安全網關是各種技術有趣的融合,具有重要且獨特的保護作用,其範圍從協定級過濾到十分複雜的套用級過濾。設定的目的是防止Internet或外網不安全因素蔓延到自己企業或組織的內部網。安全網關在套用層和網路層上面都有防火牆的身影,在第三層上面還能看到VPN作用。
基本介紹
簡介,結構組成,實現策略,特點及優勢,套用協定,功能特點,智慧型接入,完美可靠,健康網路,套用安全,移動辦公,快速安全,抑制頻寬濫用,保障關鍵業務,常見套用環境,
簡介
安全網關支持兩種網路接入模式:一種是網橋模式,一種是網關模式。
如果安全網關採用網橋模式,通常情況下應該部署在企業接入設備(防火牆或者路由器)的後面。安全網關的兩個網口(區域網路口和外網口)連線的是同一網段的兩個部分,用戶只需給安全網關配置一個本網段的IP位址,不需要改變網路拓撲以及其它配置,透明接入網路。
網關模式下有ADSL撥號、靜態路由、DHCP client端三種外網接入類型。如果安全網關採用網關模式,通常情況下應該部署在企業網路出口處,做為寬頻網路接入設備,保護整個內部網路。
對於企業連線不同地域網路的需求,安全網關提供了VPN功能,企業可以通過Internet連線不同地域的網路。安全網關提供IPSec VPN等接入方法。安全網關的VPN功能適用於網關接入模式下。
結構組成
由一個路由器和一個處理機構成的安全網關,兩個部件結合在一起後,它們可以提供協定、鏈路和套用級保護。 這種專用的網關不象其它種類的網關一樣,需要提供轉換功能。作為網路邊緣的網關,它們的責任是控制出入的數據流。安全網關聯接的區域網路與外網都使用IP協定,因此不需要做協定轉換,過濾是最重要的。保護區域網路不被非授權的外部網路訪問的原因是顯然的。控制向外訪問的原因就不那么明顯了。在某些情況下,是需要過濾發向外部的數據的。例如,用戶基於瀏覽的增值業務可能產生大量的WAN流量,如果不加控制,很容易影響網路運載其它套用的能力,因此有必要全部或部分地阻塞此類數據。
聯網的主要協定IP是個開放的協定,它被設計用於實現網段間的通信。這既是其主要的力量所在,同時也是其最大的弱點。為兩個IP網提供互連在本質上創建了一個大的IP網,保衛網路邊緣的衛士——防火牆的任務就是在合法的數據和欺騙性數據之間進行分辨。
實現策略
首要任務是建立全面的規則,在深入理解安全和開銷的基礎上定義可接受的折衷方案,這些規則建立了安全策略。安全策略可以是寬鬆的、嚴格的或介於二者之間。
在一個極端情況下,安全策略的基始承諾是允許所有數據通過,例外很少,很易管理,這些例外明確地加到安全體制中。這種策略很容易實現,不需要預見性考慮,保證即使業餘人員也能做到最小的保護。
另一個極端則極其嚴格,這種策略要求所有要通過的數據明確指出被允許,這需要仔細、著意的設計,其維護的代價很大,但是對網路安全有無形的價值。從安全策略的角度看,這是唯一可接受的方案。
在這兩種極端之間存在許多方案,它們在易於實現、使用和維護代價之間做出了折衷,正確的權衡需要對危險和代價做出仔細的評估。安全網關是各種技術有趣的融合,具有重要且獨特的保護作用,其範圍從協定級過濾到十分複雜的套用級過濾。
特點及優勢
與傳統的網路防病毒軟體相比,安全網關在病毒過濾方面具有以下優勢:
1、將病毒攔截在企業網路之外,不讓病毒進入內部網路。
2、專用的硬體設備,不會占用伺服器或桌面PC機的資源。
3、管理簡便,只需要對安全網關設備進行管理就行。
4、升級方便,能夠及時地、自動地更新最新的病毒特徵庫,每天數次病毒特徵庫升級減少對企業網路頻寬造成影響。
套用協定
OSI是一個開放性的通行系統互連參考模型,有7層結構,每層都可以有幾個子層。OSI的7層從上到下分別是:
7 套用層
6 表示層
5 會話層
4 傳輸層
3 網路層
2 數據鏈路層
1 物理層
其中高層,即7、6、5、4層定義了應用程式的功能,下面3層,即3、2、1層主要面向通過網路的端到端的數據流。
安全網關在套用層和網路層上面都有防火牆的身影,在第三層上面還能看到VPN作用。防毒牆這種安全網關作用在第二層。根據七層的級別限制,高等級協定能夠掌管低等級協定的原則,安全網關的發展正在走向高等級協定的路線。
網關與路由器的區別:
網關是訪問路由器的IP,其他的電腦必須和網關一個IP段才能訪問路由器,比如說路由器的IP是192.168.0.1(這個就是網關)也是進路由器必須的地址,其他的主機也必須是192.168.0.X(2—254之間任意一個數字)這樣才能訪問路由器也就是說這樣才能上網,電腦上的網關地址就要填寫192.168.0.1
功能特點
智慧型接入,完美可靠
健康網路,套用安全
產品通過自身具有的防火牆、防病毒、入侵檢測、用戶接入主動認證等功能,為企業提供全方位的區域網路接入安全管理方案。通過自身具有的DHCP伺服器、ARP防火牆、DDNS等功能為企業提供全方位的區域網路管理方案。
移動辦公,快速安全
產品中帶有的SSLVPN、IPSEC、PPTP、L2TP等VPN功能,能夠讓用戶通過一鍵式操作,方便快捷的建立價格低廉的廣域網上專用網路,為企業提供廣域網安全業務傳輸通道,便利的實現了企業總部與移動工作人員、分公司、合作夥伴、產品供應商、客戶間的連線,提高與分公司、客戶、供應商和合作夥伴開展業務的能力。
抑制頻寬濫用,保障關鍵業務
動態智慧型頻寬管理功能,只需一次性設定,自動壓抑占用頻寬用戶,輕鬆解決BT、P2P及視頻影片下載等占用頻寬問題。
常見套用環境
集中存儲安全體系包含如下的安全產品部件:集中存儲安全控制網關、安全管理終端。
網路安全集中存儲系統拓撲環境圖安全管理終端:對於安全控制網關進行配置管理,實現包括訪問IP位址、存儲資源、用戶黑白名單、用戶資源訪問控制列表的設定。
集中存儲安全控制網關:對外提供可選的安全訪問控制、用戶身份認證、安全審計能力和透明的存儲加解密能力。
