下一代防火墙与传统防火墙、UTM的差别

伴随网络攻击的日渐猖獗,企业面临着如何提升自身安全防护的重要问题,因此部署什么样的防火墙产品就成为企业决策者们需要把控的关键。那么对于传统防火墙、下一代防火墙来说,企业该选择谁呢? 下一代防火墙与传统防火墙、UTM的差别 防火墙(Firewall),也称防护墙,一般是指一种位于内部网络与外部网络之间的网络安全系统。设置防火墙目的是为了在内部网与外部网之间设立唯一通道,简化网络安全管理,防止不合法的访问。 传统防火墙具有数据包过滤、网络地址转换(NAT)、协议状态检查以及VPN功能等功能,但传统防火墙采用端口和IP协议进行控制的固有缺陷明显已经落伍,对于利用僵尸网络作为传输方法的威胁,基本无法探测到。 UTM(统一威胁管理,Unified Threat Management的缩写)是由传统的防火墙观念进化而成,它将多种安全功能都整合在单一的产品之上,其中包括了网络防火墙,防止网络入侵(IDS),防毒网关(gateway antivirus,AV),反垃圾信件网关(gateway anti-spam),虚拟私人网络(VPN),内容过滤(content filtering),负载平衡,防止资料外泄,以及设备报告等。 不过,UTM只是将防火墙、IPS、AV进行简单的功能堆砌,其致命缺陷就是采用串行扫描方式,包括吞吐量问题。特别是在较大的网络中,在功能全部开放时的处理效率非常低下。 因此,传统防火墙和UTM在应对网络新威胁面前,性能越发捉襟见肘,无法满足企业用户的安全需求。而在网络攻击多样化、复合化趋势明显的今天,NGFW(Next generation firewall)即下一代防火墙应运而生。 下一代防火墙(Next-Generation Firewall,缩写为NGFW)是一款可以全面应对应用层威胁的高性能防火墙。它是一种融合式网络设备平台,可将多种安全功能整合其上。除了传统的防火墙功能之外,还包括线上深度封包检测(DPI),入侵预防系统(IPS),应用层侦测与控制,SSL/SSH检测,网站过滤,以及QoS/带宽管理等功能,使得这个系统能够应对复杂而高级的网络攻击行为。 NGFW不仅具备传统防火墙的功能,还具备应对综合威胁的发现能力、阻断能力,而且并不是简单的功能堆砌和性能叠加,而是从全局视角,帮助用户解决网络面临的实际问题。因此在今天备受重视网络安全的企业关注。 引用链接:http://safe.zol.com.cn/605/6058729.html

Continue Reading →

防PING与网闸原理

一、防Ping 防PING,为了保证机器在网络中的安全,现在很多人都非常重视“防Ping”,当然“防Ping”的方法和手段也非常多,如利用IPSec安全策略、Windows内置的防火墙、第三方防火墙工具、路由和远程访问组件等。 概述 众所周知,Ping命令是一个非常有用的网络命令,大家常用它来测试网络连通情况。但同时它也是把“双刃剑”,特别是在网络高速发展的今天,一些“不怀好意”的人在互联网中使用它来探测别人的机器,以此来达到不可告人的目的。为了保证机器在网络中的安全,现在很多人都非常重视“防Ping”,当然“防Ping”的方法和手段也非常多,如利用IPSec安全策略、Windows内置的防火墙、第三方防火墙工具、路由和远程访问组件等。 方法分类 一、IPSec安全策略“防Ping”, 使用IPSec安全策略“防Ping”,是大家常用的一种方法,经过对IPSec安全策略简单的几步配置,就可以实现防Ping的效果。该方法配置比较简单,并且IPSec安全策略是Windows系统内置的一个功能组件,不需要额外安装,因此得到不少用户的喜爱。但这里笔者还是要提醒大家,使用IPSec安全策略“防Ping”,还是要慎用。 为什么这么说呢?首先我们看看IPSec安全策略是如何“防Ping”的,其原理是通过新建一个IPSec策略来过滤掉本机所有的icmp数据包实现的。这样确实是可以有效的“防Ping”,但同时也会留下后遗症。 因为Ping命令和ICMP协议(Internet Control and Message Protocal)有着密切的关系,在ICMP协议的应用中包含有11种报文格式,其中Ping命令就是利用ICMP协议中的“Echo Request”报文进行工作的。但IPSec安全策略防Ping时采用格杀勿论的方法,把所有的ICMP报文全部过滤掉,特别是很多有用的其它格式的报文也同时被过滤掉了。因此在某些有特殊应用的局域网环境中,容易出现数据包丢失的现象,影响用户正常办公,因此笔者建议大家还是要慎用IPSec安全策略“防Ping”。 二、网闸 网闸(GAP)全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。 概述 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议”摆渡”,且对固态存储介质只有”读”和”写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使”黑客“无法入侵、无法攻击、无法破坏,实现了真正的安全。 安全隔离与信息交换系统,即网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。 第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air…

Continue Reading →

政务外网、政务专网、政务内网、互联网的区别

政务外网、政务专网、政务内网三网构成了电子政务网络平台。 政务外网 政府对外服务的业务专网,与国际互联网通过防火墙逻辑隔离,主要用于机关访问国际互联网。一般应用会部署在该网络环境下面。 政务专网 是党政机关的非涉密内部办公网,主要用于机关非涉密公文、信息的传递和业务流转,它与外网之间不是通过传统的防火墙来隔离,而是通过网闸,仅以数据“摆渡”方式交换信息(网闸的HTTP、FTP、SMTP等通用协议全部关闭或不提供这些协议支持),以便实现公共服务与内部业务流转。 比如:公安业务会部署在该网络环境下面。 政务内网 涉密的党政机关办公业务网络,与国际互联网物理隔离,在满足工作需求的前提下,覆盖范围尽可能少,对上与国家电子政务内网互联。 国际互联网 常说的公共网络环境。

Continue Reading →

组网、拓扑与网元

一、组网技术 (网络组建技术) 组网技术就是网络组建技术。计算机网络的类型有很多,根据不同的组网技术有不同的分类依据。 网络按交换技术可分为:线路交换网、分组交换网。 按传输技术可分为:广播网、非广播多路访问网、点到点网。 按拓朴结构可分为总线型、星型、环形、树形、全网状和部分网状网络。 按传输介质又可分有线网络和无线网络。有线网是指为同轴电缆、双绞线、光纤连成的网络。无线网是指采用一种电磁波作为载体来实现数据传输的网络类型。 以下主要讲网络分布规模来划分的网络:局域网、城域网和广域网。 局域网LAN(Local Area Network 将小区域内的各种通信设备互连在一起所形成的网络,覆盖范围一般局限在房间、大楼或园区内。局域网的特点是:距离短、延迟小、数据速率高、传输可靠。 常见的局域网类型包括:以太网(Ethernet)、令牌环网(TokenRing)、光纤分布式数据接口(FDDI)、异步传输模式(ATM)等,它们在拓朴结构、传输介质、传输速率、数据格式等多方面都有许多不同。 以太网是当前应用最普遍的局域网技术。以太网最早是由Xerox(施乐)公司创建的,在1980年由DEC、Intel和Xerox三家公司联合开发为一个标准。以太网是应用最为广泛的局域网,包括标准以太网(10Mbps)、快速以太网(100Mbps)、千兆以太网(1000 Mbps)和10G以太网,它们都符合IEEE802.3系列标准规范。 局域网的常用设备有: 网卡(NIC) 插在计算机主板插槽中,负责将用户要传递的数据转换为网络上其它设备能够识别的格式,通过网络介质传输。它的主要技术参数为带宽、总线方式、电气接口方式等。 集线器(Hub) 是单一总线共享式设备,提供很多网络接口,负责将网络中多个计算机连在一起。所谓共享是指集线器所有端口共用一条数据总线,因此平均每个用户(端口)传递的数据量、速率等受活动用户(端口)总数量的限制。它的主要性能参数有总带宽、端口数、智能程度(是否支持网络管理)、扩展性(可否级联和堆叠)等。…

Continue Reading →

ngrok本地系统映射到外网

一、概述 ngrok 是一个反向代理,通过在公共的端点和本地运行的 Web 服务器之间建立一个安全的通道。ngrok 可捕获和分析所有通道上的流量,便于后期分析和重放 二、作用 1、使用前 作为一个Web开发者,我们有时候会需要临时地将一个本地的Web网站部署到外网,以供他人体验评价或协助调试等等,通常我们会这么做: 找到一台运行于外网的Web服务器 服务器上有网站所需要的环境,否则自行搭建 将网站部署到服务器上 调试结束后,再将网站从服务器上删除 2、使用后 1. 首先注册并下载ngrok,得到一串授权码 2. 运行命令ngrok -authtoken 你的授权码…

Continue Reading →

ping,telnet,ssh,netstat命令介绍

1、ping ping命令工作在OSI参考模型的第三层:网络层。ping命令会发送一个数据包到目的主机,然后等待从目的主机接收回复数据包,当目的主机接收到这个数据包时,为源主机发送回复数据包,这个测试命令可以帮助网络管理者测试到达目的主机的网络是否连接。 ping只能判断主机之间是否连接,不能判断端口是否开放。用法: ping ip 2、telnet telnet是应用层协议,是Intenet远程登录服务的标准协议和主要形式。登录的账号密码与数据明文传输,不加密。window为了安全考虑,一般禁用此命令,需要自己安装的(控制面板-程序-打开或关闭window功能,勾选telnet服务器、客户端,确定安装即可)。 telnet可用来测试端口是否开放,用法如下: telnet IP:Port 3、ssh ssh是Secure Shell 的缩写,是建立在传输层基础上的安全协议,它本身属于应用层,同时可以为应用层提供安全传输服务。由于传输加密,数据同时经过压缩等好处,被广泛使用。SSH最初是UNIX系统上的一个程序,后来又迅速扩展到其他操作平台。有下面的几个工具推荐: SecureCRT : 收费的,要找破解版,貌似不太好弄;体验很好。 BvSSh:本人正在用,还不错,同时有sftp窗口打开。 Xshell:较为好用。 linux下,用ssh登录服务器,格式如下:…

Continue Reading →