做好企业网络安全如何从硬件上下功夫?

海外服务器 (609) 2015-11-26 14:24:19

    (1)防毒墙

     定义:相对于防火墙来说,一般都具有防火墙的功能,防御的对象更具有针对性,那就是病毒。

     功能:同防火墙,并增加病毒特征库,对数据进行与病毒特征库进行比对,进行查杀病毒。

     部署方式:同防火墙,大多数时候使用透明模式部署在防火墙或路由器后或部署在服务器之前,进行病毒防范与查杀。

    (2)防火墙(Firewall)

     定义:相信大家都知道防火墙是干什么用的,我觉得需要特别提醒一下,防火墙抵御的是外部的攻击,并不能对内部的病毒(如 ARP病毒)或攻击没什么太大作用。

     功能:防火墙的功能主要是两个网络之间做边界防护,企业中更多使用的是企业内网与互联网的NAT、包过滤规则、端口映射等功能。生产网与办公网中做逻辑隔离使用,主要功能是包过滤规则的使用。

     部署方式:网关模式、透明模式:
     网关模式是现在用的最多的模式,可以替代路由器并提供更多的功能,适用于各种类型企业
     透明部署是在不改变现有网络结构的情况下,将防火墙以透明网桥的模式串联到企业的网络中间,通过包过滤规则进行访问控制,做安全域的划分。 至于什么时候使用网关模式或者使用透明模式,需要根据自身需要决定,没有绝对的部署方式。需不需要将服务器部署在DMZ区,取决于服务器的数量、重要性。总之怎么部署都是用户自己的选择!我们给的只是建议

      高可用性:为了保证网络可靠性,现在设备都支持主-主、主-备,等各种部署。

    (3)入侵防御(IPS)    

      定义:相对于防火墙来说,一般都具有防火墙的功能,防御的对象更具有针对性,那就是攻击。防火墙是通过对五元组进行控制,达到包过滤的效果,而入侵防御IPS,则是将数据包进行检测(深度包检测DPI)对蠕虫、病毒、木马、拒绝服务等攻击进行查杀。

     功能:同防火墙,并增加IPS特征库,对攻击行为进行防御。

     部署方式:同防毒墙。
特别说明一下:防火墙允许符合规则的数据包进行传输,对数据包中是否有病毒代码或攻击代码并不进行检查,而防毒墙和入侵防御则通过更深的对数据包的检查弥补了这一点。

    (4)统一威胁安全网关(UTM)

     定义:简单的理解,把威胁都统一了,其实就是把上面三个设备整合到一起了。

     功能:同时具备防火墙、防毒墙、入侵防护三个设备的功能。

     部署方式:因为可以代替防火墙功能,所以部署方式同防火墙

    现在大多数厂商,防病毒和入侵防护已经作为防火墙的模块来用,在不考虑硬件性能以及费用的情况下,开启了防病毒模块和入侵防护模块的防火墙,和UTM其实是一样的。至于为什么网络中同时会出现UTM和防火墙、防病毒、入侵检测同时出现。第一,实际需要,在服务器区前部署防毒墙,防护外网病毒的同时,也可以检测和防护内网用户对服务器的攻击。第二,花钱,大家都懂的。总之还是那句话,设备部署还是看用户。

    (5)IPSEC

     把IPSEC 放到网络安全防护里,其实是因为大多数情况下,IPSEC 的使用都是通过上述设备来做的,而且通过加密隧道访问网络,本身也是对网络的一种安全防护。

     定义:采用IPSec协议来实现远程接入的一种技术,至于什么是IPSEC 什么是,小伙伴们请自行百度吧

     功能:通过使用IPSEC 使客户端或一个网络与另外一个网络连接起来,多数用在分支机构与总部连接

     部署方式:网关模式、旁路模式

     鉴于网关类设备基本都具备IPSEC 功能,所以很多情况下都是直接在网关设备上启用IPSEC 功能,也有个别情况新购买IPSEC 设备,在对现有网络没有影响的情况下进行旁路部署,部署后需要对IPSEC 设备放通安全规则,做端口映射等等。也可以使用windows server部署,需要的同学也请自行百度~相比硬件设备,自己部署没有什么花费,但IPSEC 受操作系统影响,相比硬件设备稳定性会差一些。

THE END