上一篇文章为各位介绍了网络安全设备:防火墙、IPS、IDS。
今天我们介绍常用的网络安全设备:上网行为管理系统、网闸。
首先,来介绍下什么是上网行为管理系统?
上网行为管理系统
上网行为管理系统,从名称上就可以理解,该系统主要功能是网页访问过滤、网络应用控制等,从而达到提升工作效率、提升带宽利用率等,实现保护网络,防止黑客攻击等。
上网行为管理系统的主要功能有哪些?
1、网页访问过滤
互联网上的网页资源非常丰富,若有员工长时间访问与工作无关的网页,将极大的降低生产效率。通过上网行为管理系统,用户可以根据需求来制定个性化的网页访问策略,过滤非工作相关的网页。
2、网络应用控制
看电影、玩游戏、炒股票等,若员工长期沉迷于这些应用,也将成为企业生产效率的巨大杀手,并可能造成网速缓慢、信息外泄的可能。通过上网行为管理系统,用户可以制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事。
3、带宽流量管理
P2P下载、在线游戏、在线看视频等都在抢占着有限的带宽资源。通过上网行为管理系统,企业还可以选择合理化分配和管理带宽。用户可以制定精细的带宽管理策略,对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入成本。
4、信息内容审计
访问如色情、赌博具有高风险网站时,除会有感染病毒、木马等风险时,信息的机密性、健康性、政治性等问题也随之而来。通过上网行为管理系统,用户可以制定全面的信息收发监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律风险。
5、上网行为分析
通过上网行为管理系统,用户可以实时了解、统计、分析网络使用状况,并根据分析结果对管理策略做调整和优化。
上网行为管理系统的部署方式有哪些?
1、路由模式
路由模式部署
设备以路由模式部署时,AC 的工作方式与路由器相当, 具备基本的路由转发及 NAT 功能。一般在客户还没有相应的网关设备或者用户的网路环境比较小型,需要将 AC 做网关使用时,建议以路由模式部署。路由模式下支持 AC 所有的功能。如果需要使用 NAT、VPN、DHCP 等功能时,AC 必须 以路由模式部署,其它工作模式没有这些功能。
2、网桥模式
设备以网桥模式部署时对客户原有的网络基本没有改动。网桥模式部署 AC 时,对客户来说 AC 就是个透明的设备。因为 AC 自身的原因 而导致网络中断时可以开启硬件 bypass 功能,即可恢复网络通信。网桥模式部署时 AC 不支持 NAT(代理上网和端口映射)、VPN、 DHCP 等功能。
3、旁路模式
旁路模式部署
旁路模式主要用于实现审计功能,完全不需要改变用户的网络环境, 通过把设备的监听口接在交换机的镜像口,实现对上网数据的监控。这种模式对用户的网络环境完全没有影响,即使宕机也不会对用户的网络造成中断。旁路模式部署主要用于做上网行为的审计,且只能对 TCP 应用做控制, 对基于 UDP 的应用无法控制。
接下来,来介绍下什么是网闸?
2U多电口安全隔离网闸
网闸,是一个缩写,网闸的全称是(安全隔离与信息交换系统),是使用带有多种控制功能的固态开关读写介质,连接两个独立主机系统的信息安全设备。网闸又分为单向传输网闸和双向传输网闸,还有专门传送流媒体的视频网闸。
网闸的工作原理是什么?
由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的物理连接、逻辑连接及信息传输协议,不存在依据协议进行的信息交换,而只有以数据文件形式进行的无协议摆渡。
因此,网闸从物理上隔离、阻断了对内网具有潜在攻击可能的一切网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。
单向网闸部署方式
双向网闸部署方式
网闸的主要作用是什么?
1、安全隔离 ;2、信息交换。
网闸实现了内外网的逻辑隔离,在技术特征上,主要表现在网络模型各层的断开。
(1)物理层断开。网闸采用的网络隔离技术,就是要保证网闸的外部主机和内部主机在任何时候是完全断开的。但外部主机与固态存储介质,内部主机与固态存储介质,在进行数据传递的时候,有条件地进行单个连通,但不能同时相连。在实现上,外部主机与固态存储介质之间、内部主机与固态存储介质之间均存在一个开关电路。网络隔离必须保证这两个开关不会同时闭合,从而保证OSI模型上的物理层的断开机制。
(2)链路层断开。由于开关的同时闭合可以建立一个完整的数据通信链路,因此必须消除数据链路的建立,这就是链路层断开技术。任何基于链路通信协议的数据交换技术,都无法消除数据链路的连接,因此不是网络隔离技术,如基于以太网的交换技术、串口通信或高速串口通信协议的USB等。
(3)TCP/IP协议隔离。为了消除TCP/IP协议(OSI的3~4层)的漏洞,必须剥离TCP/IP协议。在经过网闸进行数据摆渡时,必须再重建TCP/IP协议。
(4)应用协议隔离。为了消除应用协议(OSI的5~7层)的漏洞,必须剥离应用协议。剥离应用协议后的原始数据,在经过网闸进行数据摆渡时,必须重建应用协议。
网闸与防火墙有什么区别?
网闸的应用理念与防火墙的区别如下:
(1)防火墙的应用理念是在保障网络互联互通的前提下,要尽可能安全;
(2)网闸的应用理念是在首先保证必须安全的前提下,要尽可能互联互通,如果不安全则隔离断开。
(3)防火墙一般在进行IP包转发的同时,通过对IP包的处理,实现对TCP会话的控制,但是对应用数据的内容不进行检查。这种工作方式无法防止泄密,也无法防止病毒和黑客程序的攻击。
网闸的主要应用范围有哪些?
(1)涉密网与非涉密网之间。一些政府办公网络涉及敏感信息,当它与外部非涉密网连接的时候可以用单向物理隔离网闸将两者隔开。
(2)局域网与互联网之间(内网与外网之间)。政府办公的部分局域网络,涉及敏感信息,有时需要与互联网在逻辑上断开,物理隔离网闸是一个常用的办法。
(3)办公网与业务网之间。由于对外办公网络与业务网络的信息敏感程度不同,如银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的逻辑隔离。
(4)电子政务的内网与专网之间。在电子政务系统建设中要求政府内网与外网之间用逻辑隔离,在政府专网与内网之间用逻辑隔离。现常用的方法就是用物理隔离网闸来实现。
(5)业务网与互联网之间。如阿里巴巴、京东、腾讯等的电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大用户。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现逻辑隔离。网络安全IT科普
本篇文章如觉得对您有用请大家点赞、收藏、分享!如有更多理解,欢迎大家交流评论!
下一篇文章会为大家介绍安全审计设备,感兴趣的朋友不要错过吆!