防火墙/UTM/安全网关
写在最前:
安全产品系列目录:目录&总述
FireWall 防火墙
用于边界安全防护的权限控制和安全域的划分
防外不防内,隔离区域
配置策略,按需划分,最小授权原则
产品简介
采用应用层安全防护理念,同时结合先进的多核高速数据包并发处理技术,研发而成的下一代边界安全产品。其核心理念是立足于用户网络边界,建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的安全防护体系。
产品特点
- 全面的应用、用户识别能力
- 细致的应用层控制
- 应用层安全防护能力
入侵防护、URL过滤、防病毒、内容过滤 - 应用层安全处理性能
基础网络数据包的高速转发,应用层安全处理的高性能 - 内网资产风险管理
- 云端安全管理模式
- 高稳定性和可靠性
- 支持路由、交换、访问控制、流量管理、SNAT/DNAT、日志报表等传统功能
用户价值
- 对应用、业务和用户完全识别并加以控制、可以帮助企业降低管理难度、减少运维成本
- 事前的风险预知和事后的检测&响应能力,主动发现被保护的资产对象,以及被保护对象的风险状况
- 帮助有关部门、机构和人员及时对网络安全风险信息进行监测评估
1.部署模式
路由模式
当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。路由器两端是不同子网
采用路由模式时,可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而,路由模式需要对网络拓扑进行修改(内部网络用户需要更改网关、路由器需要更改路由配置等),这是一件相当费事的工作,因此在使用该模式时需权衡利弊。
透明模式
如果防火墙采用透明模式进行工作,则可以避免改变拓扑结构造成的麻烦,此时防火墙对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到防火墙的存在。
采用透明模式时,只需在网络中像放置网桥(bridge)一样插入该防火墙设备即可,无需修改任何已有的配置。与路由模式相同,IP 报文同样经过相关的过滤检查(但是IP 报文中的源或目的地址不会改变),内部网络用户依旧受到防火墙的保护。
旁路模式
在其他设备上开一个镜像口接入,逻辑上类似透明模式,检查流量经过,但不能进行阻断
部署简单,不改变现有结构,不影响速度,出现故障不会影响其他设备
旁路部署可以进行特殊流量配置,比如:三角传输
三角传输,也叫Direct Server Return(DSR)模式,是旁路部署的一个特例这种模式下只有入站方向流量进入到设备,服务器返回的流量不经过设备。由于互联网的流量具有典型的非对称性,即请求方向上的流量比较小,绝大多数流量集中在服务器响应的方向上,若充分信任内部安全性,这种配置可以提升处理能力。
双机热备
这种可能会用到混合模式:防火墙既存在工作在路由模式的接口(接口具有IP 地址),又存在工作在透明模式的接口(接口无IP 地址),则防火墙工作在混合模式下
主备模式
主备模式下的两台防火墙,其中一台作为主设备,另一台作为备份设备。主设备处理所有业务,并将产生的会话信息传送到备份设备进行备份;备份设备不处理业务,只用做备份。当主设备故障,备份设备接替主设备处理业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断。
负载分担模式
两台设备均为主设备,都处理业务流量,同时又作为另一台设备的备份设备,备份对端的会话信息(如下图所示,Firewall 1和Firewall 2均处理业务,互为备份)。当其中一台故障后,另一台设备负责处理全部业务,从而保证新发起的会话能正常建立,当前正在进行的会话也不会中断
一般部署
会话备份
因为有重传机制
所以在两台防火墙完全主备部署的情况下,即使不使用会话备份,在设备故障切换时只是会影响业务的切换时间,但不会完全导致业务不可用;对于新建连接,只是增加一次会话建立时间,对数据转发没有任何影响
当两台防火墙做负载分担,而且数据流量存在来回路径不一致的时候,防火墙必须开启会话备份功能。
因为开启了OSPF负载分担,以TCP数据流为例,假如Trust区域的某客户要去访问Untrust区域的资源,TCP数据流第一个SYN报文根据等价路由被转发到Firewall 1,但是对方回应的SYN-ACK报文被上面路由器转发到了Firewall 2,对于Firewall 2由于报文是从Untrust到Trust,策略是禁止的,而且设备本身又没有会话,所以这个报文就会被丢弃,TCP连接建立失败。尽管TCP超时后会再次发起连接,但是如果上下两台路由器等价路由的Hash方式不变,报文会一直按着上面所说的路径转发,所以TCP连接永远失败。
工作过程
路由工作模式
防火墙工作在路由模式下,此时所有接口都配置IP 地址,各接口所在的安全区域是三层区域,不同三层区域相关的接口连接的外部用户属于不同的子网。当报文在三层区域的接口间进行转发时,根据报文的IP 地址来查找路由表,此时 防火墙表现为一个路由器。但是, 防火墙与路由器存在不同, 防火墙中IP 报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL 规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。路由模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。
透明工作模式
防火墙工作在透明模式下,此时所有接口都不能配置IP 地址,接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时,需要根据报文的MAC 地址来寻找出接口,此时防火墙表现为一个透明网桥。但是,防火墙与网桥存在不同,防火墙中IP 报文还需要送到上层进行相关过滤等处理,通过检查会话表或ACL 规则以确定是否允许该报文通过。此外,还要完成其它防攻击检查。透明模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。工作在透明模式下的 防火墙在数据链路层连接局域网(LAN),网络终端用户无需为连接网络而对设备进行特别配置,就像LAN Switch 进行网络连接。
混合工作模式
防火墙工作在混合透明模式下,此时部分接口配置IP 地址,部分接口不能配置IP 地址。配置IP 地址的接口所在的安全区域是三层区域,接口上启动VRRP功能,用于双机热备份;而未配置IP 地址的接口所在的安全区域是二层区域,和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间
进行转发时,转发过程与透明模式的工作过程完全相同。
UTM 统一威胁管理
Unified Threat Management
集成多种功能
若开启多项功能,可能性能不足,大多用于中低端公司
产品简介
集合了防火墙、虚拟专用网(VPN)、入侵检测和防御(IPS)、网关防病毒、Web内容过滤、反垃圾邮件、流量整形、用户身份认证、审计以及BT(蓝牙)、IM(即时通讯)控制等多种应用
产品特点
集成多种产品功能,方便配置,管理
用户价值
- 便于部署,维护
- 性价比高
1. 部署模式
与防火墙类似,但一般不用于区域划分(太贵),只在内外网之间放一个
生产厂商
防火墙/UTM/安全网关/下一代防火墙/第二代防火墙:
天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、奇安信、卫士通、H3C、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光、瑞星、华域数安、中新网安、山东确信、有云信息、上元信安、成都世纪顶点、卫达安全、网御科技、锐捷、清华永新、华诺科技、六方云
防火墙/UTM/安全网关相关推荐
- 华为防火墙UTM技术
UTM:统一威胁管理,融合了IPS入侵防御系统,AV网关防病毒,上网行为管理,防DDOS攻击等特性,为了更好的解决来自企业内部.外部的攻击威胁提供了强有力保障(UTM包含入侵防御和内容过滤) 入侵防御 ...
- 防火墙和安全网关的区别是什么?
文章转载,仅用于学术交流,侵权请联系删除 导读:安全网关是由一些不同技术的奇妙融合而形成的,它具有非常重要的保护作用,它不仅可以实现一些简单的协议级过滤,还能实现一些比较复杂的应用级过滤,进行安全网关 ...
- 7月19日 防火墙知识小结
一.防火墙的概念 防火墙(Firewall),也称防护墙,是由Check Point 创立者Gil Shwed于1993 年发明并引入国际互联网(US5606668(A)1993-12-15). 它是 ...
- 盘点!网络安全厂商都有哪些?
防火墙/UTM/安全网关/下一代防火墙 天融信.山石网科.启明星辰.网御星云.绿盟科技.安恒信息.蓝盾.华为.软云神州.杭州迪普.华清信安.东软.上讯信息.利谱.深信服.360.卫士通.H3C.交大捷 ...
- 国内外,网络安全厂商都有哪些?
防火墙/UTM/安全网关/下一代防火墙 天融信.山石网科.启明星辰.网御星云.绿盟科技.安恒信息.蓝盾.华为.软云神州.杭州迪普.华清信安.东软.上讯信息.利谱.深信服.360.卫士通.H3C.交大捷 ...
- 游侠安全网-安全产品和厂家调研-欢迎补充
更新时间:2014年11月5日 基本是这样的: 1.有常见的安全产品 2.有常见的安全厂家 3.有些一家独大的分类就不加入了,如某个产品只有1家在做,或很少的厂家在做,那么抱歉 现在,我做了这么一些产 ...
- 国内外网络安全厂商大汇总
防火墙/UTM/安全网关/下一代防火墙 天融信.山石网科.启明星辰.网御星云.绿盟科技.安恒信息.蓝盾.华为.软云神州.杭州迪普.华清信安.东软.上讯信息.利谱.深信服.360.卫士通.H3C.交大捷 ...
- 风雨欲来:网络设备商竞速下一代防火墙
自出现之日起,下一代防火墙(Next-Generation Firewall,以下简称NGFW)就一直在争议中前行.究其原因,在于概念提出得比较超前.产品跟进却相对缓慢. 就在不久前,梭子鱼与深信服在 ...
- 你说,网络出口选择防火墙多,还是路由器多?
晚上好,我是老杨. 随着技术的发展,防火墙和路由器很多功能已经重叠,比如路由功能(静态路由/RIP/OSPF/BGP等).NAT.ACL.DHCP等. 路由器主要用来跑路由协议,防火墙主要侧重安全,其 ...
最新文章
- 使用Python,OpenCV进行平滑和模糊
- 160个Crackme024之Opcode加密
- 从零开始学C++之继承(一):公有/私有/保护继承、overload/overwrite/override之间的区别...
- Java黑皮书课后题第4章:*4.2(几何:最大圆距离)最大圆面积是指球面上两个点间的距离。编写一个程序,提示用户以度为单位输入地球上两个点的经纬度,显示其最大圆距离值
- 如何在屏幕实时显示自己键盘的输入字符?
- pycharm连接mysql1193错误_pycharm连接mysql数据库提示错误的解决方法_数据库
- 如何在钉钉上开发自己的应用_快速上手——钉钉H5微应用开发接入
- mysql st centroid_postgresql – ST_Distance的返回值单位
- python下载-Python下载和安装图文教程[超详细]
- vray渲染出图尺寸_3d最终渲染参数设置、vr相片级成品参数值
- 基于小波Block-Thresholding的降噪方法
- 什么是电容式传感器?其工作原理是怎样的?
- 注册表怎么禁用计算机,注册表的禁用方法与解锁方法
- Android 11 wifi adb 连接错误 “Unable to start pairing client.“
- 2013年中国最新MBA学费对比
- fect:基于面板数据的因果推断(上)
- 51Nod_1024 矩阵中不重复的元素
- MarsNFT :个人如何发行数字藏品?
- 【小知识】12个月份用英语表示
- sip网络电话代码含义