)定：采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。

　　《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB∕T 22239-2019)中規(guī)定：二到四級(jí)需要對(duì)網(wǎng)絡(luò)、主機(jī)、應(yīng)用安全三部分進(jìn)行日志審計(jì)，留存日志需符合法律法規(guī)規(guī)定。

　　滿(mǎn)足系統(tǒng)安全管理需求

　　當(dāng)前信息安全形勢(shì)日益嚴(yán)峻，信息安全防護(hù)工作面臨前所未有的困難和挑戰(zhàn)。日志審計(jì)能夠幫助用戶(hù)更好監(jiān)控和保障信息系統(tǒng)運(yùn)行，及時(shí)識(shí)別針對(duì)信息系統(tǒng)的入侵攻擊、內(nèi)部違規(guī)等信息，同時(shí)日志審計(jì)能夠?yàn)榘踩录氖潞蠓治?、調(diào)查取證提供必要的信息。

　　10、網(wǎng)絡(luò)準(zhǔn)入：基于在NACC、802.1x、EOU、WebAuth、MAB、IAB的基礎(chǔ)上進(jìn)行自主研發(fā)的一門(mén)新興技術(shù)。其宗旨是防止病毒和蠕蟲(chóng)等新興黑客技術(shù)對(duì)企業(yè)安全造成危害，為企業(yè)建設(shè)一套網(wǎng)絡(luò)安全體系。

　　1.用戶(hù)身份認(rèn)證

　　從接入層對(duì)訪問(wèn)的用戶(hù)進(jìn)行最小授權(quán)控制，根據(jù)用戶(hù)身份嚴(yán)格控制用戶(hù)對(duì)內(nèi)部網(wǎng)絡(luò)訪問(wèn)范圍，確保企業(yè)內(nèi)網(wǎng)資源安全。

　　2.終端完整性檢查

　　通過(guò)身份認(rèn)證的用戶(hù)還必須通過(guò)終端完整性檢查，查看連入系統(tǒng)的補(bǔ)丁、防病毒等功能是否已及時(shí)升級(jí)，是否具有潛在安全隱患。

　　3.終端安全隔離與修補(bǔ)

　　對(duì)通過(guò)身份認(rèn)證但不滿(mǎn)足安全檢查的終端不予以網(wǎng)絡(luò)接入，并強(qiáng)制引導(dǎo)移至隔離修復(fù)區(qū)，提示用戶(hù)安裝有關(guān)補(bǔ)丁、殺毒軟件、配置操作系統(tǒng)有關(guān)安全設(shè)置等。

　　4.非法終端網(wǎng)絡(luò)阻斷

　　能及時(shí)發(fā)現(xiàn)并阻止未授權(quán)終端對(duì)內(nèi)網(wǎng)資源的訪問(wèn)，降低非法終端對(duì)內(nèi)網(wǎng)進(jìn)行攻擊、竊密等安全威脅，從而確保內(nèi)部網(wǎng)絡(luò)的安全。

　　5.接入強(qiáng)制技術(shù)

　　支持幾乎所有的網(wǎng)絡(luò)接入強(qiáng)制技術(shù)，如： 802.1X、DNS代理、防火墻、CISCO EOU、H3C Portal、VPN等，實(shí)現(xiàn)從網(wǎng)絡(luò)層到系統(tǒng)層接入的全面、深度控制，有效拒絕未知設(shè)備接入。

　　11、態(tài)勢(shì)感知：態(tài)勢(shì)感知是一種基于環(huán)境的、動(dòng)態(tài)、整體地洞悉安全風(fēng)險(xiǎn)的能力，是以安全大數(shù)據(jù)為基礎(chǔ)，從全局視角提升對(duì)安全威脅的發(fā)現(xiàn)識(shí)別、理解分析、響應(yīng)處置能力的一種方式，最終是為了決策與行動(dòng)，是安全能力的落地。覆蓋感知、理解和預(yù)測(cè)三個(gè)層次。并隨著網(wǎng)絡(luò)的興起而升級(jí)為“網(wǎng)絡(luò)態(tài)勢(shì)感知(Cyberspace Situation Awareness，CSA)”。旨在大規(guī)模網(wǎng)絡(luò)環(huán)境中對(duì)能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及最近發(fā)展趨勢(shì)的順延性預(yù)測(cè)，進(jìn)而進(jìn)行決策與行動(dòng)?，F(xiàn)階段面對(duì)傳統(tǒng)安全防御體系失效的風(fēng)險(xiǎn)，態(tài)勢(shì)感知能夠全面感知網(wǎng)絡(luò)安全威脅態(tài)勢(shì)、洞悉網(wǎng)絡(luò)及應(yīng)用運(yùn)行健康狀態(tài)、通過(guò)全流量分析技術(shù)實(shí)現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證，幫助安全人員采取針對(duì)性響應(yīng)處置措施。

　　所以態(tài)勢(shì)感知系統(tǒng)應(yīng)該具備網(wǎng)絡(luò)空間安全持續(xù)監(jiān)控能力，能夠及時(shí)發(fā)現(xiàn)各種攻擊威脅與異常;具備威脅調(diào)查分析及可視化能力，可以對(duì)威脅相關(guān)的影響范圍、攻擊路徑、目的、手段進(jìn)行快速判別，從而支撐有效的安全決策和響應(yīng);能夠建立安全預(yù)警機(jī)制，來(lái)完善風(fēng)險(xiǎn)控制、應(yīng)急響應(yīng)和整體安全防護(hù)的水平。

未找到相應(yīng)參數(shù)組，請(qǐng)于后臺(tái)屬性模板中添加

上一個(gè)

數(shù)據(jù)安全板塊

下一個(gè)

無(wú)