查看:3052|回复：12
汗颜，百度出来不清楚
求达人指导！赐教！
有没有人在啊？？
有没有网络安全达人啊
白袍大法师
安全网关一般部署在企业内网与外部网络(一般就是指internet)的边界，主要用来抵御来自外部网络的安全威胁。安全网关在企业的网络安全体系架构中占据着极其重要的地位，它是企业网络安全的第一道屏障。本文将首先论述安全网关的三种类型，并对其选购策略做一简要的分析。
　　二、 安全网关的类型
　　纵观安全网关的产品演变历史，可以看出其发展趋势是在功能与性能之间寻求最佳平衡点，从这个角度上说，安全网关大致可以分为如下三种类型(当然，安全网关还有其它的分类方法，比如按硬件架构、按功能等等，但这些都不是本文的讨论范围)。
　　(一) 单一功能安全网关
　　这是最早期的安全网关，其代表产品当然非防火墙莫属了，防火墙是一种防御4层以下攻击的安全设备，在网络发展的初期，确实起到很大的作用，但是，随着网络攻击技术的日新月异，4层以上尤其是应用层的攻击逐渐成为主流，单纯的防火墙显然已经是独木难支了(尽管防火墙的硬件架构已逐步从X86向ASIC、NP演进，性能得以大幅提升，但功能的单一性却未有改观)，于是自然就催生了一批新型的单一功能安全网关，典型的如：
　　●防病毒网关
　　● 防垃圾邮件网关
　　●内容过滤网关
　　●IDS/IPS
　　在这一阶段，企业为了寻求全面的安全防护，通常会部署多种单一功能的安全网关，但这样会带来一系列的问题，主要是：
　　1) 可用性
　　安全设备增多，导致故障节点增多、故障排查难度增大，必然使网络的可用性变差。
　　2) 可管理性
　　安全设备增多，必然增加管理的难度，加大管理人员的工作量，人为操作失误的概率也大增。
　　3) 兼容性
　　由于多种安全设备很可能出自不同厂商，因此兼容性较差，使网络安全的整体效能远远达不到预期效果(如联动策略难以实施)。
　　4) 可扩展性
　　由于是单一功能，今后出现新的安全功能模块时，不可能在原有设备的基础上进行平滑升级，很可能又要新购设备。
　　5) 成本问题
　　配备多个安全设备必然会导致成本的增加。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
在应用安全网关产品的投标中，往往可以看到UTM，上网行为管理，防病毒网关，Web安全网关这几类的产品。一个企业的公开招标，可以看到有至少10家不同类型的厂商参与投标。用户会产生很大的困惑，究竟什么样的产品才是最符合需求呢?在下面的内容里，将从网络安全的发展角度、用户的需求偏重点、功能、性能等几个方面做具体的探讨。
　　下面，将从网络安全的发展角度分析这几种网关产品的由来以及发展趋势。
　　如果说路由器实现了企业内部网与Internet的互联互通，那么网络层防火墙就是企业内部网与Internet互联互通上的过滤岗哨，它根据数据包的性质(数据包的性质有目地和源IP地址、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。)进行包过滤，主要发挥在网络层的访问控制保障作用。网络层防火墙在20世纪90年代推向市场，设计策略遵循安全防范的基本原则是“除非明确允许，否则就禁止”。
　　为了实现企业内部网与 Internet的互联互通，以满足企业基本Internet应用的需求，通常网络层防火墙对外开放了80、443、25、110和21等http、 https、smtp、pop3和FTP这几种协议常用的标准端口。然而，如今随着网络技术的发展，80、443、25、110和21端口不再仅仅是常用的http、https、smtp、pop3和FTP等应用协议使用的专利，越来越多的应用可以自动扫描防火墙的开放端口进行通信，例如IM、P2P、流媒体、网络游戏、网络炒股等Internet应用，同时网络威胁的散布与攻击技术也不再限于网络层，而上升到基于http、https、smtp、 pop3和FTP等应用协议的数据包中。
　　这样一来传统网络层防火墙基于数据包性质的过滤规则，就没法检测数据包的内容，也就无法分析检测过滤出其中的网络应用威胁。于是为了防御网络层防火墙通常所开放的这5个常用Internet应用协议所带来的网络威胁，像木马、病毒、间谍软件等，出现了防病毒网关(这是国内的叫法，国外叫Anti-malware网关)。
　　同时出现的还有上网行为管理产品，对IM，P2P，流媒体，网络游戏，网络炒股、web2.0站点等加以管控，他的强项在于对于网络应用的管理，而并非防御网络应用威胁。Web安全网关最早出现是在防病毒网关的基础上增加了对URL的分类过滤，主要实现对http、https、FTP、SMTP、POP3等应用协议的安全与web内容的过滤管控。
　　随着Internet应用技术的发展变化，为了实现全面的Internet应用安全与管理，Web安全网关在防病毒的基础上又集成了应用控制、带宽管理等上网行为管理类产品的大部分功能。除了上面应用层的网关厂商，传统的防火墙厂商也在拓展其功能。在传统的网络层访问控制的基础上增加了网络应用的识别与管控，具有了应用控制、带宽管理甚至URL过滤等功能，叫法也变成了应用防火墙。功能最全面的应用网关是UTM，它包括网络层防火墙、垃圾邮件过滤、IPS、防病毒，URL过滤、应用控制和带宽管理等一系列的功能。
　　但是，面对以上众多功能有相互融合和渗透的产品，用户该如何选购?
　　大企业的选择——偏重于安全
　　金融，运营商等大型企业的办公与业务系统对安全非常重视，因为木马，间谍软件植入企业内部的主机或者终端会对企业造成无法弥补的危害和经济损失，所以他们通常都有较完整的网络安全防护架构，防火墙中启用的访问控制策略也比较多，在这种情况下用户只需要增加对必须开放的端口以及应用协议进行防护。例如邮件与Web应用，邮件有专门的邮件安全网关，web需要Web安全网关或者防病毒网关。虽然UTM设备里面有邮件安全与web安全的组件，但是防护效果不一定满足这类用户的需求。
　　例如对于防病毒的功能，大企业用户首要关心的是性能，其次是查杀防护效果，即识别率，最后还关心增强的功能，是否支持多种协议，是否具有多种部署方式等，当然功能上至少支持http，https，pop3，smtp，ftp这5种应用协议的扫描过滤。性能是否满足，一上线就能体现，同样对这类用户性能满足的同时，过滤防护效果也非常重要。因为全球每年产生的malware数量会超过500万个，设备中内置的特征库应该可以找到至少 500万个样本，这样才能保证识别1年内的所有威胁。牺牲特征数量，可以大幅提升性能，但却不能做到有效的防护。通常UTM设备会放2万个左右的特征，最多找到100万左右的样本。这样的样本数量相当于专业病毒厂商4个月左右的样本数量。所以大型企业用户通常会选择专业的防病毒网关或者Web安全网关。
　　Web安全网关与防病毒网关实现的安全部分功能非常类似，但是Web安全网关还增添了Internet应用接入的管控功能。对上网行为会作相应管理与控制，这些都可以辅助加强企业的网络安全。例如对IM进行控制，同样可以阻断病毒的一部分传播渠道。
　　小企业的选择——偏重于管理
　　小企业并不是不重视安全，只是为了做到安全而采购防火墙，IPS，防病毒网关，邮件安全网关等一系列产品，投资与潜在风险危害不成比例，性价比不高。所以小企业更愿意选择管理类的上网行为管理与综合类的UTM。对于小企业的管理者或者网管人员，很容易看到上网行为管理产品的效果。可以迅速提高生产力与实现带宽的优化。同样UTM产品也是不错的选择，因为企业可以得到更多的功能而只花很少的费用。而且通常小企业用户数有限也不会碰到性能的瓶颈。当然也需要 UTM厂商集成优秀厂商的病毒引擎，病毒库，垃圾邮件引擎，URL引擎与数据库，这样可以给小企业用户提供更完美的体验。
　　上面是基于用户需求所作的选择分析，下面将对这几类产品自身特点作简单分析。
　　首先性能方面：
　　让我们抛开产品的界限，以不同的应用功能来做其重点性能的分析：
　　网络层防火墙，性能体现在tcp连接与udp转发，目前市面上最高端的性能已经高达10G，因为在底层转发使用了专有芯片或网络处理器来加速。
　　带宽管理，性能瓶颈在于udp包转发，在此基础上要对协议进行识别，对于普通企业来说，1G的带宽管理已经足够。
　　URL过滤，性能瓶颈在于http proxy的处理速度，经过优化之后最好的设备可达线速。
　　网关防病毒的性能瓶颈在于基于特征的扫描与http的并发连接，通过硬件的扫描加速可以实现http 1G基于特征的扫描和实际环境中4万左右的http并发。
　　以上每个功能单独做到极致都会没有办法处理其他功能，但市面上优秀的Web安全网关，例如安启华的Web安全网关设备在千兆网络环境中可以启用多种功能，这对于大企业来说完全满足需求。
　　其次从功能上判断：
　　带有安全功能的是UTM与防病毒网关、Web安全网关。带有管理功能的是UTM、Web安全网关与上网行为管理网关。安全通常带有全球的特性，所以国际厂商通常从安全入手，增加管理功能满足用户需求。管理带有明显区域特性，所以通常国内厂商会占有更高的份额，因为对区域性的应用能够及时更新与控制。既做到全球性的安全，又做到区域性的管理功能是每个厂商追求的目标，只有市场才可以真正检验。
　　需求的多样性导致了产品的复杂性，没有一成不变的产品与厂商，站在IT产品发展的角度，当出现诸侯割据的局面时，那说明一统天下的产品即将出现。在每个领域，市场只会记住几个主要的名字。对于企业用户，抛开各个厂商的建议，首先要分析自己的网络需求，安全还是管理或者是兼而有之。如果选择安全，如何量化安全的程度，参考同行业的选购或者从实际环境的使用比较都是明智的选择。尽量选择每个领域最领先的产品，这是对投资最好的保护
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
安全网关是各种技术有趣的融合，具有重要且独特的保护作用，其范围从协议级过滤到十分复杂的应用级过滤。防火墙主要有三类： 分组过滤 电路网关 应用网关
注意：三种中只有一种是过滤器，其余都是网关。 这三种机制通常结合使用。过滤器是映射机制，可区分合法的和欺骗包。每种方法都有各自的能力和限制，要根据安全的需要仔细评价。
1、包过滤器
包过滤是安全映射最基本的形式，路由软件可根据包的源地址、目的地址或端口号建立许可权， 对众所周知的端口号的过滤可以阻止或允许网际协议如FTP、rlogin等。过滤器可对进入和/或流出的数据操作， 在网络层实现过滤意味着路由器可以为所有应用提供安全映射功能。作为（逻辑意义上的）路由器的常驻部分， 这种过滤可在任何可路由的网络中自由使用，但不要把它误解为万能的，包过滤有很多弱点，但总比没有好。
包过滤很难做好，尤其当安全需求定义得不好且不细致的时候更是如此。这种过滤也很容易被攻破。包过滤比较每个数据包， 基于包头信息与路由器的访问列表的比较来做出通过/不通过的决定，这种技术存在许多潜在的弱点。首先， 它直接依赖路由器管理员正确地编制权限集，这种情况下，拼写的错误是致命的， 可以在防线中造成不需要任何特殊技术就可以攻破的漏洞。即使管理员准确地设计了权限，其逻辑也必须毫无破绽才行。 虽然设计路由似乎很简单，但开发和维护一长套复杂的权限也是很麻烦的， 必须根据防火墙的权限集理解和评估每天的变化，新添加的服务器如果没有明确地被保护，可能就会成为攻破点。
随着时间的推移，访问权限的查找会降低路由器的转发速度。每当路由器收到一个分组， 它必须识别该分组要到达目的地需经由的下一跳地址，这必将伴随着另一个很耗费CPU的工作： 检查访问列表以确定其是否被允许到达该目的地。访问列表越长，此过程要花的时间就越多。
包过滤的第二个缺陷是它认为包头信息是有效的，无法验证该包的源头。 头信息很容易被精通网络的人篡改， 这种篡改通常称为“欺骗”。
包过滤的种种弱点使它不足以保护你的网络资源，最好与其它更复杂的过滤机制联合使用，而不要单独使用。
2、链路网关
链路级网关对于保护源自私有、安全的网络环境的请求是很理想的。这种网关拦截TCP请求，甚至某些UDP请求， 然后代表数据源来获取所请求的信息。该代理服务器接收对万维网上的信息的请求，并代表数据源完成请求。实际上， 此网关就象一条将源与目的连在一起的线，但使源避免了穿过不安全的网络区域所带来的风险。
3 什么是网关
这种方式的请求代理简化了边缘网关的安全管理，如果做好了访问控制，除了代理服务器外所有出去的数据流都被阻塞。 理想情况下，此服务器有唯一的地址，不属于任何内部使用的网段。这绝对使无意中微妙地暴露给不安全区域的信息量最小化， 只有代理服务器的网络地址可被外部得到，而不是安全区域中每个联网的计算机的网络地址。
3、应用网关
应用网关是包过滤最极端的反面。包过滤实现的是对所有穿过网络层包过滤设备的数据的通用保护， 而应用网关在每个需要保护的主机上放置高度专用的应用软件，它防止了包过滤的陷阱，实现了每个主机的坚固的安全。
应用网关的一个例子是病毒扫描器，这种专用软件已经成了桌面计算的主要产品之一。它在启动时调入内存并驻留在后台， 持续地监视文件不受已知病毒的感染，甚至是系统文件的改变。 病毒扫描器被设计用于在危害可能产生前保护用户不受到病毒的潜在损害。
这种保护级别不可能在网络层实现，那将需要检查每个分组的内容，验证其来源，确定其正确的网络路径， 并确定其内容是有意义的还是欺骗性的。这一过程将产生无法负担的过载，严重影响网络性能。
4、组合过滤网关
使用组合过滤方案的网关通过冗余、重叠的过滤器提供相当坚固的访问控制，可以包括包、链路和应用级的过滤机制。 这样的安全网关最普通的实现是象岗哨一样保护私有网段边缘的出入点，通常称为边缘网关或防火墙。 这一重要的责任通常需要多种过滤技术以提供足够的防卫。下图所示为由两个组件构成的安全网关：一个路由器和一个处理机。 结合在一起后，它们可以提供协议、链路和应用级保护。
这种专用的网关不象其它种类的网关一样，需要提供转换功能。作为网络边缘的网关，它们的责任是控制出入的数据流。 显然的，由这种网关联接的内网与外网都使用IP协议，因此不需要做协议转换，过滤是最重要的。
保护内网不被非授权的外部网络访问的原因是显然的。控制向外访问的原因就不那么明显了。在某些情况下， 是需要过滤发向外部的数据的。例如，用户基于浏览的增值业务可能产生大量的WAN流量，如果不加控制， 很容易影响网络运载其它应用的能力，因此有必要全部或部分地阻塞此类数据。
联网的主要协议IP是个开放的协议，它被设计用于实现网段间的通信。这既是其主要的力量所在，同时也是其最大的弱点。 为两个IP网提供互连在本质上创建了一个大的IP网， 保卫网络边缘的卫士--防火墙--的任务就是在合法的数据和欺骗性数据之间进行分辨。
5、实现中的考虑
实现一个安全网关并不是个容易的任务,其成功靠需求定义、仔细设计及无漏洞的实现。首要任务是建立全面的规则， 在深入理解安全和开销的基础上定义可接受的折衷方案，这些规则建立了安全策略。
安全策略可以是宽松的、严格的或介于二者之间。在一个极端情况下，安全策略的基始承诺是允许所有数据通过，例外很少， 很易管理，这些例外明确地加到安全体制中。这种策略很容易实现，不需要预见性考虑，保证即使业余人员也能做到最小的保护。 另一个极端则极其严格，这种策略要求所有要通过的数据明确指出被允许，这需要仔细、着意的设计，其维护的代价很大， 但是对网络安全有无形的价值。从安全策略的角度看，这是唯一可接受的方案。在这两种极端之间存在许多方案，它们在易于实现、 使用和维护代价之间做出了折衷，正确的权衡需要对危险和代价做出仔细的评估。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
产品为用户提供了经验证的安全技术和容易部署与管理特性的完美结合。通过全线的硬件解决方案，产品整合了诸如防火墙、VPN、入侵防护和防病毒等关键的安全应用到一个单一、容易部署的解决方案之中。产品基软件刀片架构，可以灵活而快速的部署各种额外的安全功能，例如VoIP防护等，而这些部署无需添加其他的新硬件。
　　产品提供了一套全面的安全特性集，包括防火墙、入侵防护、防病毒、防间谍软件、防垃圾邮件、Web内容过滤、Web应用防护和安全的站点到站点以及远程访问连接。产品为低于100人的分支办公室提供了集成的防火墙、入侵防护、VPN和防病毒功能，确保了小型办公室获得与企业总部同样的安全防护水平。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
和防火墙有点类似
初级工程师
可以理解成防火墙
助理工程师
大虾一出 问题全无
楼主可以理解为&&自带防火墙的网关设备
初级工程师
说的应该就是防火墙吧。
白袍大法师
不是防火墙。。但含 有防火墙功能。。
功能更多，更强。。。但性能上。嘿就不一定比防火墙牛。。
看我上面的红字部分
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
简单的说，就是在路由和核心交换之间的一切涉及安全的硬件设备，如防火墙、IPS、AV等