網(wǎng)絡(luò)安全板塊

下一代防火墻：下一代防火墻，即Next Generation Firewall，簡稱NG Firewall，是一款可以全面應(yīng)對應(yīng)用層威脅的高性能防火墻。通過深入洞察網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容，并借助全新的高性能單路徑異構(gòu)并行處理引擎，NGFW能夠為用戶提供有效的應(yīng)用層一體化安全防護(hù)，幫助用戶安全地開展業(yè)務(wù)并簡化用戶的網(wǎng)絡(luò)安全架構(gòu)。

產(chǎn)品描述

　　網(wǎng)絡(luò)安全：

　　1、下一代防火墻：下一代防火墻，即Next Generation Firewall，簡稱NG Firewall，是一款可以全面應(yīng)對應(yīng)用層威脅的高性能防火墻。通過深入洞察網(wǎng)絡(luò)流量中的用戶、應(yīng)用和內(nèi)容，并借助全新的高性能單路徑異構(gòu)并行處理引擎，NGFW能夠為用戶提供有效的應(yīng)用層一體化安全防護(hù)，幫助用戶安全地開展業(yè)務(wù)并簡化用戶的網(wǎng)絡(luò)安全架構(gòu)。2009年，著名咨詢機構(gòu)Gartner介紹為應(yīng)對當(dāng)前與未來新一代的網(wǎng)絡(luò)安全威脅認(rèn)為防火墻必需要再一次升級為“下一代防火墻”。第一代防火墻已基本無法探測到利用僵尸網(wǎng)絡(luò)作為傳輸方法的威脅。由于采用的是基于服務(wù)的架構(gòu)與Web2.0使用的普及，更多的通訊量都只是通過少數(shù)幾個端口及采用有限的幾個協(xié)議進(jìn)行，這也就意味著基于端口/協(xié)議類安全策略的關(guān)聯(lián)性與效率都越來越低。深層數(shù)據(jù)包檢查入侵防御系統(tǒng)(IPS)可根據(jù)已知攻擊對操作系統(tǒng)與漏失部署補丁的軟件進(jìn)行檢查，但卻不能有效的識別與阻止應(yīng)用程序的濫用，更不用說對于應(yīng)用程序中的具體特性的保護(hù)了。

　　Gartner將網(wǎng)絡(luò)防火墻定義為在線安全控制措施，即：可實時在各受信級網(wǎng)絡(luò)間執(zhí)行網(wǎng)絡(luò)安全策略。Gartner使用“下一代防火墻”這一術(shù)語來說明升級防火墻的必要性，以應(yīng)對業(yè)務(wù)程序使用IT的方法以及針對業(yè)務(wù)系統(tǒng)所發(fā)起的攻擊方法所發(fā)生的改變。

　　2、負(fù)載均衡：負(fù)載均衡，英文名稱為Load Balance，其含義就是指將負(fù)載(工作任務(wù))進(jìn)行平衡、分?jǐn)偟蕉鄠€操作單元上進(jìn)行運行，例如FTP服務(wù)器、Web服務(wù)器、企業(yè)核心應(yīng)用服務(wù)器和其它主要任務(wù)服務(wù)器等，從而協(xié)同完成工作任務(wù)。

　　負(fù)載均衡構(gòu)建在原有網(wǎng)絡(luò)結(jié)構(gòu)之上，它提供了一種透明且廉價有效的方法擴展服務(wù)器和網(wǎng)絡(luò)設(shè)備的帶寬、加強網(wǎng)絡(luò)數(shù)據(jù)處理能力、增加吞吐量、提高網(wǎng)絡(luò)的可用性和靈活性。

　　包括軟/硬件負(fù)載均衡和本地/全局負(fù)載均衡兩大類。

　　3、上網(wǎng)行為管理：指幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)的使用。其包括對網(wǎng)頁訪問過濾、上網(wǎng)隱私保護(hù)、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析等。隨著計算機、寬帶技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)辦公日益流行，互聯(lián)網(wǎng)已經(jīng)成為人們工作、生活、學(xué)習(xí)過程中不可或缺、便捷高效的工具。但是，在享受著電腦辦公和互聯(lián)網(wǎng)帶來的便捷同時，員工非工作上網(wǎng)現(xiàn)象越來越突出，企業(yè)普遍存在著電腦和互聯(lián)網(wǎng)絡(luò)濫用的嚴(yán)重問題。網(wǎng)上購物、在線聊天、在線欣賞音樂和電影、P2P工具下載等與工作無關(guān)的行為占用了有限的帶寬，嚴(yán)重影響了正常的工作效率。

　　上網(wǎng)行為管理產(chǎn)品及技術(shù)是專用于防止非法信息惡意傳播，避免國家機密、商業(yè)信息、科研成果泄漏的產(chǎn)品;并可實時監(jiān)控、管理網(wǎng)絡(luò)資源使用情況，提高整體工作效率。上網(wǎng)行為管理產(chǎn)品系列適用于需實施內(nèi)容審計與行為監(jiān)控、行為管理的網(wǎng)絡(luò)環(huán)境，尤其是按等級進(jìn)行計算機信息系統(tǒng)安全保護(hù)的相關(guān)單位或部門。

　　早期的上網(wǎng)行為管理產(chǎn)品幾乎都可以化身為URL過濾器，用戶所有訪問的網(wǎng)頁地址都會被系統(tǒng)監(jiān)控、追蹤及記錄，如果是設(shè)定為合法地址的訪問則不做限制，如果是非法地址則會被禁止或發(fā)出警告，而且每一次對訪問行為的監(jiān)控都是具體到每一個人的。這也就在一定程度上成為黑白名單的一種限定。此外，針對郵件收發(fā)行為的監(jiān)控也一如URL過濾，成為了一種常規(guī)性的上網(wǎng)行為管理功能。

　　4、等保一體機：幫助用戶順利通過等級保護(hù)測評，從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全等多個層面進(jìn)行體系化等保建設(shè)，提高安全運維效率。同時，通過等保一體機提供的定制化安全增值服務(wù)，實現(xiàn)全網(wǎng)動態(tài)監(jiān)測、精確感知、主動防護(hù)。在一臺硬件設(shè)備上即可提供下一代防火墻、數(shù)據(jù)庫審計與風(fēng)險控制、WEB應(yīng)用防火墻、堡壘機、VPN、入侵檢測與防御等各類等級保護(hù)建設(shè)所需要的安全組件。在滿足合規(guī)要求的同時，讓用戶的等級保護(hù)建設(shè)可信可控、簡單高效。

　　5、IPS：入侵防御系統(tǒng)(IPS: Intrusion Prevention System)是電腦網(wǎng)絡(luò)安全設(shè)施，是對防病毒軟件(Antivirus Programs)和防火墻(Packet Filter, Application Gateway)的補充。入侵防御系統(tǒng)(Intrusion-prevention system)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計算機網(wǎng)絡(luò)安全設(shè)備，能夠及時的中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。在ISO/OSI網(wǎng)絡(luò)層次模型中，防火墻主要在第二到第四層起作用，它的作用在第四到第七層一般很微弱。而除病毒軟件主要在第五到第七層起作用。為了彌補防火墻和除病毒軟件二者在第四到第五層之間留下的空檔，幾年前，工業(yè)界已經(jīng)有入侵偵查系統(tǒng)(IDS: Intrusion Detection System)投入使用。入侵偵查系統(tǒng)在發(fā)現(xiàn)異常情況后及時向網(wǎng)絡(luò)安全管理人員或防火墻系統(tǒng)發(fā)出警報?？上н@時災(zāi)害往往已經(jīng)形成。雖然，亡羊補牢，尤未為晚，但是，防衛(wèi)機制最好應(yīng)該是在危害形成之前先期起作用。隨后應(yīng)運而生的入侵響應(yīng)系統(tǒng)(IRS: Intrusion Response Systems) 作為對入侵偵查系統(tǒng)的補充能夠在發(fā)現(xiàn)入侵時，迅速作出反應(yīng)，并自動采取阻止措施。而入侵預(yù)防系統(tǒng)則作為二者的進(jìn)一步發(fā)展，汲取了二者的長處。

　　6、IDS：入侵檢測系統(tǒng)(intrusion detection system，簡稱“IDS”)是一種對網(wǎng)絡(luò)傳輸進(jìn)行、即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動的安全防護(hù)技術(shù)。不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里，"所關(guān)注流量"指的是來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進(jìn)行統(tǒng)計、監(jiān)視的網(wǎng)絡(luò)報文。在如今的網(wǎng)絡(luò)拓?fù)渲校呀?jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護(hù)資源的位置。這些位置通常是：服務(wù)器區(qū)域的交換機上;Internet接入路由器之后的第一臺交換機上;重點保護(hù)網(wǎng)段的局域網(wǎng)交換機上。

　　7、WAF：Web應(yīng)用防護(hù)系統(tǒng)(也稱為：網(wǎng)站應(yīng)用級入侵防御系統(tǒng)。英文：Web Application Firewall，簡稱： WAF)。利用國際上公認(rèn)的一種說法：Web應(yīng)用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應(yīng)用提供保護(hù)的一款產(chǎn)品。當(dāng)WEB應(yīng)用越來越為豐富的同時，WEB 服務(wù)器以其強大的計算能力、處理性能及蘊含的較高價值逐漸成為主要攻擊目標(biāo)。SQL注入、網(wǎng)頁篡改、網(wǎng)頁掛馬等安全事件，頻繁發(fā)生。2007年，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心監(jiān)測到中國大陸被篡改網(wǎng)站總數(shù)累積達(dá)61228個，比2006年增加了1.5倍。其中，中國大陸政府網(wǎng)站被篡改各月累計達(dá)4234個。企業(yè)等用戶一般采用防火墻作為安全保障體系的第一道防線。但是在現(xiàn)實中，Web服務(wù)器和應(yīng)用存在各種各樣的安全問題，并隨著黑客技術(shù)的進(jìn)步也變得更加難以預(yù)防，因為這些問題是普通防火墻難以檢測和阻斷的，由此產(chǎn)生了WAF(Web應(yīng)用防護(hù)系統(tǒng))。Web應(yīng)用防護(hù)系統(tǒng)(Web Application Firewall, 簡稱：WAF)代表了一類新興的信息安全技術(shù)，用以解決諸如防火墻一類傳統(tǒng)設(shè)備束手無策的Web應(yīng)用安全問題。與傳統(tǒng)防火墻不同，WAF工作在應(yīng)用層，因此對Web應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢。基于對Web應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF對來自Web應(yīng)用程序客戶端的各類請求進(jìn)行內(nèi)容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類網(wǎng)站站點進(jìn)行有效防護(hù)。

　　8、網(wǎng)閘：網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)，連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。由于兩個獨立的主機系統(tǒng)通過網(wǎng)閘進(jìn)行隔離，使系統(tǒng)間不存在通信的物理連接、邏輯連接及信息傳輸協(xié)議，不存在依據(jù)協(xié)議進(jìn)行的信息交換，而只有以數(shù)據(jù)文件形式進(jìn)行的無協(xié)議擺渡。因此，網(wǎng)閘從物理上隔離、阻斷了對內(nèi)網(wǎng)具有潛在攻擊可能的一切網(wǎng)絡(luò)連接，使外部攻擊者無法直接入侵、攻擊或破壞內(nèi)網(wǎng)，保障了內(nèi)部主機的安全。網(wǎng)閘就是要解決目前網(wǎng)絡(luò)安全存在的下述問題。

　　(1)對操作系統(tǒng)的依賴，因為操作系統(tǒng)也有漏洞;

　　(2)對TCP/IP協(xié)議的依賴，而TCP/IP協(xié)議有漏洞;

　　(3)解決通信連接的問題，內(nèi)網(wǎng)和外網(wǎng)直接連接，存在基于通信的攻擊;

　　(4)應(yīng)用協(xié)議的漏洞，如非法的命令和指令等。

　　網(wǎng)閘的指導(dǎo)思想與防火墻有下述很大的不同。

　　(1)防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全;

　　(2)網(wǎng)閘的思路是在保證必須安全的前提下，盡可能互聯(lián)互通，如果不安全則隔離斷開。

　　9、日志審計系統(tǒng)：日志審計系統(tǒng)是用于全面收集企業(yè)IT系統(tǒng)中常見的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、服務(wù)器、應(yīng)用系統(tǒng)、主機等設(shè)備所產(chǎn)生的日志(包括運行、告警、操作、消息、狀態(tài)等)并進(jìn)行存儲、監(jiān)控、審計、分析、報警、響應(yīng)和報告的系統(tǒng)。國家的政策法規(guī)、行業(yè)標(biāo)準(zhǔn)等都明確對日志審計提出了要求，日志審計已成為企業(yè)滿足合規(guī)內(nèi)控要求所必須的一項基本要求。 2017年6月1日起施行的《中華人民共和國網(wǎng)絡(luò)安全法》中規(guī)定：采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月。

　　《網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB∕T 22239-2019)中規(guī)定：二到四級需要對網(wǎng)絡(luò)、主機、應(yīng)用安全三部分進(jìn)行日志審計，留存日志需符合法律法規(guī)規(guī)定。

　　滿足系統(tǒng)安全管理需求

　　當(dāng)前信息安全形勢日益嚴(yán)峻，信息安全防護(hù)工作面臨前所未有的困難和挑戰(zhàn)。日志審計能夠幫助用戶更好監(jiān)控和保障信息系統(tǒng)運行，及時識別針對信息系統(tǒng)的入侵攻擊、內(nèi)部違規(guī)等信息，同時日志審計能夠為安全事件的事后分析、調(diào)查取證提供必要的信息。

　　10、網(wǎng)絡(luò)準(zhǔn)入：基于在NACC、802.1x、EOU、WebAuth、MAB、IAB的基礎(chǔ)上進(jìn)行自主研發(fā)的一門新興技術(shù)。其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成危害，為企業(yè)建設(shè)一套網(wǎng)絡(luò)安全體系。

　　1.用戶身份認(rèn)證

　　從接入層對訪問的用戶進(jìn)行最小授權(quán)控制，根據(jù)用戶身份嚴(yán)格控制用戶對內(nèi)部網(wǎng)絡(luò)訪問范圍，確保企業(yè)內(nèi)網(wǎng)資源安全。

　　2.終端完整性檢查

　　通過身份認(rèn)證的用戶還必須通過終端完整性檢查，查看連入系統(tǒng)的補丁、防病毒等功能是否已及時升級，是否具有潛在安全隱患。

　　3.終端安全隔離與修補

　　對通過身份認(rèn)證但不滿足安全檢查的終端不予以網(wǎng)絡(luò)接入，并強制引導(dǎo)移至隔離修復(fù)區(qū)，提示用戶安裝有關(guān)補丁、殺毒軟件、配置操作系統(tǒng)有關(guān)安全設(shè)置等。

　　4.非法終端網(wǎng)絡(luò)阻斷

　　能及時發(fā)現(xiàn)并阻止未授權(quán)終端對內(nèi)網(wǎng)資源的訪問，降低非法終端對內(nèi)網(wǎng)進(jìn)行攻擊、竊密等安全威脅，從而確保內(nèi)部網(wǎng)絡(luò)的安全。

　　5.接入強制技術(shù)

　　支持幾乎所有的網(wǎng)絡(luò)接入強制技術(shù)，如： 802.1X、DNS代理、防火墻、CISCO EOU、H3C Portal、VPN等，實現(xiàn)從網(wǎng)絡(luò)層到系統(tǒng)層接入的全面、深度控制，有效拒絕未知設(shè)備接入。

　　11、態(tài)勢感知：態(tài)勢感知是一種基于環(huán)境的、動態(tài)、整體地洞悉安全風(fēng)險的能力，是以安全大數(shù)據(jù)為基礎(chǔ)，從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應(yīng)處置能力的一種方式，最終是為了決策與行動，是安全能力的落地。覆蓋感知、理解和預(yù)測三個層次。并隨著網(wǎng)絡(luò)的興起而升級為“網(wǎng)絡(luò)態(tài)勢感知(Cyberspace Situation Awareness，CSA)”。旨在大規(guī)模網(wǎng)絡(luò)環(huán)境中對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進(jìn)行獲取、理解、顯示以及最近發(fā)展趨勢的順延性預(yù)測，進(jìn)而進(jìn)行決策與行動?，F(xiàn)階段面對傳統(tǒng)安全防御體系失效的風(fēng)險，態(tài)勢感知能夠全面感知網(wǎng)絡(luò)安全威脅態(tài)勢、洞悉網(wǎng)絡(luò)及應(yīng)用運行健康狀態(tài)、通過全流量分析技術(shù)實現(xiàn)完整的網(wǎng)絡(luò)攻擊溯源取證，幫助安全人員采取針對性響應(yīng)處置措施。

　　所以態(tài)勢感知系統(tǒng)應(yīng)該具備網(wǎng)絡(luò)空間安全持續(xù)監(jiān)控能力，能夠及時發(fā)現(xiàn)各種攻擊威脅與異常;具備威脅調(diào)查分析及可視化能力，可以對威脅相關(guān)的影響范圍、攻擊路徑、目的、手段進(jìn)行快速判別，從而支撐有效的安全決策和響應(yīng);能夠建立安全預(yù)警機制，來完善風(fēng)險控制、應(yīng)急響應(yīng)和整體安全防護(hù)的水平。

未找到相應(yīng)參數(shù)組，請于后臺屬性模板中添加

上一個

數(shù)據(jù)安全板塊

下一個

無