(完整版)網(wǎng)絡(luò)安全設(shè)備.doc

1、1、 防火墻定義主要功能主要類型網(wǎng)絡(luò)安全設(shè)備防火墻指的是一個(gè)有軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障。它可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。1、過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)2、防止不安全的協(xié)議和服務(wù)3、管理進(jìn)、出網(wǎng)絡(luò)的訪問行為4、記錄通過防火墻的信息內(nèi)容5、對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)與警告6、防止外部對(duì)內(nèi)部網(wǎng)絡(luò)信息的獲取7、提供與外部連接的集中管理1、網(wǎng)絡(luò)層防火墻一般是基于源地址和目的地址、應(yīng)用、協(xié)議以及每個(gè)IP 包的端口來作出通過與否的判斷。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息

2、與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會(huì)使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包，其次，通過定義基于TCP或 UDP 數(shù)據(jù)包的端口號(hào)，防火墻能夠判斷是否允許建立特定的連接，如Telnet、 FTP連接。2、應(yīng)用層防火墻針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。主動(dòng)被動(dòng)傳統(tǒng)防火墻是主動(dòng)安全的概念；因?yàn)槟J(rèn)情況下是關(guān)閉所有的訪問，然后再通過定制策略去開放允許開放的訪問。主要是一款全面應(yīng)對(duì)應(yīng)用層威脅的高性能防火墻?？梢宰龅街悄芑鲃?dòng)防御、下一代防應(yīng)用層數(shù)據(jù)防泄漏、應(yīng)用層洞察與控制、威脅防護(hù)等特性。下一代防火墻在火墻一臺(tái)設(shè)備里面集成了傳統(tǒng)防

3、火墻、IPS、應(yīng)用識(shí)別、 內(nèi)容過濾等功能既降低了整（NGFW）體網(wǎng)絡(luò)安全系統(tǒng)的采購(gòu)?fù)度?，又減去了多臺(tái)設(shè)備接入網(wǎng)絡(luò)帶來的部署成本，還通過應(yīng)用識(shí)別和用戶管理等技術(shù)降低了管理人員的維護(hù)和管理成本。使用方式防火墻部署于單位或企業(yè)內(nèi)部網(wǎng)絡(luò)的出口位置。1、 不能防止源于內(nèi)部的攻擊，不提供對(duì)內(nèi)部的保護(hù)2、 不能防病毒局限性3、 不能根據(jù)網(wǎng)絡(luò)被惡意使用和攻擊的情況動(dòng)態(tài)調(diào)整自己的策略4、 本身的防攻擊能力不夠，容易成為被攻擊的首要目標(biāo)2、IDS（入侵檢測(cè)系統(tǒng)）入侵檢測(cè)即通過從網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵節(jié)點(diǎn)收集并分析信息，監(jiān)控網(wǎng)絡(luò)中是定義否有違反安全策略的行為或者是否存在入侵行為。 入侵 檢測(cè)系統(tǒng)通常包含 3 個(gè)必要的

4、功能組件：信息來源、分析引擎和響應(yīng)組件。1、信息收集信息收集包括收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為。入侵檢測(cè)利用的信息一般來自：系統(tǒng)和網(wǎng)絡(luò)日志文件、非正常的目錄和文件改變、非正常的程序執(zhí)行這三個(gè)方面。工作原理2、信號(hào)分析對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，是通過模式匹配、統(tǒng)計(jì)分析和完整性分析這三種手段進(jìn)行分析的。前兩種用于實(shí)時(shí)入侵檢測(cè)，完整性分析用于事后分析。3、告警與響應(yīng)根據(jù)入侵性質(zhì)和類型，做出相應(yīng)的告警與響應(yīng)。它能夠提供安全審計(jì)、監(jiān)視、攻擊識(shí)別和反攻擊等多項(xiàng)功能，對(duì)內(nèi)部攻擊、外部攻擊和誤操作進(jìn)行實(shí)時(shí)監(jiān)控，在網(wǎng)絡(luò)安全技術(shù)中起到了不可替代的作用。1、實(shí)時(shí)監(jiān)測(cè)：實(shí)

5、時(shí)地監(jiān)視、分析網(wǎng)絡(luò)中所有的數(shù)據(jù)報(bào)文，發(fā)現(xiàn)并實(shí)時(shí)處理所捕主要功能 獲的數(shù)據(jù)報(bào)文；2、安全審計(jì)：對(duì)系統(tǒng)記錄的網(wǎng)絡(luò)事件進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)異?，F(xiàn)象，得出系統(tǒng)的安全狀態(tài)，找出所需要的證據(jù)3、主動(dòng)響應(yīng)：主動(dòng)切斷連接或與防火墻聯(lián)動(dòng)，調(diào)用其他程序處理。1、基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS)：基于主機(jī)的入侵檢測(cè)系統(tǒng)是早期的入侵檢測(cè)系統(tǒng)結(jié)構(gòu)，通常是軟件型的，直接安裝在需要保護(hù)的主機(jī)上。其檢測(cè)的目標(biāo)主要是主機(jī)系統(tǒng)和系統(tǒng)本地用戶，檢測(cè)原理是根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件。 這種檢測(cè)方式的優(yōu)點(diǎn)主要有：信息更詳細(xì)、誤報(bào)率要低、部署靈活。這種方式的缺點(diǎn)主要有：會(huì)降低應(yīng)用系統(tǒng)的性能；依賴于服務(wù)器原有的日志與監(jiān)視能力

6、；代價(jià)較大；不能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)；需安裝多個(gè)針對(duì)不同系統(tǒng)的檢測(cè)系統(tǒng)。2、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) (NIDS)：基于網(wǎng)絡(luò)的入侵檢測(cè)方式是目前一種比較主流的監(jiān)測(cè)方式，這類檢測(cè)系統(tǒng)需要有一臺(tái)專門的檢測(cè)設(shè)備。檢測(cè)設(shè)備放置在主要類型比較重要的網(wǎng)段內(nèi)，不停地監(jiān)視網(wǎng)段中的各種數(shù)據(jù)包，而不再是只監(jiān)測(cè)單一主機(jī)。它對(duì)所監(jiān)測(cè)的網(wǎng)絡(luò)上每一個(gè)數(shù)據(jù)包或可疑的數(shù)據(jù)包進(jìn)行特征分析，如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則吻合，入侵檢測(cè)系統(tǒng)就會(huì)發(fā)出警報(bào)，甚至直接切斷網(wǎng)絡(luò)連接。目前，大部分入侵檢測(cè)產(chǎn)品是基于網(wǎng)絡(luò)的。這種檢測(cè)技術(shù)的優(yōu)點(diǎn)主要有：能夠檢測(cè)那些來自網(wǎng)絡(luò)的攻擊和超過授權(quán)的非法訪問；不需要改變服務(wù)器等主機(jī)的配置，也不會(huì)影響主機(jī)性能；風(fēng)險(xiǎn)

7、低；配置簡(jiǎn)單。其缺點(diǎn)主要是：成本高、檢測(cè)范圍受局限；大量計(jì)算，影響系統(tǒng)性能；大量分析數(shù)據(jù)流，影響系統(tǒng)性能；對(duì)加密的會(huì)話過程處理較難；網(wǎng)絡(luò)流速高時(shí)可能會(huì)丟失許多封包，容易讓入侵者有機(jī)可乘；無(wú)法檢測(cè)加密的封包；對(duì)于直接對(duì)主機(jī)的入侵無(wú)法檢測(cè)出。入侵檢測(cè)系統(tǒng)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或主動(dòng)被動(dòng)者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。絕大多數(shù)IDS 系統(tǒng)都是被動(dòng)的。也就是說，在攻擊實(shí)際發(fā)生之前，它們往往無(wú)法預(yù)先發(fā)出警報(bào)。作為防火墻后的第二道防線，適于以旁路接入方式部署在具有重要業(yè)務(wù)系統(tǒng)使用方式或內(nèi)部網(wǎng)絡(luò)安全性、保密性較高的網(wǎng)絡(luò)出口處。局限性1、誤報(bào)率高：主要表現(xiàn)為把良性流量誤認(rèn)為惡

8、性流量進(jìn)行誤報(bào)。還有些IDS 產(chǎn)品會(huì)對(duì)用戶不關(guān)心事件的進(jìn)行誤報(bào)。2、產(chǎn)品適應(yīng)能力差： 傳統(tǒng)的 IDS 產(chǎn)品在開發(fā)時(shí)沒有考慮特定網(wǎng)絡(luò)環(huán)境下的需求，適應(yīng)能力差。 入侵檢測(cè)產(chǎn)品要能適應(yīng)當(dāng)前網(wǎng)絡(luò)技術(shù)和設(shè)備的發(fā)展進(jìn)行動(dòng)態(tài)調(diào)整，以適應(yīng)不同環(huán)境的需求。3、大型網(wǎng)絡(luò)管理能力差：首先，要確保新的產(chǎn)品體系結(jié)構(gòu)能夠支持?jǐn)?shù)以百計(jì)的 IDS 傳感器；其次，要能夠處理傳感器產(chǎn)生的告警事件；最后還要解決攻擊特征庫(kù)的建立，配置以及更新問題。4、缺少防御功能：大多數(shù)IDS 產(chǎn)品缺乏主動(dòng)防御功能。5、處理性能差：目前的百兆、千兆IDS 產(chǎn)品性能指標(biāo)與實(shí)際要求還存在很大的差距。3、IPS（入侵防御系統(tǒng)）入侵防御系統(tǒng)是一部能夠監(jiān)視網(wǎng)

9、絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)定義絡(luò)安全設(shè)備，能夠即時(shí)的中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)資料傳輸行為。1、串行部署的防火墻可以攔截低層攻擊行為，但對(duì)應(yīng)用層的深層攻擊行為無(wú)能為力。2、旁路部署的 IDS可以及時(shí)發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為，作為防火墻的有益補(bǔ)充，但很可惜的是無(wú)法實(shí)時(shí)的阻斷。3、 IDS 和防火墻聯(lián)動(dòng)：通過IDS 來發(fā)現(xiàn)，通過防火墻來阻斷。但由于迄今為止沒有統(tǒng)一的接口規(guī)范，加上越來越頻發(fā)的“瞬間攻擊”（一個(gè)會(huì)話就可以達(dá)成攻擊效果，如SQL注入、溢出攻擊等） ，使得 IDS 與防火墻聯(lián)動(dòng)在實(shí)際應(yīng)用中的效果不顯著。入侵檢測(cè)系統(tǒng)（IDS）對(duì)那些異常的、可能是入

10、侵行為的數(shù)據(jù)進(jìn)行檢測(cè)和報(bào)警，產(chǎn)生背景告知使用者網(wǎng)絡(luò)中的實(shí)時(shí)狀況，并提供相應(yīng)的解決、處理方法，是一種側(cè)重于風(fēng)險(xiǎn)管理的安全產(chǎn)品。入侵防御系統(tǒng)（ IPS）對(duì)那些被明確判斷為攻擊行為，會(huì)對(duì)網(wǎng)絡(luò)、數(shù)據(jù)造成危害的惡意行為進(jìn)行檢測(cè)和防御， 降低或是減免使用者對(duì)異常狀況的處理資源開銷，是一種側(cè)重于風(fēng)險(xiǎn)控制的安全產(chǎn)品。IDS 和 IPS的關(guān)系，并非取代和互斥，而是相互協(xié)作：沒有部署IDS 的時(shí)候，只能是憑感覺判斷，應(yīng)該在什么地方部署什么樣的安全產(chǎn)品，通過IDS 的廣泛部署，了解了網(wǎng)絡(luò)的當(dāng)前實(shí)時(shí)狀況，據(jù)此狀況可進(jìn)一步判斷應(yīng)該在何處部署何類安全產(chǎn)品（ IPS等）。1、入侵防護(hù)：實(shí)時(shí)、主動(dòng)攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒

11、、后門木馬、Dos 等惡意流量，保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。2、Web 安全：基于互聯(lián)網(wǎng)Web 站點(diǎn)的掛馬檢測(cè)結(jié)果，結(jié)合URL信譽(yù)評(píng)價(jià)技術(shù)，功能保護(hù)用戶在訪問被植入木馬等惡意代碼的網(wǎng)站時(shí)不受侵害，及時(shí)、有效地第一時(shí)間攔截Web 威脅。3、流量控制：阻斷一切非授權(quán)用戶流量，管理合法網(wǎng)絡(luò)資源的利用，有效保證關(guān)鍵應(yīng)用全天候暢通無(wú)阻，通過保護(hù)關(guān)鍵應(yīng)用帶寬來不斷提升企業(yè)IT 產(chǎn)出率和技術(shù)特征主要類型主動(dòng)被動(dòng)使用方式收益率。4、上網(wǎng)監(jiān)管：全面監(jiān)測(cè)和管理IM 即時(shí)通訊、 P2P 下載、網(wǎng)絡(luò)游戲、在線視頻，以及在線炒股等網(wǎng)絡(luò)行為，協(xié)助企業(yè)辨識(shí)和限制非授權(quán)網(wǎng)絡(luò)流量，更好

12、地執(zhí)行企業(yè)的安全策略。嵌入式運(yùn)行：只有以嵌入模式運(yùn)行的IPS 設(shè)備才能夠?qū)崿F(xiàn)實(shí)時(shí)的安全防護(hù)，實(shí)時(shí)阻攔所有可疑的數(shù)據(jù)包，并對(duì)該數(shù)據(jù)流的剩余部分進(jìn)行攔截。深入分析和控制：IPS 必須具有深入分析能力，以確定哪些惡意流量已經(jīng)被攔截，根據(jù)攻擊類型、策略等來確定哪些流量應(yīng)該被攔截。入侵特征庫(kù)：高質(zhì)量的入侵特征庫(kù)是IPS 高效運(yùn)行的必要條件，IPS 還應(yīng)該定期升級(jí)入侵特征庫(kù)，并快速應(yīng)用到所有傳感器。高效處理能力： IPS必須具有高效處理數(shù)據(jù)包的能力，對(duì)整個(gè)網(wǎng)絡(luò)性能的影響保持在最低水平。1基于特征的IPS這是許多IPS解決方案中最常用的方法。把特征添加到設(shè)備中，可識(shí)別當(dāng)前最常見的攻擊。也被稱為模式匹配 IP

13、S。特征庫(kù)可以添加、調(diào)整和更新，以應(yīng)對(duì)新的攻擊。2. 基于異常的 IPS 也被稱為基于行規(guī)的 IPS。基于異常的方法可以用統(tǒng)計(jì)異常檢測(cè)和非統(tǒng)計(jì)異常檢測(cè)。3、基于策略的IPS：它更關(guān)心的是是否執(zhí)行組織的安保策略。如果檢測(cè)的活動(dòng)違反了組織的安保策略就觸發(fā)報(bào)警。使用這種方法的IPS，要把安全策略寫入設(shè)備之中。4.基于協(xié)議分析的IPS它與基于特征的方法類似。大多數(shù)情況檢查常見的特征，但基于協(xié)議分析的方法可以做更深入的數(shù)據(jù)包檢查，能更靈活地發(fā)現(xiàn)某些類型的攻擊。IPS 傾向于提供主動(dòng)防護(hù)，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。串

14、聯(lián)部署在具有重要業(yè)務(wù)系統(tǒng)或內(nèi)部網(wǎng)絡(luò)安全性、保密性較高的網(wǎng)絡(luò)出口處。4、漏洞掃描設(shè)備漏洞掃描是指基于漏洞數(shù)據(jù)庫(kù)，通過掃描等手段對(duì)指定的遠(yuǎn)程或者本地計(jì)算機(jī)定義系統(tǒng)的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用的漏洞的一種安全檢測(cè)（滲透攻擊）行為?？梢詫?duì)網(wǎng)站、系統(tǒng)、數(shù)據(jù)庫(kù)、端口、應(yīng)用軟件等一些網(wǎng)絡(luò)設(shè)備應(yīng)用進(jìn)行智能識(shí)別掃描檢測(cè)，并對(duì)其檢測(cè)出的漏洞進(jìn)行報(bào)警提示管理人員進(jìn)行修復(fù)。同時(shí)可以對(duì)漏洞修復(fù)情況進(jìn)行監(jiān)督并自動(dòng)定時(shí)對(duì)漏洞進(jìn)行審計(jì)提高漏洞修復(fù)效率。1、定期的網(wǎng)絡(luò)安全自我檢測(cè)、評(píng)估 安全檢測(cè)可幫助客戶最大可能的消除安全主要功能 隱患，盡可能早地發(fā)現(xiàn)安全漏洞并進(jìn)行修補(bǔ)，有效的利用已有系統(tǒng)，提高網(wǎng)絡(luò)的運(yùn)行效率。2、安裝新軟

15、件、啟動(dòng)新服務(wù)后的檢查由于漏洞和安全隱患的形式多種多樣，安裝新軟件和啟動(dòng)新服務(wù)都 有可能使原來隱藏的漏洞暴露出來， 因此進(jìn)行這些操作之后應(yīng)該重新掃 描系統(tǒng)，才能使安全得到保障。3、網(wǎng)絡(luò)承擔(dān)重要任務(wù)前的安全性測(cè)試4、網(wǎng)絡(luò)安全事故后的分析調(diào)查網(wǎng)絡(luò)安全事故后可以通過網(wǎng)絡(luò)漏洞掃描/ 網(wǎng)絡(luò)評(píng)估系統(tǒng)分析確定網(wǎng)絡(luò)被攻擊的漏洞所在，幫助彌補(bǔ)漏洞，盡可能多得提供資料方便調(diào)查攻擊的來源。5、重大網(wǎng)絡(luò)安全事件前的準(zhǔn)備重大網(wǎng)絡(luò)安全事件前網(wǎng)絡(luò)漏洞掃描/ 網(wǎng)絡(luò)評(píng)估系統(tǒng)能夠幫助用戶及時(shí)的找出網(wǎng)絡(luò)中存在的隱患和漏洞，幫助用戶及時(shí)的彌補(bǔ)漏洞。1.主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否在線。2.端口掃描：發(fā)現(xiàn)遠(yuǎn)程主機(jī)開放的端口以及

16、服務(wù)。3. OS 識(shí)別技術(shù) :根據(jù)信息和協(xié)議棧判別操作系統(tǒng)。主要技術(shù)4.漏洞檢測(cè)數(shù)據(jù)采集技術(shù)：按照網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)庫(kù)進(jìn)行掃描。主要類型5.智能端口識(shí)別、多重服務(wù)檢測(cè)、安全優(yōu)化掃描、系統(tǒng)滲透掃描6.多種數(shù)據(jù)庫(kù)自動(dòng)化檢查技術(shù)，數(shù)據(jù)庫(kù)實(shí)例發(fā)現(xiàn)技術(shù)；1.針對(duì)網(wǎng)絡(luò)的掃描器： 基于網(wǎng)絡(luò)的掃描器就是通過網(wǎng)絡(luò)來掃描遠(yuǎn)程計(jì)算機(jī)中的漏洞。價(jià)格相對(duì)來說比較便宜；在操作過程中，不需要涉及到目標(biāo)系統(tǒng)的管理員，在檢測(cè)過程中不需要在目標(biāo)系統(tǒng)上安裝任何東西；維護(hù)簡(jiǎn)便。2.針對(duì)主機(jī)的掃描器： 基于主機(jī)的掃描器則是在目標(biāo)系統(tǒng)上安裝了一個(gè)代理或者是服務(wù)，以便能夠訪問所有的文件與進(jìn)程，這也使得基于主機(jī)的掃描器能夠掃描到更多的漏洞。3

17、.針對(duì)數(shù)據(jù)庫(kù)的掃描器：數(shù)據(jù)庫(kù)漏掃可以檢測(cè)出數(shù)據(jù)庫(kù)的DBMS 漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補(bǔ)丁未升級(jí)等自身漏洞。1、獨(dú)立式部署：在網(wǎng)絡(luò)中只部署一臺(tái)漏掃設(shè)備，接入網(wǎng)絡(luò)并進(jìn)行正確的配置即可正常使用，其工作范圍通常包含用戶企業(yè)的整個(gè)網(wǎng)絡(luò)地址。用戶可以從任意地址登錄漏掃系統(tǒng)并下達(dá)掃描評(píng)估任務(wù)， 檢查任務(wù)的地址必須 在產(chǎn)品和分配給使用方式 此用戶的授權(quán)范圍內(nèi)。2、多級(jí)式部署： 對(duì)于一些大規(guī)模和分布式網(wǎng)絡(luò)用戶，建議使用分布式部署方式。在大型網(wǎng)絡(luò)中采用多臺(tái)漏掃系統(tǒng)共同工作，可對(duì)各系統(tǒng)間的數(shù)據(jù)共享并匯總，方便用戶對(duì)分布式網(wǎng)絡(luò)進(jìn)行集中管理。1、 優(yōu)點(diǎn)有利于及早發(fā)現(xiàn)問題，并從根本上解決安全隱患。優(yōu)缺點(diǎn)

18、2、 不足只能針對(duì)已知安全問題進(jìn)行掃描；準(zhǔn)確性和指導(dǎo)性有待改善。5、安全隔離網(wǎng)閘安全隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立網(wǎng)絡(luò)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立網(wǎng)絡(luò)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)定義協(xié)議的信息包轉(zhuǎn)發(fā)， 只有數(shù)據(jù)文件的無(wú)協(xié)議 “擺渡”，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有 “讀”和“寫”兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無(wú)法入侵、無(wú)法攻擊、無(wú)法破壞，實(shí)現(xiàn)了真正的安全。安全隔離閘門的功能模塊有：安全隔離、內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)換、病毒查殺、功能模塊訪問控制、安全審

19、計(jì)、身份認(rèn)證主要功能1、阻斷網(wǎng)絡(luò)的直接物理連接：物理隔離網(wǎng)閘在任何時(shí)刻都只能與非可信網(wǎng)絡(luò)和可信網(wǎng)絡(luò)上之一相連接，而不能同時(shí)與兩個(gè)網(wǎng)絡(luò)連接；2、阻斷網(wǎng)絡(luò)的邏輯連接：物理隔離網(wǎng)閘不依賴操作系統(tǒng)、不支持兩個(gè)網(wǎng)絡(luò)之間的信息交換必須將TCP/IP 協(xié)議剝離，將原始數(shù)據(jù)通過TCP/IP協(xié)議。P2P 的非TCP/IP連接方式，通過存儲(chǔ)介質(zhì)的“寫入”與“讀出”完成數(shù)據(jù)轉(zhuǎn)發(fā)；3、安全審查：物理隔離網(wǎng)閘具有安全審查功能，即網(wǎng)絡(luò)在將原始數(shù)據(jù)“寫入”物理隔離網(wǎng)閘前，根據(jù)需要對(duì)原始數(shù)據(jù)的安全性進(jìn)行檢查，把可能的病毒代碼、惡意攻擊代碼消滅干凈等；4、原始數(shù)據(jù)無(wú)危害性：物理隔離網(wǎng)閘轉(zhuǎn)發(fā)的原始數(shù)據(jù)，不具有攻擊或?qū)W(wǎng)絡(luò)安全有害

20、的特性。就像 txt 文本不會(huì)有病毒一樣，也不會(huì)執(zhí)行命令等。5、管理和控制功能：建立完善的日志系統(tǒng)。6、根據(jù)需要建立數(shù)據(jù)特征庫(kù)：在應(yīng)用初始化階段，結(jié)合應(yīng)用要求，提取應(yīng)用數(shù)據(jù)的特征，形成用戶特有的數(shù)據(jù)特征庫(kù)，作為運(yùn)行過程中數(shù)據(jù)校驗(yàn)的基礎(chǔ)。當(dāng)用戶請(qǐng)求時(shí)，提取用戶的應(yīng)用數(shù)據(jù)，抽取數(shù)據(jù)特征和原始數(shù)據(jù)特征庫(kù)比較，符合原始特征庫(kù)的數(shù)據(jù)請(qǐng)求進(jìn)入請(qǐng)求隊(duì)列，不符合的返回用戶，實(shí)現(xiàn)對(duì)數(shù)據(jù)的過濾。7、根據(jù)需要提供定制安全策略和傳輸策略的功能：用戶可以自行設(shè)定數(shù)據(jù)的傳輸策略，如：傳輸單位（基于數(shù)據(jù)還是基于任務(wù)） 、傳輸間隔、傳輸方向、傳輸時(shí)間、啟動(dòng)時(shí)間等。8、支持定時(shí) / 實(shí)時(shí)文件交換；支持支持單向 / 雙向文件交換

21、；支持?jǐn)?shù)字簽名、內(nèi)容過濾、病毒檢查等功能。安全隔離網(wǎng)閘的組成： 安全隔離網(wǎng)閘是實(shí)現(xiàn)兩個(gè)相互業(yè)務(wù)隔離的網(wǎng)絡(luò)之間的數(shù)據(jù)交換，通用的網(wǎng)閘模型設(shè)計(jì)一般分三個(gè)基本部分：1、 內(nèi)網(wǎng)處理單元：包括內(nèi)網(wǎng)接口單元與內(nèi)網(wǎng)數(shù)據(jù)緩沖區(qū)。接口部分負(fù)責(zé)與內(nèi)網(wǎng)的連接，并終止內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)連接，對(duì)數(shù)據(jù)進(jìn)行病毒檢測(cè)、防火墻、入侵防護(hù)等安全檢測(cè)后剝離出“純數(shù)據(jù)” ，作好交換的準(zhǔn)備，也完成來自內(nèi)網(wǎng)對(duì)用戶身份的確認(rèn)，確保數(shù)據(jù)的安全通道；數(shù)據(jù)緩沖區(qū)是存放并調(diào)度剝離后的數(shù)據(jù)，負(fù)責(zé)與隔離交換單元的數(shù)據(jù)交換。2、 外網(wǎng)處理單元：與內(nèi)網(wǎng)處理單元功能相同，但處理的是外網(wǎng)連接。3、 隔離與交換控制單元（隔離硬件）：是網(wǎng)閘隔離控制的擺渡控制，控制交

22、換通道的開啟與關(guān)閉。控制單元中包含一個(gè)數(shù)據(jù)交換區(qū)，就是數(shù)據(jù)交換中的擺工作原理渡船。對(duì)交換通道的控制的方式目前有兩種技術(shù)，擺渡開關(guān)與通道控制。擺渡開關(guān)是電子倒換開關(guān)，讓數(shù)據(jù)交換區(qū)與內(nèi)外網(wǎng)在任意時(shí)刻的不同時(shí)連接，形成空間間隔 GAP，實(shí)現(xiàn)物理隔離。通道方式是在內(nèi)外網(wǎng)之間改變通訊模式，中斷了內(nèi)外網(wǎng)的直接連接，采用私密的通訊手段形成內(nèi)外網(wǎng)的物理隔離。該單元中有一個(gè)數(shù)據(jù)交換區(qū)，作為交換數(shù)據(jù)的中轉(zhuǎn)。其中，三個(gè)單元都要求其軟件的操作系統(tǒng)是安全的，也就是采用非通用的操作系統(tǒng)，或改造后的專用操作系統(tǒng)。一般為Unix BSD 或 Linux 的經(jīng)安全精簡(jiǎn)版本，或者其他是嵌入式操作系統(tǒng)等，但都要對(duì)底層不需要的協(xié)議、

23、服務(wù)刪除，使用的協(xié)議優(yōu)化改造，增加安全特性，同時(shí)提高效率。如果針對(duì)網(wǎng)絡(luò)七層協(xié)議，安全隔離網(wǎng)閘是在硬件鏈路層上斷開。1、與物理隔離卡的區(qū)別安全隔離網(wǎng)閘與物理隔離卡最主要的區(qū)別是，安全隔離網(wǎng)閘能夠?qū)崿F(xiàn)兩個(gè)網(wǎng)絡(luò)間的自動(dòng)的安全適度的信息交換，而物理隔離卡只能區(qū)別比較 提供一臺(tái)計(jì)算機(jī)在兩個(gè)網(wǎng)之間切換，并且需要手動(dòng)操作，大部分的隔離卡還要求系統(tǒng)重新啟動(dòng)以便切換硬盤。2、網(wǎng)絡(luò)交換信息的區(qū)別安全隔離網(wǎng)閘在網(wǎng)絡(luò)間進(jìn)行的安全適度的信息交換是在網(wǎng)絡(luò)之間不存在鏈路層連接的情況下進(jìn)行的。安全隔離網(wǎng)閘直接處理網(wǎng)絡(luò)間的應(yīng)用層數(shù)據(jù)，利用存儲(chǔ)轉(zhuǎn)發(fā)的方法進(jìn)行應(yīng)用數(shù)據(jù)的交換，在交換的同時(shí)，對(duì)應(yīng)用數(shù)據(jù)進(jìn)行的各種安全檢查。路由器、交換

24、機(jī)則保持鏈路層暢通，在鏈路層之上進(jìn)行IP 包等網(wǎng)絡(luò)層數(shù)據(jù)的直接轉(zhuǎn)發(fā)，沒有考慮網(wǎng)絡(luò)安全和數(shù)據(jù)安全的問題。3、與防火墻的區(qū)別防火墻一般在進(jìn)行IP 包轉(zhuǎn)發(fā)的同時(shí)，通過對(duì)IP 包的處理，實(shí)現(xiàn)對(duì) TCP 會(huì)話的控制，但是對(duì)應(yīng)用數(shù)據(jù)的內(nèi)容不進(jìn)行檢查。這種工作方式無(wú)法防止泄密，也無(wú)法防止病毒和黑客程序的攻擊。使用方式1、涉密網(wǎng)與非涉密網(wǎng)之間2、 局域網(wǎng)與互聯(lián)網(wǎng)之間 （內(nèi)網(wǎng)與外網(wǎng)之間）3、辦公網(wǎng)與業(yè)務(wù)網(wǎng)之間4、 業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)之間6、VPN 設(shè)備定義主要功能工作原理虛擬專用網(wǎng)絡(luò)指的是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)的技術(shù)。之所以稱為虛擬網(wǎng)主要是因?yàn)檎麄€(gè) VPN 網(wǎng)絡(luò)的任意兩個(gè)節(jié)點(diǎn)之間的連接并沒 有傳統(tǒng)專網(wǎng)所需的端到端

25、的物理鏈路，而是架構(gòu)在公用網(wǎng)絡(luò)服務(wù)商所提供的網(wǎng)絡(luò)平臺(tái)之上的邏輯網(wǎng)絡(luò)，用戶數(shù)據(jù)在邏輯鏈路中傳輸。1、通過隧道或虛電路實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)2、支持用戶安全管理3、能夠進(jìn)行網(wǎng)絡(luò)監(jiān)控、故障診斷。1、通常情況下，VPN 網(wǎng)關(guān)采取雙網(wǎng)卡結(jié)構(gòu)，外網(wǎng)卡使用公網(wǎng)IP 接入 Internet 。2、網(wǎng)絡(luò)一 (假定為公網(wǎng)internet) 的終端 A 訪問網(wǎng)絡(luò)二 (假定為公司內(nèi)網(wǎng))的終端 B，其發(fā)出的訪問數(shù)據(jù)包的目標(biāo)地址為終端B 的內(nèi)部 IP 地址。3、網(wǎng)絡(luò)一的 VPN 網(wǎng)關(guān)在接收到終端 A 發(fā)出的訪問數(shù)據(jù)包時(shí)對(duì)其目標(biāo)地址進(jìn)行檢查，如果目標(biāo)地址屬于網(wǎng)絡(luò)二的地址，則將該數(shù)據(jù)包進(jìn)行封裝，封裝的方式根據(jù)所采用的 VPN 技術(shù)不同

26、而不同，同時(shí) VPN 網(wǎng)關(guān)會(huì)構(gòu)造一個(gè)新 VPN 數(shù)據(jù)包，并將封裝后的原數(shù)據(jù)包作為 VPN 數(shù)據(jù)包的 負(fù)載，VPN 數(shù)據(jù)包的目標(biāo)地址為網(wǎng)絡(luò)二的 VPN 網(wǎng)關(guān)的外部地址。4、網(wǎng)絡(luò)一的VPN 網(wǎng)關(guān)將 VPN 數(shù)據(jù)包發(fā)送到Internet ，由于 VPN 數(shù)據(jù)包的目標(biāo)地址是網(wǎng)絡(luò)二的VPN 網(wǎng)關(guān)的外部地址，所以該數(shù)據(jù)包將被Internet 中的路由正確地發(fā)送到網(wǎng)絡(luò)二的 VPN 網(wǎng)關(guān)。5、網(wǎng)絡(luò)二的 VPN 網(wǎng)關(guān)對(duì)接收到的數(shù)據(jù)包進(jìn)行檢查，如果發(fā)現(xiàn)該數(shù)據(jù)包是從網(wǎng)絡(luò)一的 VPN 網(wǎng)關(guān)發(fā)出的，即可判定該數(shù)據(jù)包為VPN 數(shù)據(jù)包，并對(duì)該數(shù)據(jù)包進(jìn)行解包處理。解包的過程主要是先將VPN 數(shù)據(jù)包的包頭剝離，再將數(shù)據(jù)包反向處

27、理還原成原始的數(shù)據(jù)包。6、網(wǎng)絡(luò)二的 VPN 網(wǎng)關(guān)將還原后的原始數(shù)據(jù)包發(fā)送至目標(biāo)終端B，由于原始數(shù)據(jù)包的目標(biāo)地址是終端 B 的 IP，所以該數(shù)據(jù)包能夠被正確地發(fā)送到終端B。在終端 B 看來，它收到的數(shù)據(jù)包就和從終端A 直接發(fā)過來的一樣。7、從終端 B 返回終端 A 的數(shù)據(jù)包處理過程和上述過程一樣，這樣兩個(gè)網(wǎng)絡(luò)內(nèi)的終端就可以相互通訊了。通過上述說明可以發(fā)現(xiàn)，在VPN 網(wǎng)關(guān)對(duì)數(shù)據(jù)包進(jìn)行處理時(shí)，有兩個(gè)參數(shù)對(duì)于VPN 通訊十分重要：原始數(shù)據(jù)包的目標(biāo)地址（VPN 目標(biāo)地址）和遠(yuǎn)程 VPN 網(wǎng)關(guān)地址。根據(jù)VPN 目標(biāo)地址， VPN 網(wǎng)關(guān)能夠判斷對(duì)哪些數(shù)據(jù)包進(jìn)行 VPN 處理，對(duì)于不需要處理的數(shù)據(jù)包通常情況下

28、可直接轉(zhuǎn)發(fā)到上級(jí)路由；遠(yuǎn)程 VPN 網(wǎng)關(guān)地址則指定了處理后的VPN 數(shù)據(jù)包發(fā)送的目標(biāo)地址， 即 VPN隧道的另一端VPN 網(wǎng)關(guān)地址。由于網(wǎng)絡(luò)通訊是雙向的，在進(jìn)行VPN 通訊時(shí)，隧常用 VPN技術(shù)道兩端的 VPN 網(wǎng)關(guān)都必須知道VPN 目標(biāo)地址和與此對(duì)應(yīng)的遠(yuǎn)端VPN 網(wǎng)關(guān)地址。1、MPLS VPN：是一種基于MPLS技術(shù)的 IP VPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用 MPLS（多協(xié)議標(biāo)記交換）技術(shù)，簡(jiǎn)化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP 虛擬專用網(wǎng)絡(luò)（ IP VPN）。 MPLS 優(yōu)勢(shì)在于將二層交換和三層路由技術(shù)結(jié)合起來，在解決VPN、服務(wù)分類和流量工程這些IP網(wǎng)

29、絡(luò)的重大問題時(shí)具有很優(yōu)異的表現(xiàn)。因此，MPLS VPN在解決企業(yè)互連、提供各種新業(yè)務(wù)方面也越來越被運(yùn)營(yíng)商看好，成為在IP 網(wǎng)絡(luò)運(yùn)營(yíng)商提供增值業(yè)務(wù)的重要手段。MPLS VPN又可分為二層 MPLS VPN（即 MPLS L2 VPN）和三層 MPLS VPN （即 MPLS L3 VPN）。2、 SSL VPN：是以 HTTPS（ Secure HTTP，安全的HTTP，即支持SSL 的 HTTP 協(xié)主要類型實(shí)現(xiàn)方式議）為基礎(chǔ)的VPN 技術(shù)，工作在傳輸層和應(yīng)用層之間。SSL VPN充分利用了SSL協(xié)議提供的基于證書的身份認(rèn)證、數(shù)據(jù)加密和消息完整性驗(yàn)證機(jī)制，可以為應(yīng)用層之間的通信建立安全連接。SS

30、L VPN廣泛應(yīng)用于基于Web 的遠(yuǎn)程安全接入，為用戶遠(yuǎn)程訪問公司內(nèi)部網(wǎng)絡(luò)提供了安全保證。3 IPSec VPN是基于 IPSec協(xié)議的 VPN 技術(shù)，由IPSec協(xié)議提供隧道安全保障。IPSec是一種由IETF 設(shè)計(jì)的端到端的確保基于IP 通訊的數(shù)據(jù)安全性的機(jī)制。它為 Internet 上傳輸?shù)臄?shù)據(jù)提供了高質(zhì)量的、 可互操作的、基于密碼學(xué)的安全保證。按所用的設(shè)備類型進(jìn)行分類：主要為交換機(jī)、路由器和防火墻：（ 1）路由器式VPN：路由器式VPN 部署較容易，只要在路由器上添加VPN 服務(wù)即可；（ 2）交換機(jī)式 VPN：主要應(yīng)用于連接用戶較少的VPN 網(wǎng)絡(luò)；（ 3）防火墻式 VPN：防火墻式 V

31、PN 是最常見的一種 VPN 的實(shí)現(xiàn)方式，許多廠商都提供這種配置類型；VPN 的隧道協(xié)議主要有三種，PPTP、L2TP和 IPSec，其中 PPTP和 L2TP協(xié)議工作在 OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議。VPN 的實(shí)現(xiàn)有很多種方法，常用的有以下四種：1 VPN 服務(wù)器：在大型局域網(wǎng)中，可以通過在網(wǎng)絡(luò)中心搭建VPN 服務(wù)器的方法實(shí)現(xiàn)VPN。2軟件 VPN：可以通過專用的軟件實(shí)現(xiàn)VPN。3硬件 VPN：可以通過專用的硬件實(shí)現(xiàn)VPN。4集成 VPN：某些硬件設(shè)備，如路由器、防火墻等，都含有VPN 功能，但是一般擁有 VPN 功能的硬件設(shè)備通常都比沒有這一功能的要貴

32、。7、流量監(jiān)控設(shè)備網(wǎng)絡(luò)流量控制是一種利用軟件或硬件方式來實(shí)現(xiàn)對(duì)電腦網(wǎng)絡(luò)流量的控制。定義它的最主要方法，是引入QoS 的概念，從通過為不同類型的網(wǎng)絡(luò)數(shù)據(jù)包標(biāo)記，從而決定數(shù)據(jù)包通行的優(yōu)先次序。類型流控技術(shù)分為兩種：一種是傳統(tǒng)的流控方式，通過路由器、交換機(jī)的QoS 模塊實(shí)現(xiàn)基于源地址、目的地址、 源端口、 目的端口以及協(xié)議類型的流量控制，屬于四層流控；路技術(shù)由交換設(shè)備可以通過修改路由轉(zhuǎn)發(fā)表，實(shí)現(xiàn)一定程度的流量控制，但這種傳統(tǒng)的 IP 包流量識(shí)別和QoS 控制技術(shù)，僅對(duì)IP 包頭中的“五元組”信息進(jìn)行分析，來確定當(dāng)前流量的基本信息。傳統(tǒng) IP 路由器也正是通過這一系列信息來實(shí)現(xiàn)一定程度的流量識(shí)別和Qo

33、S 保障，但其僅僅分析IP 包的四層以下的內(nèi)容，包括源地址、目的地址、源端口、目的端口以及協(xié)議類型。隨著網(wǎng)上應(yīng)用類型的不斷豐富，僅通過第四層端口信息已經(jīng)不能真正判斷流量中的應(yīng)用類型，更不能應(yīng)對(duì)基于開放端口、隨機(jī)端口甚至采用加密方式進(jìn)行傳輸?shù)膽?yīng)用類型。 例如， P2P 類應(yīng)用會(huì)使用跳動(dòng)端口技術(shù)及加密方式進(jìn)行傳輸，基于交換路由設(shè)備進(jìn)行流量控制的方法對(duì)此完全失效。另一種是智能流控方式，通過專業(yè)的流控設(shè)備實(shí)現(xiàn)基于應(yīng)用層的流控，屬于七層流控。1、全面透視網(wǎng)絡(luò)流量，快速發(fā)現(xiàn)與定位網(wǎng)絡(luò)故障2、保障關(guān)鍵應(yīng)用的穩(wěn)定運(yùn)行，確保重要業(yè)務(wù)順暢地使用網(wǎng)絡(luò)3、限制與工作無(wú)關(guān)的流量，防止對(duì)帶寬的濫用4、管理員工上網(wǎng)行為，提

34、高員工網(wǎng)上辦公的效率主要功能5、依照法規(guī)要求記錄上網(wǎng)日志，避免違法行為6、保障內(nèi)部信息安全，減少泄密風(fēng)險(xiǎn)7、保障服務(wù)器帶寬，保護(hù)服務(wù)器安全8、內(nèi)置企業(yè)級(jí)路由器與防火墻，降低安全風(fēng)險(xiǎn)9、專業(yè)負(fù)載均衡，提升多線路的使用價(jià)值1、網(wǎng)關(guān)模式 : 置于出口網(wǎng)關(guān)，所有數(shù)據(jù)流直接經(jīng)由設(shè)備端口通過；2、網(wǎng)橋模式：如同集線器的作用，設(shè)備置于網(wǎng)關(guān)出口之后，設(shè)置簡(jiǎn)單、透明；使用方式3、旁路模式：與交換機(jī)鏡像端口相連，通過對(duì)網(wǎng)絡(luò)出口的交換機(jī)進(jìn)行鏡像映射，設(shè)備獲得鏈路中的數(shù)據(jù)“拷貝” ，主要用于監(jiān)聽、審計(jì)局域網(wǎng)中的數(shù)據(jù)流及用戶的網(wǎng)絡(luò)行為。8、防病毒網(wǎng)關(guān)（防毒墻）防病毒網(wǎng)關(guān)是一種網(wǎng)絡(luò)設(shè)備，用以保護(hù)網(wǎng)絡(luò)內(nèi)（一般是局域網(wǎng)）進(jìn)出

35、數(shù)據(jù)的定義安全。主要體現(xiàn)在病毒殺除、關(guān)鍵字過濾（如色情、反動(dòng)）、 垃圾郵件阻止的功能，同時(shí)部分設(shè)備也具有一定防火墻（劃分Vlan）的功能。1、病毒殺除2、關(guān)鍵字過濾3、垃圾郵件阻止的功能主要功能http 、ftp 、4、部分設(shè)備也具有一定防火墻能夠檢測(cè)進(jìn)出網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)，對(duì)SMTP、 IMAP 和 POP3 五種協(xié)議的數(shù)據(jù)進(jìn)行病毒掃描，一旦發(fā)現(xiàn)病毒就會(huì)采取相應(yīng)的手段進(jìn)行隔離或查殺，在防護(hù)病毒方面起到了非常大的作用。1、防病毒網(wǎng)關(guān)：專注病毒過濾，阻斷病毒傳輸，工作協(xié)議層為ISO 2-7 層，分析數(shù)據(jù)包中的傳輸數(shù)據(jù)內(nèi)容，運(yùn)用病毒分析技術(shù)處理病毒體，具有防火與防火墻的墻訪問控制功能模塊區(qū)別2、防火墻

36、： 專注訪問控制， 控制非法授權(quán)訪問， 工作協(xié)議層為 ISO 2-4 層，分析數(shù)據(jù)包中源 IP 目的 IP，對(duì)比規(guī)則控制訪問方向，不具有病毒過濾功能1、防病毒網(wǎng)關(guān)：基于網(wǎng)絡(luò)層過濾病毒；阻斷病毒體網(wǎng)絡(luò)傳輸；網(wǎng)關(guān)阻斷病與防病毒軟毒傳輸，主動(dòng)防御病毒于網(wǎng)絡(luò)之外；網(wǎng)關(guān)設(shè)備配置病毒過濾策略，方便、扼件的區(qū)別守咽喉；過濾出入網(wǎng)關(guān)的數(shù)據(jù)；與殺毒軟件聯(lián)動(dòng)建立多層次反病毒體系。2、防病毒軟件：基于操作系統(tǒng)病毒清除；清除進(jìn)入操作系統(tǒng)病毒；病毒對(duì)查殺方式使用方式9、WAF（ Web定義系統(tǒng)核心技術(shù)濫用導(dǎo)致病毒清除困難，研究主動(dòng)防御技術(shù)；主動(dòng)防御技術(shù)專業(yè)性強(qiáng)，普及困難；管理安裝殺毒軟件終端；病毒發(fā)展互聯(lián)網(wǎng)化需要網(wǎng)關(guān)級(jí)

37、反病毒技術(shù)配合。對(duì)進(jìn)出防病毒網(wǎng)關(guān)數(shù)據(jù)監(jiān)測(cè)：以特征碼匹配技術(shù)為主；對(duì)監(jiān)測(cè)出病毒數(shù)據(jù)進(jìn)行查殺：采取將數(shù)據(jù)包還原成文件的方式進(jìn)行病毒處理。1、基于代理服務(wù)器的方式2、基于防火墻協(xié)議還原的方式3、基于郵件服務(wù)器的方式1、透明模式：串聯(lián)接入網(wǎng)絡(luò)出口處，部署簡(jiǎn)單2、旁路代理模式：強(qiáng)制客戶端的流量經(jīng)過防病毒網(wǎng)關(guān)，防病毒網(wǎng)關(guān)僅僅需要處理要檢測(cè)的相關(guān)協(xié)議，不需要處理其他協(xié)議的轉(zhuǎn)發(fā)，可以較好的提高設(shè)備性能。3、旁路模式：與旁路代理模式部署的拓?fù)湟粯?，不同的是，旁路模式只能起到檢測(cè)作用，對(duì)于已檢測(cè)到的病毒無(wú)法做到清除。應(yīng)用防火墻）Web 應(yīng)用防火墻是通過執(zhí)行一系列針對(duì)HTTP/HTTPS的安全策略來專門為Web 應(yīng)用提供保護(hù)的一種設(shè)備。當(dāng) WEB 應(yīng)用越來越為豐富的同時(shí)， WEB 服務(wù)器以其強(qiáng)大的計(jì)算能力、處理性能及蘊(yùn)含的較高價(jià)值逐漸成為主要攻擊目標(biāo)。SQL 注入、網(wǎng)頁(yè)篡改、網(wǎng)頁(yè)掛馬等安全事件，頻繁發(fā)生。 企業(yè)等用戶一般采用防火墻作為安全保障體系的第一道防線。但是，在現(xiàn)實(shí)中，他們存在這樣那樣的問題，由此產(chǎn)生了產(chǎn)生背景WAF（ Web 應(yīng)用防護(hù)系統(tǒng)） 。 Web 應(yīng)用防護(hù)系統(tǒng)用以解決諸如防火墻一類傳統(tǒng)設(shè)備束手無(wú)策的Web 應(yīng)用安全問題。與傳統(tǒng)防火墻不同，WAF 工作在應(yīng)用層，因此對(duì) Web 應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢(shì)?；趯?duì)Web 應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF 對(duì)來自 Web 應(yīng)用程序客戶端