信息安全产品整理汇总

安全产品

目录TOC\o"1-5"\h\z\o"CurrentDocument"第一章安全网关类 3\o"CurrentDocument"防火墙/下一代防火墙 3\o"CurrentDocument"UTM（统一威胁管理，UNIFIEDTHREAT MANAGEMENT） 3\o"CurrentDocument"网闸（安全隔离网闸，GAP） 4\o"CurrentDocument"抗DDOS墙 5\o"CurrentDocument"负载均衡 6\o"CurrentDocument"VPN 7\o"CurrentDocument"上网行为管理 8\o"CurrentDocument"第二章评估工具类 10\o"CurrentDocument"漏洞扫描系统 10\o"CurrentDocument"网络分析系统 10\o"CurrentDocument"第三章威胁管理类 12\o"CurrentDocument"入侵检测系统（INTRUSIONDETECTIONSYSTEM， IDS） 12\o"CurrentDocument"入侵防御系统（INTRUSIONPREVENTION SYSTEM，IPS） 12\o"CurrentDocument"WEB应用防火墙（WebApplicationFirewall,WAF） 13\o"CurrentDocument"网络防毒墙（防病毒网关） 14\o"CurrentDocument"杀毒软件/反病毒软件/防毒软件 15\o"CurrentDocument"第四章应用监管类 16\o"CurrentDocument"堡垒机/运维审计系统 16\o"CurrentDocument"审计系统 17\o"CurrentDocument"DB防火墙 18\o"CurrentDocument"Mail防火墙/垃圾邮件网关/防垃圾邮件系统 19\o"CurrentDocument"终端安全管理系统 20\o"CurrentDocument"安全运维平台（SOC） 22\o"CurrentDocument"IT运维管理平台 23\o"CurrentDocument"第五章安全保密类 25\o"CurrentDocument"加密机 25\o"CurrentDocument"三合一/涉密计算机移动存储介质保密管理系统 25\o"CurrentDocument"身份认证系统 27\o"CurrentDocument"文件加密系统 28第一章安全网关类防火墙/下一代防火墙定义防火墙（Firewall）,也称防护墙，是由CheckPoint创立者发明的。它是一个信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。防火墙是一个由软件和硬件设备组合而成，在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。下一代防火墙，即NextGenerationFirewall，简称NGFirewall，是一款可以全面应对应用层威胁的高性能防火墙，提供网络层应用层一体化安全防护防火墙主要用于边界安全防护的权限控制和安全域的划分。生产厂家联想网御、CheckPonit、深信服、网康、天融信、华为、H3c等部署部署于内、外网边界，用于权限访问控制和安全域划分。□AMailSer说假移地用广曲业患等中心业务一办总区翱北交强机陌我总玄m*11公文加板3 0□AMailSer说假移地用广曲业患等中心业务一办总区翱北交强机陌我总玄m*11公文加板3 0- ＜上口I目.I1暮一7s分区业劳.赤金国腓喈中心区UTM（统一威胁管理，unifiedthreatmanagement）在防火墙基础上发展起来，具备防火墙、ips、防病毒、防垃圾邮件等综合功能。由于同时开启多项功能会大大降低UTM的处理性能，因此主要用于对性能要求不高的中低端领域。在高端应用领域，比如电信、金融等行业，仍然以专用的高性能防火墙、IPS为主流。生产厂家启明星辰、华为、山石、天融信、H3C、深信服、Fortinet等部署部署于外网网络边界，除了具有防火墙的功能还能够起ids、ips、vpn、流量控制、身份认证和应用层防护。入侵检81k入侵检81k统的火墙仙耦毒网美1PSZIDS入懵防御山垃圾部件间起Y曲阿美盟H整电网K.inti-%.网美用户身符认汇网美MUL限势器网闸（安全隔离网闸，GAP）1.3.1,定义网闸（GAP）全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。相比于防火墙，能够对应用数据进行过滤检查，防止泄密、进行病毒和木马检查。1.3.2,生产厂家伟思、联想网御、华御、天行网安、傲盾、利谱等1.3.3,部署部署于不同区域之间物理隔离、不同网络之间物理隔离、网络边界物理隔INTERN!IMAIL号片八 WiFINTERN!IMAIL号片八 WiF垠号揩离，也常用于数据同步、信息发布等。我邛胞忠四间抗DDoS墙定义DDOS全名是DistributionDenialofservice（分布式拒绝服务攻击）DoS的攻击方式有很多种，最基本的Dos攻击就是利用合理的服务请求来占用过多的服务资源，从而使服务器无法处理合法用户的指令。DDoS防火墙其独特抗攻击算法，高效的主动防御系统可有效防御DoS/DDoS、SuperDDoS、DrDoS、代理CC、变异CC、僵尸集群CC、UDPFlood、变异UDP、随机UDP、ICMP、IGMP、SYN、SYNFLOOD、ARP攻击，传奇假人攻击、论坛假人攻击、非TCP/IP协议层攻击、等多种未知攻击。生产厂家傲盾、金盾、风盾、冰盾、天鹰网安、知道创宇、阿里云等1.4.3,部署工作雄接入尾3!搬机部署在网络、应用、服务器前端，用于抵抗各种DDoS工作雄接入尾3!搬机部署在网络、应用、服务器前端，用于抵抗各种DDoS攻击。Internet履房即群普府抗捋建舰务系坡负载均衡定义建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。将同一个任务分摊到多个操作单元上进行执行，例如Web服务器、FTP服务器、企业关键应用服务器和其它关键任务服务器等，从而共同完成工作任务。生产厂家F5、A10、梭子鱼、深信服、天融信、万任科技、品安科技等部署部署在网络、应用、服务器前端，用于进行链路和应用负载。部署模式：路由模式（推荐）、桥接模式、服务直接返回模式PrivateNetwork192.16S.1.0/24PhysicalNetworkInternetFirewallServerFarm/24CoreSwitchHTTPWANPort1921&e1.Q/24PrivateNetwork192.16S.1.0/24PhysicalNetworkInternetFirewallServerFarm/24CoreSwitchHTTPWANPort1921&e1.Q/24SMTPGenencServerBarracudaLoadBalancerLANPort/24VPNVPN（virtualprivatenetwork）虚拟专用网络。在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN的隧道协议主要有三种，PPTP、L2TP和IPSec；常用VPN类型有SSLVPN（以HTTPS为基础的VPN技术）和IPSecVPN（基于IPSec协议的VPN技术，由IPSec协议提供隧道安全保障）生产厂家深信服、联想网御、锐捷、Juniper部署部署在网络、应用、服务器前端，部署模式有单臂模式、路由模式、透明模式、网关模式。internet合作伙伴50h0用户防火崂5槌援入internet合作伙伴50h0用户防火崂5槌援入护1移动用户邮件服资器SSLVPN网关QA服务器认证朦第嚣6^一上网行为管理定义上网行为管理是指帮助互联网用户控制和管理对互联网的使用，包括对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。专用于防止非法信息恶意传播，避免国家机密、商业信息、科研成果泄漏的产品；并可实时监控、管理网络资源使用情况，提高整体工作效率。主要功能：上网人员管理、邮件管理、网页发帖管理、上网应用管理、流量管理、行为分析等。生产厂家深信服、网康、华为、飞鱼星等。部署部署在网络出口边界，部署方式有网关模式、网桥模式、透明模式，支持双机热备。千兆防火情交换机万兆路由器Internet办公大雇深信用高端上网行为管理产品行政园区internet第二章评估工具类漏洞扫描系统定义漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。生产厂家网御星云、绿盟、安恒、启明星辰、榕基、南京铱迅等部署需要安装服务端和控制台即可，部署在服务器区域或在核心网络区域进行接入，能够保证所有网络可达即可。通过控制台创建扫描任务和扫描策略定制。用户,91里外，工件修鼻蛛・件阳界事 网书■■ 文事版卦暮 灵橐矶网络分析系统2.2.1,定义网络分析系统具有行业领先的专家分析技术，通过捕获并分析网络中传输的底层数据包，对网络故障、网络安全以及网络性能进行全面分析，从而快速排查网络中出现或潜在的故障、安全及性能问题。生产厂家科来、wireshark、sniffer等。部署硬件产品通过旁路方式接入在核心交换机的镜像端口上，不改变原有网络架构，对网络中所有事件进行分析。软件产品首先需要安装在终端上，然后终端旁路抓包即可获取所有数据包。^XSingle-porlTapInternet拿1VJurtstationServers0上ApplicationServersL2^XSingle-porlTapInternet拿1VJurtstationServers0上ApplicationServersL2SwitchL2Switch科来网端黄析南统L1Router第三章威胁管理类入侵检测系统(intrusiondetectionsystem,IDS)是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。生产厂家启明星辰、华为、网御星云等3.1.3,部署入侵检测系统部署模式为旁路模式部署，在核心交换设备上开放镜像端□，分析镜像流量中的数据，判别攻击行为。Internet3建势跋艮Q导性耕□，分析镜像流量中的数据，判别攻击行为。Internet3建势跋艮Q导性耕台」2玄柠叫右imranet入侵防御系统(intrusionpreventionsystem,IPS)3.2.1,定义位于防火墙和网络的设备之间，依靠对数据包的检测进行防御（检查入网的数据包），确定数据包的真正用途，然后决定是否允许其进入内网能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。IPS是对防火墙的补充。生产厂家绿盟、南京铱迅、启明星辰、华为等。部署入侵检测系统部署在服务器区域前端；部署模式通常为网桥模式、透明模式，也有部署为路由模式。路由器防火墙人槎防趣系统核心交换机邮件理资器隔U展外器INTERNET桂心交换机用户组路由器防火墙人槎防趣系统核心交换机邮件理资器隔U展外器INTERNET桂心交换机用户组2I沙冲印柠制在眼势累群■IJP(111WEB应用防火墙(WebApplicationFirewall,WAF)3.3.1,定义用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。生产厂家铱迅、绿盟、安恒、知道创宇、Fortinet、梭子鱼、Imperva部署Web应用防火墙部署模式有网桥模式、透明模式、代理模式，并支持双bypass。网络防毒墙（防病毒网关）定义网络防毒墙主要用于防护网络层的病毒，包括邮件、网页、QQ、MSN等病毒的传播。生产厂家网神、防毒墙、瑞星、江民、卡巴斯基、趋势、MacAfee等3.4.3,部署

网络防毒墙部署在网络出口下，对所有网络层病毒进行防护；部署模式有透明模式、旁路模式。杀毒软件/反病毒软件/防毒软件定义杀毒软件，也称反病毒软件或防毒软件，是用于消除电脑病毒、特洛伊木马和恶意软件等计算机威胁的一类软件。杀毒软件通常集成监控识别、病毒扫描和清除和自动升级等功能，有的杀毒软件还带有数据恢复等功能，是计算机防御系统的重要组成部分。3.5.2,生产厂家瑞星、江民、360、百度、小红伞、卡巴斯基、趋势、MacAfee等。部署杀毒软件服务端和控制台安装在服务商，客户端程序需要安装在被防护的系统上，控制台可以控制服务端升级和病毒策略下发到客户端等。第四章应用监管类堡垒机/运维审计系统堡垒机又称运维审计系统，它综合了系统运维和安全审计管控两大主干功能，从技术实现上讲，通过切断终端计算机对网络和服务器资源的直接访问，而采用协议代理的方式，接管了终端计算机对网络和服务器的访问。主要用于服务器、网络设备、安全设备的权限分离和安全管控。生产厂家思福迪、帕拉迪、瑞宁、江南科友、江南天安、国都兴业等。4.1.3,部署堡垒机部署的前提是必须切断用户直接访问资源的路径，否则部署将没有意义，一般部署在所有用户都能访问资源的核心网络端口下。W-idiiinW-idiiin审计系统定义审计系统分为网络审计、数据库审计、综合审计。网络审计针对于网络协议进行审计，如http、smtp、pop3、vnc、RDP、Rlogin、SSH、Telnet等；数据库审计专门用于数据库操作审计，详细记录用户操作数据库的操作，并支持回放；综合审计则将网络审计和数据库审计功能进行综合，进行综合审计。生产厂家思福迪、帕拉迪、比蒙科技、启明星辰、网神等。部署审计系统使用旁路抓包的方式进行部署，一般部署在核心交换机的镜像端口下，用于整体流量分析和日志审计分析。不改变原有网络结构，不会对网络产生任何影响。

DB防火墙4.3.1,定义DB防火墙，又称数据库防火墙、数据库防御系统，是一款基于数据库协议分析与控制技术的数据库安全防护系统。具有主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。能够审计和阻断数据库操作行为，可以通过数据库操作分析进行建模和智能关联分析。生产厂家帕拉迪、天融信、梭子鱼等。部署DB防火墙一般串行部署在数据库服务器前端，通过安全建模进行规则学习，能够对数据库异常行为和高风险操作行为进行智能分析和拦截。D8防火墙Mail防火墙/垃圾邮件网关/防垃圾邮件系统定义Mail防火墙，又称垃圾邮件网关、防垃圾邮件系统，是一款软硬件集成的解决方案，帮助邮件系统抵御最新的垃圾邮件、病毒邮件、欺诈性邮件、钓鱼邮件、间谍程序邮件等各类邮件威胁。生产厂家飞塔、梭子鱼、趋势、赛门铁克等。部署Mail防火墙可以串行部署在邮件服务器前端，进行邮件分析、过滤、拦截等，也可以部署成为服务器模式，即可以当做邮件服务器使用，也可以进行邮件过滤。过酒购康MailduRterl-2强II111皿后期过酒购康MailduRterl-2强II111皿后期■加砸即3叫I爆筹耕Bymcihh,Mnn^rvcr BSt'lOOAfirewallI•蠹揍机10终端安全管理系统定义终端安全保护系统以“主动防御”理念为基础，结合准入控制，通过对代码、端口、网络连接、移动存储设备接入、数据文件加密、行为审计分级控制，实现操作系统加固及信息系统的自主、可控、可管理，保障终端系统及数据的安全。主要功能：u盘监管、非法外联监控、打印审计、刻录审计、文件监管、进程监管、硬件监管、补丁分发等。生产厂家北信源、通软、赛门铁克、中软、卫士通等。部署终端安全管理系统一般结合准入控制硬件和其他准入控制措施进行部署，首先进行准入控制，其次安装终端安全管理系统服务端、控制台、客户端，客户端需要安装到需要控制的信息终端上。并支持多级互联部署。

o-ioodn(m3Ir—5；◎0RWtMftB3o-ioodn(m3Ir—5；◎0RWtMftB3■懦*Fipti^KM^e-maEi^j：.j^uy"&&&&・■/样株客户如阿鹏才回,>J 0 0 0 0WA 行由 JCK ffiN »it管理帮E WH WIT 曾再安全・■区毒鹭旭各单位计算机各单位计算机各单僚计算机，安全运维平台(SOC)定义安全运维平台又称安全管理平台(SecurityOperationsCenter,简称SOC)安全运维平台系统是将目前信息系统中各类数据孤立分析的形态转变为智能的关联分析，并借助整个平台，实现技术人员、操作过程和技术三者的融合能够将多种网络设备、安全设备、系统日志进行整合，并结合ITIL流程进行规范化。生产厂家东软、启明星辰、网神、天融信、HP等。部署安全运维平台部署在服务器区域内，需要安装服务端、控制台、采集引擎，信息终端上需要安装插件，网络设备、安全设备和其他设备上需要配置SNMP协议用于接收日志和状态信息等。SOC也同时支持多级关联部署。资产告理史全信息器挂凤睥百科选对甘哲国猿咯管臂安营知洲管理工单笆龚身以世以安全技著我博信息显示融首理用「定制物比带Email4.7.IT运维管理平台4.7.1,定义IT运维管理平台将以往对网络、服务器与业务应用、安全设备、客户端PC和机房基础环境等的分割管理进行了有效的整合，实现了全面监控与集中统一管理；并融入了基于ITIL理念的IT服务流程管理，实现了技术、功能、服务三方面的有机结合，从而提高了企业IT系统的运行管理水平和服务能力，为企业生产和日常办公提供高效、贴身的保障。生产厂家广通(BroadView)、HP、IBM、摩卡、北塔等。部署IT运维管理平台部署在服务器区域内，需要安装服务端、控制台、采集引擎，服务器上需要安装插件，网络设备、安全设备和其他设备上需要配置SNMP协议用于接收状态信息等。IT运维管理平台也同时支持多级关联部署。集成展现子系统集中监控子系跣幺控可迎化平告报表平白 仅限至1 全文隹索矍产能首子蔡统|字符；■三芳操作网关日志南计虚撤业堂劳应用集成展现子系统集中监控子系跣幺控可迎化平告报表平白 仅限至1 全文隹索矍产能首子蔡统|字符；■三芳操作网关日志南计虚撤业堂劳应用第五章安全保密类加密机5.1.1,定义加密机是用在广域网或城域网的两个节点之间，实现点对点加密的信息技术设备。加密机和主机之间使用TCP/IP协议通信，所以加密机对主机的类型和主机操作系统无任何特殊的要求。根据加密协议的层次（OSI模型），可以分为链路加密机、网络加密机（IP层