查看其它 5 个回答raphlgu的回答
1、网络流量安全保护 设备选型
网络安全保护设备主要包括:防火墙、IDS、DDoS、IPS、WAF。
- 网页防篡改,是我国等保要求的特色。
- 部分厂家的下一代防火墙集成了IPS、DDoS、WAF
- IDS已经被IPS取代
结论:可以选一个集成度比较高的防火墙厂商,譬如深信服。只要购买模块许可,减少硬件设备数量。缺点是某个模块有缺陷或者故障,会影响整台设备上其他功能模块,譬如重启设备。
2、网络流量安全保护方法
- 2.1、首先流量必须经过安全设备。
- 2.2、其次安全设备的安装方法有2种
- 拓扑1、串接。安全设备串接到现有网络链路中,类似我们出口防火墙的接法,用户PC—交换机—防火墙—互联网。 串接会改变现有网络结构。
- 拓扑2、旁路。安全设备旁路挂接在现有网络链路上。旁路不改变现有网络结构。
- 2.3、最后南北向、东西向采用的安全拓扑
- 拓扑1、串接。 适用于南北向保护。原因1、由于南北向设备和链路相对较少,改变连接结构相对容易,适用串接。原因2、南北向的风险较大,串接后,安全设备称为必经之路,更加安全。
- 拓扑2、旁路。适用于东西向安全控制。 原因1、由于东西向设备、接口比较多,链路关系比较复杂,改动结构有一定难度,不适用串接。原因2、 使用串接的成本比较,因为改造原有网络会增加、升级现有网络设备。
3、东西向保护的旁路实现方法
企业中必有南北向保护,只是保护层次的深浅、保护颗粒的大小区别。
企业通常缺少东西向保护。而旁路方法又是设备成本最低,改动最小的架构。因此简答总结一下。
- 引流。首先,核心交换机上通过策略路由,将需要保护的流量引流到防火墙设备。用南北向保护做类比,服务器或客户端通过系统的默认静态路由,将互联网访问流量全部发送到默认网关(可能是核心交换机或汇聚交换机),网关再根据路由将这部分流量发送到防火墙,通过过滤后,达到访问目的。
- 清洗。防火墙接收通过策略路由过来的流量,然后做过滤。
- 回注。防火墙将过滤后的流量路由到访问目标。
从上述步骤可见,旁路虽然减少了物理拓扑的改造,但是需要增加很多网络配置。主要是3个过程:1策略路由的引流—2防火墙的清洗—3防火墙的返回目的。
- 其中1要涉及现有网络设备的配置,因此要确保兼容性,且注意处理性能。特别是使用核心交换机时,策略路由会增加负荷。
- 其中2、3要确保防火墙的性能指标可以满足处理所需清洗网络流量的能力。
浏览6106