常见网安设备介绍
安全管理
-
esight:“统一网络管理”面向企业一体化融合运维管理解决方案,实现交换机,路由器,视频监控,服务器,PON设备及服务操作系统虚拟资源的统一管理。
-
Log Center:“安全实践管理中心”<日志>归档——全面的安全业务分析
Log Center是安全实践管理中心是一套功能领先的面向行业用户的统一安全管理平台。
功能: 攻击事件类型排行,邮件过滤—(Anti—SPAM)、攻击事件趋势、入侵防御事件(IPS) -
CIS: 是一台服务器做网络态势感知管理分析网络的一些趋势,是否受到攻击的大数据平台;
网络与应用安全------- <设备及其中安全功能>
-
FireHunter : 安全沙箱 <做大数据安全>
快速检测高级恶意文件
沙箱6000 ----- 在虚拟环境中对网络中传输的文件进行检测,实现对未知恶意文件的检测。
功能: 对APT攻击中恶意文件深度检测;沙箱识别APT攻击中的未知恶意文件。
沙箱主要原理: 代码分析和虚拟执行可疑文件;分析未知文件的实际行为。
检测文件类型: web网页:如检测JavaScript,flash,JavaAPPlet等;各种办公文档:如office,PDF,WPS;各种图片文件:如JPEG,PnP,jpg;各种加壳文件; -
WAF: web服务器 <专业级web应用防火墙>
WAF2000/5000 采用独创的行为状态链接技术有效应对资源链跨站请求伪造web特殊攻击,智能联动ms级锁定功能可有效降低入侵风险。 -
UMA: 统一运维管理 <堡垒机或跳板机> 做接入控制
-
Anti----DDOS: 专业DDOS防护 <主要面向企业>
流量型攻击型防御系统 -
NGFW: 下一代防火墙 <控制流量>
USG6000是面向大中型企业及下一代数据中心推出的万兆园区下一代防火墙 N6WF提供更简单高效的下一代安全防护,
主要作用:
用户感知(我知道你是谁)9种验证方式(portal认证:应对移动办公趋势策略随行) ;
应用感知:(我知道你在干嘛)6000+应用识别面向业务管控,识别应用,识别应用风险;
位置感知:(我知道你在哪)全球位置可视 流量地图 威胁地图位置不同策略不同。 -
vNGFW: 虚拟防火墙;
作用: 应对虚拟化安全挑战
USG6000v 是一款运行在标准服务器虚拟上的纯软件产品,面向云数据中心及NFV场景,提供面向软件化部署的虚拟网络安全防护。 -
NIP: 下一代入侵防御机
终端安全:
- Agile controller: 准入控制;(网络访问控制解决方案)—— Agile controller — campus: 园区策略控制器采用控制全网的权限应用宽带,QOS,安全等多种策略保障用户自由移动与业务体验
EMM Anyoffice: 准入控制软件
eSight—ICT: 统一资源管理系统
eSight支持多厂商设备系统视图资源拓扑,故障性能以及智能配置功能;
UMA —— 统一运维审计系统:实现对所有运维过程的控制和记录审计。
防火墙主要组网应用
- 企业内网管控&隔离:精细化访问控制 IPS、AV、DLP、URL过滤、QOS管理。
- 数据中心隔离:高性能安全防护 IPS、AV、DLP、DDOS安全业务虚拟化。
- 互联网边界防护:精细化访问控制 IPS、AV、DLP、URL、DDOS、SPam。
- 企业分支互联网:VPN传输安全、WIFI上网、接入身份认证、IPS、AV、DLP、URL、SPam。
注: 数据丢失防护(DLP);防病毒网关(AV);垃圾邮件(SPam)。
Int出口安全区:FW,IPS,抗DDOS,ASG,WAF,沙箱
注: 系统服务安全等级(ASG);web应用防火墙(WAF)。
防火墙分类
-
状态检测防火墙
首包创建会话,后续报文匹配会话转发(基于IP单播 非应答报文都可以创建会话)
开启状态检测和关闭状态检测的区别: 开启状态检测的情况下只有首包具备了创建会话能力,而 关闭状态检测 (非首包都可建会话)是所有的基于IP单播报文都可以创建会话包括后续报文。 -
包过滤防火墙
阻止一种类型的IP欺骗,即外部主机伪装内部主机的IP,对于外部主机伪装外部主机的IP欺骗却不可能阻止,而且它不能防止DNS欺骗。
是在网络层中根据事先设置的安全访问策略(过滤规则) ,检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息(如协议、服务类型等) , 确定是否允许该数据包通过。
功能:对跨防火墙的网络互访进行控制,对设备本身的访问进行控制。保护特定网络免受 “不信任” 的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。
安全策略的作用:就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙。
通过防火墙安全策略-可控制内网访问外网的权限、控制内网不同安全级别的子网间的访问权限等。同时也能够对设备本身的访问进行控制,例如限制哪些 IP 地址可以通过 Telnet 和 Web 等方式登录设备,控制网管服务器、NTP 服务器等与设备的互访等。 -
代理防火墙
通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。
可以有效防止跨站脚本攻击(XSS)
防火墙区域
区域优先级范围 [1-100]
默认区域: trust 信任区域——安全级别85;UNtrust 不信任区域——安全级别5;DMZ非军事区域安全级别50;local本地区域——安全级别100。
*注:*不可使用相同zone安全级数
区域(zone): 每个区域所连网络属一个区域,但一个区域包含多个接口,所有跨区域访问的都需要受安全策略控制,防火墙的物理接口都是local所以只能将接口所连的另一端网络加到zone。
安全策略(ACL): (有条件---->有动作)
ACL五元组:[源IP、目的IP]、[源port、目的port]、[server]、[源zone、目的zone]
次: 应用、用户、时间段
动作action: default、deny
配置安全策略
USG6000策略配置(order)
默认账号:admin、密码:Admin@123 sys-view
设置空闲时间
user-interface console 0
idle-timeout 0 [保持次页面不会退出重新输入密码]
进入FW接口并添加接口地址
interface gigabltEhernet 接口号
ip address IP地址+掩码
显示简要接口地址
display ip interface brief
创建区域
Firewalls zone name “区域名”
[进入创建的区域视图] set priority “优先级数1-100”
将接口所连的网络加到区域中去
[进入区域视图] Firewall zone “trust”(区域名)
[.... ......]add interface gigabitEthernet “设备网络接口号”
注:对各区域网络设置安全策略时需进入安全策略视图“security-policy”
[进入安全策略视图] rule name “策略名”
人为设置安全策略需考虑基本五个 “条件----->动作"
基本条件是:【源IP、目IP】、【源port、目port】、【源zone、目zone】、【service】、【对应用的控制】。
action是:对条件的控制是“deny”还是“permit”。
根据zone配置安全策略
[进入安全策略视图中 name] source-zone “trust” 源域 <域名可以根据用户实际情况变更>
[......................] destination-zone “trust” 目的域<到达的目的域也可以是其他域>
[......................] action permit“permit” 或 “deny” 动作
注:同zone中互访时先看策略,“策略中”没有限制则默认互访
注查看配置的策略是否其到作用 “策略命中率”:[普通视图] display security-policy rule all <命中率为0则没有生效>
在两域内根据网段设置策略
[安全策略视图name] source-zone trust
[...............] destination-zone dmz
[...............] source-address 1.1.1.0 24
[...............] destination-address 2.2.2.0 24
[...............] service ICMP “限制这个网段中的ICMP服务消息或者不转发,<这个服务也可变成其他的例如:远程服务>”
[...............] action permit “动作为允许通过转发”
注:这个网段中命中这个服务则允许转发