认识常见 络安全设备（二）

定义

虚拟专用 络指的是在公用 络上建立专用 络的技术。之所以称为虚拟 主要是因为整个VPN 络的任意两个节点之间的连接并没有传统专 所需的端到端的物理链路，而是架构在公用 络服务商所提供的 络平台之上的逻辑 络，用户数据在逻辑链路中传输。

主要功能

1、通过隧道或虚电路实现 络互联

2、支持用户安全管理

3、能够进行 络监控、故障诊断。

工作原理

1、通常情况下，VPN 关采取双 卡结构，外 卡使用公 IP接入Internet。

2、 络一(假定为公 internet)的终端A访问 络二(假定为公司内 )的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。

3、 络一的VPN 关在接收到终端A发出的访问数据包时对其目标地址进行检查，如果目标地址属于 络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同，同时VPN 关会构造一个新VPN数据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为 络二的VPN 关的外部地址。

4、 络一的VPN 关将VPN数据包发送到Internet，由于VPN数据包的目标地址是 络二的VPN 关的外部地址，所以该数据包将被Internet中的路由正确地发送到 络二的VPN 关。

5、 络二的VPN 关对接收到的数据包进行检查，如果发现该数据包是从 络一的VPN 关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包。

6、 络二的VPN 关将还原后的原始数据包发送至目标终端B，由于原始数据包的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。

7、从终端B返回终端A的数据包处理过程和上述过程一样，这样两个 络内的终端就可以相互通讯了。

通过上述说明可以发现，在VPN 关对数据包进行处理时，有两个参数对于VPN通讯十分重要：原始数据包的目标地址（VPN目标地址）和远程VPN 关地址。根据VPN目标地址，VPN 关能够判断对哪些数据包进行VPN处理，对于不需要处理的数据包通常情况下可直接转发到上级路由；远程VPN 关地址则指定了处理后的VPN数据包发送的目标地址，即VPN隧道的另一端VPN 关地址。由于 络通讯是双向的，在进行VPN通讯时，隧道两端的VPN 关都必须知道VPN目标地址和与此对应的远端VPN 关地址。

常用VPN技术

1、MPLS VPN：是一种基于MPLS技术的IP VPN，是在 络路由和交换设备上应用MPLS（多协议标记交换）技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用 络（IP VPN）。MPLS优势在于将二层交换和三层路由技术结合起来，在解决VPN、服务分类和流量工程这些IP 络的重大问题时具有很优异的表现。因此，MPLS VPN在解决企业互连、提供各种新业务方面也越来越被运营商看好，成为在IP 络运营商提供增值业务的重要手段。MPLS VPN又可分为二层MPLS VPN（即MPLS L2 VPN）和三层MPLS VPN（即MPLS L3 VPN）。

2、SSL VPN：是以HTTPS（SecureHTTP，安全的HTTP，即支持SSL的HTTP协议）为基础的VPN技术，工作在传输层和应用层之间。SSL VPN充分利用了SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制，可以为应用层之间的通信建立安全连接。SSL VPN广泛应用于基于Web的远程安全接入，为用户远程访问公司内部 络提供了安全保证。

3．IPSecVPN是基于IPSec协议的VPN技术，由IPSec协议提供隧道安全保障。IPSec是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。

主要类型

按所用的设备类型进行分类：

主要为交换机、路由器和防火墙：

（1）路由器式VPN：路由器式VPN部署较容易，只要在路由器上添加VPN服务即可；

（2）交换机式VPN：主要应用于连接用户较少的VPN 络；

（3）防火墙式VPN：防火墙式VPN是最常见的一种VPN的实现方式，许多厂商都提供这种配置类型；

VPN的隧道协议主要有三种，PPTP、L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议。

实现方式

VPN的实现有很多种方法，常用的有以下四种：

1．VPN服务器：在大型局域 中，可以通过在 络中心搭建VPN服务器的方法实现VPN。

2．软件VPN：可以通过专用的软件实现VPN。

3．硬件VPN：可以通过专用的硬件实现VPN。

4．集成VPN：某些硬件设备，如路由器、防火墙等，都含有VPN功能，但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。

定义

络流量控制是一种利用软件或硬件方式来实现对电脑 络流量的控制。它的最主要方法，是引入QoS的概念，从通过为不同类型的 络数据包标记，从而决定数据包通行的优先次序。

技术类型

流控技术分为两种：

一种是传统的流控方式，通过路由器、交换机的QoS模块实现基于源地址、目的地址、源端口、目的端口以及协议类型的流量控制，属于四层流控；

路由交换设备可以通过修改路由转发表，实现一定程度的流量控制，但这种传统的IP包流量识别和QoS控制技术，仅对IP包头中的“五元组”信息进行分析，来确定当前流量的基本信息。传统IP路由器也正是通过这一系列信息来实现一定程度的流量识别和QoS保障，但其仅仅分析IP包的四层以下的内容，包括源地址、目的地址、源端口、目的端口以及协议类型。

随着 上应用类型的不断丰富，仅通过第四层端口信息已经不能真正判断流量中的应用类型，更不能应对基于开放端口、随机端口甚至采用加密方式进行传输的应用类型。例如，P2P类应用会使用跳动端口技术及加密方式进行传输，基于交换路由设备进行流量控制的方法对此完全失效。

另一种是智能流控方式，通过专业的流控设备实现基于应用层的流控，属于七层流控。

主要功能

1、全面透视 络流量，快速发现与定位 络故障

2、保障关键应用的稳定运行，确保重要业务顺畅地使用 络

3、限制与工作无关的流量，防止对带宽的滥用

4、管理员工上 行为，提高员工 上办公的效率

5、依照法规要求记录上 日志，避免违法行为

6、保障内部信息安全，减少泄密风险

7、保障服务器带宽，保护服务器安全

8、内置企业级路由器与防火墙，降低安全风险

9、专业负载均衡，提升多线路的使用价值

使用方式

1、 关模式:置于出口 关，所有数据流直接经由设备端口通过；

2、 桥模式：如同集线器的作用，设备置于 关出口之后，设置简单、透明；

3、旁路模式：与交换机镜像端口相连，通过对 络出口的交换机进行镜像映射，设备获得链路中的数据“拷贝”，主要用于监听、审计局域 中的数据流及用户的 络行为。

定义

防病毒 关是一种 络设备，用以保护 络内（一般是局域 ）进出数据的安全。主要体现在病毒杀除、关键字过滤（如色情、反动）、垃圾邮件阻止的功能，同时部分设备也具有一定防火墙（划分Vlan）的功能。

主要功能

1、病毒杀除

2、关键字过滤

3、垃圾邮件阻止的功能

4、部分设备也具有一定防火墙

能够检测进出 络内部的数据，对http、ftp、SMTP、IMAP和POP3五种协议的数据进行病毒扫描，一旦发现病毒就会采取相应的手段进行隔离或查杀，在防护病毒方面起到了非常大的作用。

与防火墙的区别

1、防病毒 关：专注病毒过滤，阻断病毒传输，工作协议层为ISO 2-7层，分析数据包中的传输数据内容，运用病毒分析技术处理病毒体，具有防火墙访问控制功能模块

2、防火墙：专注访问控制，控制非法授权访问，工作协议层为ISO 2-4层，分析数据包中源IP目的IP，对比规则控制访问方向，不具有病毒过滤功能

与防病毒软件的区别

1、防病毒 关：基于 络层过滤病毒；阻断病毒体 络传输； 关阻断病毒传输，主动防御病毒于 络之外； 关设备配置病毒过滤策略，方便、扼守咽喉；过滤出入 关的数据；与杀毒软件联动建立多层次反病毒体系。

2、防病毒软件：基于操作系统病毒清除；清除进入操作系统病毒；病毒对系统核心技术滥用导致病毒清除困难，研究主动防御技术；主动防御技术专业性强，普及困难；管理安装杀毒软件终端；病毒发展互联 化需要 关级反病毒技术配合。

查杀方式

对进出防病毒 关数据监测：以特征码匹配技术为主；对监测出病毒数据进行查杀：采取将数据包还原成文件的方式进行病毒处理。

1、基于代理服务器的方式

2、基于防火墙协议还原的方式

3、基于邮件服务器的方式

使用方式

1、透明模式：串联接入 络出口处，部署简单

2、旁路代理模式：强制客户端的流量经过防病毒 关，防病毒 关仅仅需要处理要检测的相关协议，不需要处理其他协议的转发，可以较好的提高设备性能。

3、旁路模式：与旁路代理模式部署的拓扑一样，不同的是，旁路模式只能起到检测作用，对于已检测到的病毒无法做到清除。

定义

Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一种设备。

产生背景

当WEB应用越来越为丰富的同时，WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、 页篡改、 页挂马等安全事件，频繁发生。

企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是，在现实中，他们存在这样那样的问题，由此产生了WAF（Web应用防护系统）。Web应用防护系统用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类 站站点进行有效防护。

主要功能

1、审计设备：用来截获所以HTTP数据或者仅仅满足某些规则的会话；

2、访问控制设备：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。

3、架构/ 络设计工具：当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。

4、WEB应用加固工具：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且 能够保护WEB应用编程错误导致的安全隐患。主要包括防攻击、防漏洞、防暗链、防爬虫、防挂马、抗DDos等。

使用方式

与IPS设备部署方式类似，可以串联部署在web服务器等关键设备的 络出口处。

定义

络安全审计系统针对互联 行为提供有效的行为审计、内容审计、行为 警、行为控制及相关审计功能。从管理层面提供互联 的有效监督，预防、制止数据泄密。满足用户对互联 行为审计备案及安全保护措施的要求，提供完整的上 记录，便于信息追踪、系统安全管理和风险防范。

主要类型

根据被审计的对象（主机、设备、 络、数据库、业务、终端、用户）划分，安全审计可以分为：

1. 主机审计：审计针对主机的各种操作和行为。

2. 设备审计：对 络设备、安全设备等各种设备的操作和行为进行审计 络审计：对 络中各种访问、操作的审计，例如telnet操作、FTP操作，等等。

3. 数据库审计：对数据库行为和操作、甚至操作的内容进行审计业务审计：对业务操作、行为、内容的审计。

4. 终端审计：对终端设备（PC、打印机）等的操作和行为进行审计，包括预配置审计。

5.用户行为审计：对企业和组织的人进行审计，包括上 行为审计、运维操作审计有的审计产品针对上述一种对象进行审计，还有的产品综合上述多种审计对象。

主要功能

1、采集多种类型的日志数据

能采集各种操作系统的日志，防火墙系统日志，入侵检测系统日志， 络交换及路由设备的日志，各种服务和应用系统日志。

2、日志管理

多种日志格式的统一管理。自动将其收集到的各种日志格式转换为统一的日志格式，便于对各种复杂日志信息的统一管理与处理。

3、日志查询

支持以多种方式查询 络中的日志记录信息，以 表的形式显示。

4、入侵检测

使用多种内置的相关性规则，对分布在 络中的设备产生的日志及 警信息进行相关性分析，从而检测出单个系统难以发现的安全事件。

5、自动生成安全分析 告

根据日志数据库记录的日志数据，分析 络或系统的安全性，并输出安全性分析 告。 告的输出可以根据预先定义的条件自动地产生、提交给管理员。

6、 络状态实时监视

可以监视运行有代理的特定设备的状态、 络设备、日志内容、 络行为等情况。

7、事件响应机制

当审计系统检测到安全事件时候，可以采用相关的响应方式 警。

8、集中管理

审计系统通过提供一个统一的集中管理平台，实现对日志代理、安全审计中心、日志数据库的集中管理。

使用方式

安全审计产品在 络中的部署方式主要为旁路部署。