您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 经营企划 > 网络安全技术设备应用介绍
计算机网络安全应用技术一、最新网络安全技术介绍1、链路负载均衡技术1)技术概述链路负载均衡是建立在多链路网络结构上的一种网络流量管理技术。所谓多链路是指为了确保不中断的因特网访问,通常为局域网配置多个因特网接入链路,并且常常是属于不同ISP的,这种结构通常被称为多链路。这种设计创造了更具弹性的网络和因特网访问模型,但也引入了一些较为复杂的网络访问上的问题。针对这种情况,多链路负载均衡技术就应运而生了。它的主要功能是针对不同链路的网络流量、通信质量以及访问路径的长短等诸多因素,对访问产生的进出流量所使用的链路进行调度和选择。这样,就可以最大限度地扩展和利用链路的带宽,而且在某一链路发生故障而中断时,可以自动将其访问流量分配至其他尚在正常工作的链路上,避免了ISP链路上的单点故障。此技术在中国最有现实意义的应用就是解决电信和网通等不同ISP间资源互访的问题。2)适用环境此技术适用于对互联网资源访问要求较高,且具有多条互联网接入链路(不同ISP)的单位或企业。3)应用举例2、IPS入侵防御系统1)技术概述近年来,企业所面临的安全问题越来越复杂,安全威胁正在飞速增长,尤其混合威胁的风险,如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用(P2P下载、IM即时通讯、网游、视频)等,极大地困扰着用户,给企业的信息网络造成严重的破坏。基于目前网络安全形势的严峻,入侵保护系统IPS(IntrusionPreventionSystem)作为新一代安全防护产品应运而生。网络入侵防御系统作为一种在线部署的产品,提供主动的、实时的防护,其设计目标旨在准确监测网络异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,而不是简单地在监测到恶意流量的同时或之后才发出告警。IPS是通过直接串联到网络链路中而实现这一功能的,即IPS接收到外部数据流量时,如果检测到攻击企图,就会自动地将攻击包丢掉或采取措施将攻击源阻断,而不把攻击流量放进内部网络。2)适用环境此系统适于部署在具有重要业务系统或内部网络安全性、保密性较高单位的网络出口处。3)应用举例3、上网行为管理系统1)技术概述上网行为管理系统能够提供全面的互联网活动控制管理,包括对网站访问、邮件发送、BBS发贴、网络聊天、BT下载、FTP上传、在线音乐、在线电影、在线游戏等等一切互联网活动进行控制和管理,并能够实现基于用户和各种网络协议的带宽控制管理。同时,还能提供细致的互联网活动审计功能,实时监控整个网络使用情况,并能生成基于用户、网站访问、外发信息、网络应用、带宽通道等多种形式的统计报表、图表。2)适用环境此系统适合应用在具有众多客户端,并对客户端上网行为具有一定控制要求的单位。3)应用举例目前一些大型企业和机构应用了此系统。4、网络带宽管理系统1)技术概述带宽管理技术可以让网络管理员或者企业网络管理人员可以通过灵活的方式,很容易地对整个网络的状况做到最细致的管理,既提高了网络的使用效率,又加强了对全网的合理化管理,更好地为业务管理平台服务。具第七层流量识别能力的流量智能化管理让网络控制权牢固地掌握在管理人员手中。带宽管理服务可以让用户在不需再不断循环采购带宽资源的前提下,实现对网络资源使用状态的了解,充分利用,对关键人员使用网络的保障,对关键应用性能的保护,对非关键应用的控制。这种技术的实施,在应用层与网络层之间提供了一层保障应用在网络上运行性能的基础设施,使得任何要占用网络资源的机器、个人、部门、协议、应用、或数据流都掌握在管理人员的一只鼠标上,真正实现用户网络点到点的Qos。通过带宽管理技术可根据业务需求和应用自身需求进行的带宽分配。控制所有类型的流量:稳定的语音或视频流速率;针对如Telnet等对延迟敏感的小型流量,保障快速通过;针对持续性访问的应用,如MicrosoftExchange等对带宽又贪婪且非常重要的应用,在带宽限制和允许占用带宽之间作出平衡。带宽管理设备能够以每用户、每会话、每流、每地点或每应用为基础实施带宽使用的保护、调整、限制或提供。2)适用环境此系统适用于互联网出口带宽有限,在通过互联网提供一些重用的应用服务的单位。3)应用举例5、防毒墙1)技术概述传统的计算机病毒防范是在需要保护的计算机内部建立反病毒系统,随着网络病毒的日益严重和各种网络威胁的侵害,如何更好、有效地保护企业内部网络是当前安全厂家、企业用户都在关心的问题。从企业角度而言,如果能将病毒在通过服务器或公司内部网关之前予以过滤,将是防病毒最有效的方法。防毒墙就满足了这一要求。防毒墙是集成了强大的网络防杀病毒机制,网络层状态包过滤、敏感信息的加密传输和详尽灵活的日志审计等多种安全技术于一身的硬件平台。防毒墙在毁灭性病毒和蠕虫病毒进入网络前即在网络边缘进行全面扫描,防毒墙可用于独立式边缘病毒扫描结构,同时,它也可以作为企业整体网络防病毒的一个组成部分,建立网络边缘(网关)、客户端和服务器三层病毒扫描架构的立体网络防病毒体系,是一个网络一体安全解决方案的网络安全产品。防毒墙适用于各种复杂的网络拓扑环境,可以根据用户的不同需要,具备针对HTTP、FTP、SMTP和POP3协议内容检查、清除病毒的能力,同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系,不但可以保护内部资源不受外部网络的侵犯,同时可以阻止内部用户对外部不良资源的滥用。防毒墙从完整意义上解决了企业网络防护和网络边缘杀毒的问题。2)适用环境此设备适放置在单位网络边缘,提供进出整个网络的病毒查杀。3)应用举例6、统一威胁管理设备(UTM)1)技术概述统一威胁管理(UTM)是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能。它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。这几项功能并不一定要同时都得到使用,不过它们应该是UTM设备自身固有的功能。UTM安全设备也可能包括其它特性,例如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和报告带宽管理等。不过,其它特性通常都是为主要的安全功能服务的。UTM设备将防病毒和入侵检测功能融合于防火墙之中,成为防御混合型攻击的利剑。混合型的攻击可能攻破单点型的安全方案,但却很可能在统一安全方案面前败下阵来。UTM设备提供综合的功能和安全的性能,降低了复杂度,也降低了成本,适合企业、服务提供商和中小办公用户的网络环境。UTM设备能为用户定制安全策略,提供灵活性。用户既可以使用UTM的全部功能,也可酌情使用最需要的某一特定功能。UTM设备能提供全面的管理、报告和日志平台,用户可以统一地管理全部安全特性,包括特征库更新和日志报告等。随着性能的提高,大型企业和服务提供商也可以使用UTM作为优化的整体解决方案的一部分,可扩展性好,蕴藏的增长潜力可观。2)适用环境此设备适用于对网络安全具有很高要求,但网络规模不大的单位,提供其全面的网络安全。3)应用举例7、VRRP(HSRP)虚拟路由冗余协议1)技术概述在基于TCP/IP协议的网络中,为了保证不直接物理连接的设备之间的通信,必须指定路由。目前常用的指定路由的方法有两种:一种是通过路由协议(比如:内部路由协议RIP和OSPF)动态学习;另一种是静态配置。在每一个终端都运行动态路由协议是不现实的,大多客户端操作系统平台都不支持动态路由协议,即使支持也受到管理开销、收敛度、安全性等许多问题的限制。因此普遍采用对终端IP设备静态路由配置,一般是给终端设备指定一个或者多个默认网关(DefaultGateway)。静态路由的方法简化了网络管理的复杂度和减轻了终端设备的通信开销,但是它仍然有一个缺点:如果作为默认网关的路由器损坏,所有使用该网关为下一跳主机的通信必然要中断。即便配置了多个默认网关,如不重新启动终端设备,也不能切换到新的网关。采用虚拟路由冗余协议(VirtualRouterRedundancyProtocol,简称VRRP)可以很好的避免静态指定网关的缺陷。在VRRP协议中,有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器,是物理实体,虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控,负责ARP相应和转发IP数据包,组中的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。2)适用环境此技术适用于重要的分支机构通过双线路与总部或上级单位网络相连的环境,通过在两台路由器上启用虚拟路由冗余协议实现上联线路的冗余。3)应用举例二、最新网络安全产品介绍1、链路负载均衡---LookproofBranchLookproofBranch是Radware公司专门为中小型网络用户提供的性价比极高的广域网多链路负载均衡的整体解决方案,其功能涵盖了多链路负载均衡(MultilinkLoadBalance)、多链路带宽管理和控制以及多链路网络攻击防范(IPS)。100%效率的多链路负载均衡和最优链路选择,作为应用层链路负载均衡的先驱,Radware的LinkproofBranch多链路应用交换机,多链路应用交换机拥有Radware所有的链路负载均衡技术:LinkproofBranch多链路应用交换机主要采用以下集中方式来处理流出流量。SmartNAT对于流出流量的智能地址管理,LinkproofBranch多链路应用交换机使用了称为SmartNAT的算法。当选定一个路由器(某一个ISP)传送流出流量时,LinkproofBranch多链路应用交换机将选择该ISP提供的地址。如果LinkProof选择ISP1作为流出流量的路径,则它将把内部的主机地址翻译为ISP1设置的IP地址,并作为流出数据包的源地址。同样,如果LinkProof选择ISP2作为流出流量的路径,则它将把内部的主机地址翻译为另外一个链路的公网IP地址,并作为流出数据包的源地址。ContentRouting为了优化流出的流量,LinkproofBranch多链路应用交换机还为流出的流量实施就近性运算。如果内部主机要访问某一Internet站点,可能通过一个ISP的路径比通过其他ISP的路径有效。因此,LinkproofBranch多链路应用交换机可以提供就近性算法,为流出到某一个站点的流量选择最佳的ISP路径,保证所需内容最快到达目的地,提高服务的品质。LinkproofBranch多链路应用交换机考虑路由的跳数、路径的延迟和负载状况来进行对每个目的地的就近性运算,选择最佳的流出流量传输路径。流入流量负载均衡LinkproofBranch多链路应用交换机不仅需要管理流出的流量,还必须管理来自Internet的访问,即流入(InBound)流量。假设图二中的Server1是Web服务器,Internet主机名为,地址为私有IP:192.168.1.100/24。SmartNATSmartNAT功能和LinkproofBranch多链路应用交换机上集成的DNS代理结合在一起,即能够完成流入流量的负载均衡。在DNS服务器上主则两笔NS记录,指向LinkProof:NS与内部主机地址的对应关系:
本文标题:网络安全技术设备应用介绍
链接地址:https://www.777doc.com/doc-3266806 .html