网络安全基础知识点汇总
1. 防火墙(Firewall)
1.1 定义与定位
防火墙是位于内部网络与外部网络之间的网络安全系统。它依照特定的规则,允许或是限制传输的数据通过。需要特别注意的是,传统防火墙主要抵御外部攻击,对于内部病毒(如 ARP 病毒)或内部横向移动的攻击防护能力有限。
1.2 核心功能
防火墙的核心功能主要集中在两个网络之间做边界防护。在企业环境中,更多使用的是企业内网与互联网之间的 NAT(网络地址转换)、包过滤规则、端口映射等功能。在生产网与办公网之间,防火墙用于做逻辑隔离,主要依赖包过滤规则进行访问控制。
1.3 部署模式
- 网关模式:这是目前应用最广泛的模式。防火墙可以替代路由器并提供更多的安全功能,适用于各种类型的企业网络环境。在此模式下,防火墙作为默认网关,所有流量经过其处理。
- 透明模式:在不改变现有网络结构的情况下,将防火墙以透明网桥的模式串联到企业的网络中间。通过包过滤规则进行访问控制,实现安全域的划分。这种模式对网络拓扑无感知,适合无缝接入。
关于何时使用网关模式或透明模式,需根据实际业务需求决定,没有绝对的标准。是否需要将服务器部署在 DMZ(非军事化区),取决于服务器的数量、重要性及暴露风险。
1.4 高可用性
为了保证网络可靠性,现代防火墙设备都支持主 - 主(Active-Active)、主 - 备(Active-Standby)等高可用部署方式,确保单点故障不会导致网络中断。
2. 防毒墙(Anti-Virus Wall)
2.1 定义与功能
相对于防火墙来说,防毒墙一般都具有防火墙的基础功能,但防御的对象更具有针对性,即恶意代码和病毒。其功能是在防火墙的基础上增加病毒特征库,对数据进行实时比对,进行查杀病毒。
2.2 部署方式
部署方式同防火墙,大多数时候使用透明模式部署在防火墙或路由器之后,或者部署在服务器之前,专门进行病毒防范与查杀,防止带毒文件进入内网。
3. 入侵防御系统(IPS)
3.1 定义与区别
相对于防火墙,IPS 的防御对象更具针对性,即攻击行为。防火墙主要是通过对五元组(源 IP、目的 IP、源端口、目的端口、协议)进行控制,达到包过滤的效果;而入侵防御 IPS,则是将数据包进行检测(深度包检测 DPI),对蠕虫、病毒、木马、拒绝服务(DoS)等攻击进行实时查杀和阻断。
3.2 核心功能
IPS 具备防火墙的所有功能,并增加了 IPS 特征库。它能够识别攻击签名,对异常流量进行分析,并在攻击发生前或发生时进行拦截。
3.3 特别说明
防火墙通常允许符合规则的数据包进行传输,对数据包中是否有病毒代码或攻击代码并不进行检查。而防毒墙和入侵防御则通过更深的对数据包的检查弥补了这一点,提供了更深层次的安全防护。
4. 统一威胁安全网关(UTM)
4.1 定义与整合
简单的理解,UTM 就是把威胁都统一了,其实就是把防火墙、防毒墙、入侵防护三个设备的功能整合到一起。它同时具备防火墙、防毒墙、入侵防护三个设备的功能。
4.2 部署与现状
因为可以代替防火墙功能,所以部署方式同防火墙。现在大多数厂商,防病毒和入侵防护已经作为防火墙的模块来用。在不考虑硬件性能以及费用的情况下,开启了防病毒模块和入侵防护模块的防火墙,和 UTM 其实是一样的。
4.3 混合部署场景
至于为什么网络中同时会出现 UTM 和防火墙、防病毒、入侵检测同时出现,主要原因有两点:第一是实际需要,例如在服务器区前部署专用防毒墙,防护外网病毒的同时,也可以检测和防护内网用户对服务器的攻击;第二是成本与性能考量,高端防火墙可能集成度不如专用设备。
5. VPN 技术详解
5.1 IPSEC VPN
IPSEC VPN 放到网络安全防护里,是因为大多数情况下,IPSEC VPN 的使用都是通过上述设备来做的,而且通过加密隧道访问网络,本身也是对网络的一种安全防护。
- 定义:采用 IPSec 协议来实现远程接入的一种 VPN 技术。
- :通过使用 IPSEC VPN 使客户端或一个网络与另外一个网络连接起来,多数用在分支机构与总部连接,保障数据传输的机密性和完整性。
