网络安全产品.doc

网络安全产品，你认识几个？一、杀毒软件网络版我想每个进来的朋友都会知道杀毒软件，差不多人机一套单机版了吧？，也曾听说过企业版，不要怀疑，网络版和企业版其实是一个概念，只是大家的叫法不同而已。我想有不少朋友从网上下载过诺顿的企业版，我也用过。感觉和单机版没啥区别。事实上，网络版与单机版对个人用户而言，确实是没有明显的区别。之中区别是让网络管理员来体会的。网络版可以通过服务器端（控制中心）对客户端（就是你办工桌上的电脑）进行统一的安装、升级、杀毒、管理等等，这大大减轻了管理员的工作，也提高了整体网络的安全性能。我们都能理解，并非每个用户都会及时的升级自己电脑里的杀毒软件，比如说专业知识不多的打字员，他（她）可能对word非常熟练，但对杀毒软件如何升级，有没有必要升级，或许是个很模糊的概念。我们也知道，一个网络受到病毒的威胁，并不一定来自外部公共网络（比如下载了不安全文件、登陆了不良网站），有时一个U盘，也许会将整个网络搞夸。所以，要实现网络的整体安全必须先实现每个客户端的安全。而让网络管理员对每台电脑的杀毒软件进行升级和查杀病毒，那么管理员的工作时间将会在升级中度过。一个好的杀毒软件网络版和一个尽职的网络管理员，将会为网络安全作出很大的贡献。当然，一套单机版杀毒软件也就几百块人民币，而一个网络版杀毒软件，少则上千，多则数十万。安全方便，是要付出代价的。二、防火墙我很少装防火墙，除非是杀毒软件自身会带防火墙，比如瑞星、江民、卡巴斯基，单独让我去找个专业的防火墙有些难度。但我这里说的不是软件防火墙，而是硬件防火墙。对于个人用户而言，有个软件防火墙已经差不多了，受到攻击的时候大不了断开网络。但对于一个企业或者组织，在当今对网络非常依赖的情况下，要断开网络无异于与社会隔离。那么硬件防火墙对软件防火墙而言，有什么好处或者优点呢？好处还是很明显的。首先硬件防火墙不像软件防火墙安装在我们的操作系统上，现在应用最为广泛的是windows系统，而windows系统也是漏洞百出，很不稳定，一旦黑客或者攻击方式利用了系统的漏洞，那么软件防火墙基本上就成了聋子的耳朵了。而硬件防火墙一般都有自己独特的操作系统，或者没有操作系统，这就大大增强了防火墙的安全性和稳定性。硬件防火墙一般是放置在内网和外网的接口处，如果你们公司或单位很有人民币或者美元或者欧元等等，基本上可以在每台电脑前接个硬件防火墙。一旦网络受到外网的攻击，首当其冲的是硬件防火墙，除非防火墙被攻破，否则内网的运行基本是没什么影响的。但硬件防火墙也有高低不等的产品，该如何选择呢？单从产品上来说，你首先要考虑网络出口的带宽，比如说你的网络出口带宽是千兆的，那么百兆的防火墙就有些力不从心了，如果你们网络的出口才10M，而你却选择千兆产品，那么我只能很羡慕你们，真有钱。其次考虑的是并发连接数。什么是并发连接数？嘿嘿，一般人我还不告诉他。举个最简单的例子，你打开了一个ie窗口在看我的帖子，那么这就算是一个连接数了。事实上，每个电脑不可能就开一个网页（除非你不上网看美女帅哥），稍微有点专业知识的朋友都知道，windows系统本身就有不少自动连接网络的程序，所以我们不能简单的数数开了几个网页，登陆了几个QQ，一般来讲，每台电脑至少要算上40个连接数，整个网络才清静。那么算并发连接数也就不难了，并发连接数40网络内电脑的数量。最后，要考虑防火墙的端口了，一个端口是接外网，一个端口接内网。如果你的网络需要跟某某局或者某某中心连接，那么显然2个端口是无法满足需要的，那你就往上加吧。一般来讲，防火墙至少有3个端口，如果你所在的网络很有发展前景或者有扩充的必要，还是建议多留一个端口以备后用。当然，加端口也就意味着加人民币。三、VPN这个名次是英文的缩写，是什么E文，我老人家学的很差，只认识26个字母。翻译成中文名字就是：虚拟私有网络。随着组织机构的不断发展，一个组织在同一个办公楼工作已经越来越不现实，各个办事处及分支机构不断成立。这个时候，如果你的总部在联合国大楼，你在广州中信上班，再想用一条网线将电脑直接连接到公司或者总部的网络，估计我这辈子赚的钱还不够你买网线的。但因为工作或者业务的需要，又不得不进入公司的局域网，那么VPN将会帮你节省很多很多花花绿绿的票子。简单来说，VPN就是通过公网（比如internet）对数据进行加密和解密，在总部和分支机构之间建立一个虚拟的局域网。有了VPN，无论你是在哪里，只要可以上网，那么你就可以访问总部好友的电脑，查看他共享文件夹中刚刚下载下来的彩色笑话了。四、IDS我倒，又是E文，看来要真正融入IT行业，不懂英文不行啊。这个玩意也叫入侵检测系统。IDS和防火墙还是有本质的区别的，打个最简单的比喻，防火墙是门卫，符合条件的人就可以进入公司的大门，而IDS更像是摄像头，看看你是在工作还是在上网灌水。与防火墙不同的是，防火墙是串联在网络中，而IDS是旁路并联在网络中，所以IDS对网络传输性能是没有什么影响的，没有哪位见过摄像头挡道吧？对IDS所处网络中的位置比较严格，既要让它能检测到关键网络部分，所以要靠近被保护的区域，又要能尽量靠近入侵的源头，以便及时发现入侵。因为IDS只是旁路监听，所以对网络中发现的违规行为除了记录下来打小报告之外，是不会直接干预你上网灌水的。所以也就有了“防火墙IDS”联动的说法，IDS发现了违规行为就向防火墙报告，让防火墙来处理。事实上也不是这么简单，因为小哥我的知识有限，只能说到这里了。五、IPS说到IDS，就不得不说到IPS。这玩意可以认为是IDS的更新换代，当然，不仅仅是更新换代。IPS叫入侵防御系统，它不仅仅是检测，还要对入侵行为防御。那么它就不像IDS只是旁路挂在网络上了，要串联在网络中。那么是不是IPS就可以代替“防火墙IDS”了呢？刚巧，昨天看了一些资料。就目前而言，IPS与“防火墙IDS”组合还是各有其生存的空间，IPS是检测网络4-7层数据流的（对于是哪七层，小哥我实在是不懂，各位可以自己查资料），而防火墙是检测3-4层的，对于大型的网络，比如电信级的，要检测到7层精度，是不现实的。而IPS目前的价格和升级服务费用，也并非一个小公司所能承受。六、网闸也叫安全隔离与信息交换系统。这玩意一般人还真不了解，小哥我刚好做这行，算是近水楼台了。网闸与上面几个安全产品根本不同的是：它要将两个不同的网络进行隔离，也就是不连接。是不是比较郁闷？既然是网络，却不能与外网连接。这也正是网闸的应用之处。网闸的原理是：一个外网模块（类似于防火墙）接公网或外网，一个内网模块接业务专网，一个数据摆渡模块处理连接数据。这里有个名次叫“摆渡”，就像是你到野外游玩的时候遇到大河，有个渡船那样。当外网或内网的数据通过模块处理后，认为是安全的，才会摆渡你到对岸，如果你长的像某个*通缉犯而且船工一眼就认出来，你就过不了河，别说你会游泳，这河有100万公里宽呢。网站应用最多的是政府，比如税务、工商、公安，这些部门既有自己专门的内网，又要接受外网的公务处理，而有很多资料是不能随意开放的，所以必须经过外网的受理平台经过网站的摆渡，进入到内网处理平台。如果你们公司也有这样的需求，建议还是上网闸吧。唠叨一句，防火墙的工作原则是：先连接，后安全。而网闸恰好相反：先安全，然后考虑怎么连接。七、UTM相比较而言，这是一个比较新的东西。它的中文名字叫统一威胁管理。是将防火墙、VPN、防病毒、防垃圾邮件、web网址过滤、IPS六大功能集成在一起的。随着网络的发展，安全需要越来越迫切。而每增加一个安全设备，都会对网络的性能产生影响。更要命的是，让这些不同厂家不同品牌的安全产品能够良好合作，似乎是水中捞月。林子大了什么鸟都有，安全产品多了，什么奇形怪状的现象也出现了。如何让这些众多不同类型的安全产品分工明确而又协调一致的工作，是个很大的问题。而UTM的出现，让用户两眼放光。虽然说