網(wǎng)絡(luò)隔離系統(tǒng)

上傳人：2*** IP屬地：湖北上傳時間：2023-02-01 格式：PPT 頁數(shù)：87 大?。?.77MB 積分：28 舉報 版權(quán)申訴

已閱讀5頁，還剩82頁未讀，繼續(xù)免費(fèi)閱讀

版權(quán)說明：本文檔由用戶提供并上傳，收益歸屬內(nèi)容提供方，若內(nèi)容存在侵權(quán)，請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

網(wǎng)絡(luò)隔離系統(tǒng)-------計算機(jī)網(wǎng)絡(luò)技師培訓(xùn)企順技能培訓(xùn)學(xué)校Let’smakeyourbusinesssmooth!2/1/20231隔離技術(shù)″隔離的概念″隔離技術(shù)的發(fā)展″隔離網(wǎng)閘原理產(chǎn)品介紹″隔離網(wǎng)閘與防火墻區(qū)別比較″隔離網(wǎng)閘產(chǎn)品分類″FerryWay三機(jī)系統(tǒng)模型″三機(jī)與二機(jī)區(qū)別比較″FerryWay的技術(shù)特點FerryWay管理配置″管理端軟件″審計端軟件內(nèi)容目錄2/1/20232隔離的概念

網(wǎng)絡(luò)隔離———NetworkIsolation

協(xié)議隔離———ProtocolIsolationMarkJosephEdwards：協(xié)議隔離和防火墻不屬于同類產(chǎn)品“UnderstandingNetworkSecurity”2/1/20233隔離技術(shù)的發(fā)展2/1/20234IP包，3層IP包，3層TCP4層TCP4層5至7層5至7層數(shù)據(jù)擺渡OSI第七層外隔離網(wǎng)閘

私有協(xié)議擺渡隔離網(wǎng)閘原理內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)物理、數(shù)據(jù)鏈路1至2層物理、數(shù)據(jù)鏈路1至2層2/1/20235隔離技術(shù)″隔離的概念″隔離技術(shù)的發(fā)展″隔離網(wǎng)閘原理產(chǎn)品介紹″隔離網(wǎng)閘與防火墻區(qū)別比較″隔離網(wǎng)閘產(chǎn)品分類″FerryWay三機(jī)系統(tǒng)模型″三機(jī)與二機(jī)區(qū)別比較″FerryWay的技術(shù)特點FerryWay管理配置″管理端軟件″審計端軟件內(nèi)容目錄2/1/202368/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\InternetInternalUsersFireWallPort80WebservicesWebenabledappsIMtrafficRichmediaInternetaccess43%43%55%43%98%80–HTTP“…75％的成功針對服務(wù)器的攻擊是通過應(yīng)用層完成的，而不是網(wǎng)絡(luò)層來完成的。網(wǎng)絡(luò)攻擊分析2/1/20237隔離技術(shù)需具備的安全要點要具有高度的自身安全性

要確保網(wǎng)絡(luò)之間是隔離的

要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù)

要對網(wǎng)間的訪問進(jìn)行嚴(yán)格的控制和檢查

要在堅持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明2/1/20238與防火墻的主要區(qū)別隔離網(wǎng)閘防火墻政策歸類安全隔離與信息交換防火墻功能定位安全第一，通信第二通信第一，安全第二硬件體系多機(jī)系統(tǒng)單機(jī)系統(tǒng)通信協(xié)議專用私有協(xié)議公用協(xié)議安全級別內(nèi)外皆防防外2/1/20239網(wǎng)閘的分類市場上網(wǎng)閘主要分為兩類：

傳統(tǒng)“2+1”結(jié)構(gòu)為基礎(chǔ)的網(wǎng)閘三機(jī)架構(gòu)的網(wǎng)閘控制臺存儲介質(zhì)外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)？？？2/1/202310基于三機(jī)系統(tǒng)的安全隔離與信息交換模型FerryWay系統(tǒng)模型2/1/202311FerryWay三機(jī)系統(tǒng)原理Hello？？？處理連接POST處理請求NOSorry2/1/202312FerryWay三機(jī)系統(tǒng)原理Hello？？？處理連接POST處理請求YesYes，YoucanCommandRequest：Hello？Yes，I’mhere.Ready2/1/202313三機(jī)與二機(jī)區(qū)別FerryWay“2+1”主機(jī)形態(tài)三機(jī)三系統(tǒng)二主機(jī)+擺渡機(jī)制防范級別內(nèi)外網(wǎng)相同對待外網(wǎng)危險，內(nèi)網(wǎng)安全自身安全性仲裁系統(tǒng)硬件網(wǎng)絡(luò)不可達(dá)仲裁系統(tǒng)硬件網(wǎng)絡(luò)可達(dá)處理能力內(nèi)外端拆封，仲裁端檢測內(nèi)外端既拆封又檢測2/1/202314攻擊者即使同時獲得內(nèi)外網(wǎng)機(jī)的權(quán)限，也無法構(gòu)建不受控數(shù)據(jù)通道內(nèi)/外端機(jī)是內(nèi)/外網(wǎng)網(wǎng)絡(luò)協(xié)議的終點，網(wǎng)絡(luò)協(xié)議不可延伸信息落地，仲裁機(jī)對剝離的應(yīng)用層信息進(jìn)行安全檢查，控制網(wǎng)間傳播內(nèi)容，保護(hù)重要資源仲裁系統(tǒng)網(wǎng)絡(luò)協(xié)議不可達(dá)，自身安全性大大提高三機(jī)模型的特點和優(yōu)勢2/1/202315隔離技術(shù)″隔離的概念″隔離技術(shù)的發(fā)展″隔離網(wǎng)閘原理產(chǎn)品介紹″隔離網(wǎng)閘與防火墻區(qū)別比較″隔離網(wǎng)閘產(chǎn)品分類″FerryWay三機(jī)系統(tǒng)模型″三機(jī)與二機(jī)區(qū)別比較″FerryWay的技術(shù)特點FerryWay管理配置″管理端軟件″審計端軟件內(nèi)容目錄2/1/2023161.管理配置界面提供給系統(tǒng)配置管理員對FerryWay系統(tǒng)進(jìn)行配置的用戶界面。主要功能包括：

登錄

系統(tǒng)設(shè)置(設(shè)置內(nèi)外端機(jī)IP地址、系統(tǒng)關(guān)閉/重啟)

用戶信息

應(yīng)用通道

安全策略(HTTP/SMTP/POP3)

2.審計查看界面

提供給審計管理員查看和管理FerryWay系統(tǒng)審計信息的用戶界面。主要功能包括：

登錄

查看HTTP/SMTP/POP3/系統(tǒng)的審計信息

查詢指定條件的審計信息

導(dǎo)出指定條件的審計信息2/1/2023172/1/2023182/1/2023191.設(shè)置內(nèi)端機(jī)IP地址

選擇“系統(tǒng)”菜單下的“設(shè)置”，顯示系統(tǒng)設(shè)置列表。選擇“設(shè)置內(nèi)端機(jī)IP地址”，顯示設(shè)置界面。2.設(shè)置外端機(jī)IP地址

選擇“系統(tǒng)”菜單下的“設(shè)置”，顯示系統(tǒng)設(shè)置列表。選擇“設(shè)置外端機(jī)IP地址”，顯示設(shè)置界面。一般要設(shè)置默認(rèn)網(wǎng)關(guān)、域名服務(wù)器。3.系統(tǒng)關(guān)閉或重啟

選擇“系統(tǒng)”菜單下的“關(guān)閉/重啟”，顯示系統(tǒng)關(guān)閉/重啟界面。關(guān)閉或重啟整個三機(jī)系統(tǒng)。2/1/202320使用“高級”，可以設(shè)置多個IP地址。2/1/202321使用“高級”，可以設(shè)置多個IP地址。2/1/2023222/1/202323選擇“用戶”菜單下的“所有用戶”，顯示當(dāng)前系統(tǒng)中的所有用戶列表。包括系統(tǒng)配置管理員和普通用戶，但是，無法看到審計管理員。主要功能：1.添加新用戶

在用戶列表的右鍵菜單中選擇“添加”，顯示添加新用戶界面。2.刪除用戶

選定某一用戶，在右鍵菜單中選擇“刪除”，確認(rèn)后，刪除選定用戶。無法刪除系統(tǒng)配置管理員帳號。3.修改用戶密碼（或修改系統(tǒng)配置管理員的登錄密碼）

選定某一用戶，在右鍵菜單中選擇“修改密碼”，顯示密碼修改界面。如果選擇了系統(tǒng)配置管理員，則顯示修改管理員登錄密碼界面。2/1/202324注：用戶密碼必須是英文字母和數(shù)字的組合。2/1/2023252/1/2023262/1/202327選擇“應(yīng)用通道”菜單，顯示當(dāng)前系統(tǒng)中的所有應(yīng)用通道列表。主要功能：1.添加新應(yīng)用通道

在列表的右鍵菜單中選擇“添加”，顯示添加新應(yīng)用通道界面。應(yīng)用通道添加后，必須手動啟用，并設(shè)置“啟用類型”為“自動”。2.刪除應(yīng)用通道

選定某一應(yīng)用通道，在右鍵菜單中選擇“刪除”，確認(rèn)后，刪除選定應(yīng)用通道。3.修改應(yīng)用通道設(shè)置

選定某一處于“停用”狀態(tài)的應(yīng)用通道，在右鍵菜單中選擇“設(shè)置”，修改選定應(yīng)用通道的設(shè)置信息。設(shè)置界面和添加界面相同。2/1/2023282/1/2023291.應(yīng)用通道源

選擇應(yīng)用通道的方向2.工作模式

代理模式：解析客戶端請求數(shù)據(jù)中的主機(jī)地址，連接。轉(zhuǎn)發(fā)模式：直接將客戶端發(fā)送的數(shù)據(jù)轉(zhuǎn)發(fā)到指定主機(jī)。3.應(yīng)用類型

包括：HTTP、SMTP、POP3、FTP、TELNET、NULL_TCP（自定義通道）4.源機(jī)IP地址5.源機(jī)端口6.目的機(jī)IP地址

代理模式無須設(shè)置目的機(jī)IP地址和端口7.目的機(jī)端口8.允許最大連接數(shù)9.證書認(rèn)證2/1/2023302/1/2023312/1/2023322/1/2023331.HTTP應(yīng)用

允許訪問主機(jī)策略、訪問內(nèi)容審計策略、其他策略(禁止訪問文件類型、禁止腳本、禁止查詢字串、禁止 POST、禁止COOKIE)2.SMTP應(yīng)用

允許主機(jī)地址策略、郵件內(nèi)容審計策略、禁止發(fā)件地址策略、禁止收件地址策略、禁止郵件主題策略、其他策略(禁止附件文件類型、禁止腳本、發(fā)送郵件大小、病毒掃描)3.POP3應(yīng)用允許主機(jī)地址策略、郵件內(nèi)容審計策略、禁止發(fā)件地址策略、禁止收件地址策略、禁止郵件主題策略、其他策略(禁止附件文件類型、禁止腳本、接收郵件大小、病毒掃描)2/1/202334設(shè)置客戶端可以訪問的主機(jī)地址，并選擇使用的應(yīng)用通道。主機(jī)地址支持通配符，如：*.，可以訪問以結(jié)尾的主機(jī)；*，則可以訪問所有主機(jī)。2/1/202335設(shè)置訪問內(nèi)容過濾的關(guān)鍵字。2/1/2023361.禁止訪問文件類型輸入文件擴(kuò)展名，以“|”間隔，區(qū)分大小寫。如：rar|zip|rm2.禁止腳本選擇某一一應(yīng)用通道的禁止腳本策略，選擇“設(shè)置策略內(nèi)容”，在設(shè)置界面中，選擇“是”或“否”。3.禁止查詢字串選擇某一一應(yīng)用通道的禁止查詢字串策略，選擇“設(shè)置策略內(nèi)容”，在設(shè)置界面中，選擇“是”或“否”。4.禁止POST

選擇某一一應(yīng)用通道的禁止POST策略，選擇“設(shè)置策略內(nèi)容”，在設(shè)置界面中，選擇“是”或“否”。5.禁止COOKIE

選擇某一一應(yīng)用通道的禁止COOKIE策略，選擇“設(shè)置策略內(nèi)容”，在設(shè) 置界面中，選擇“是”或“否”。2/1/202337選擇菜單“安全策略”->“SMTP應(yīng)用”->“允許主機(jī)地址策略”，顯示策略內(nèi)容列表。

2/1/202338“允許主機(jī)地址”為允許使用的SMTP主機(jī)。添加界面如下：

2/1/202339修改策略內(nèi)容界面如下：

2/1/202340除了添加、修改策略等功能以外，還提供：刪除策略在策略列表中選定某一策略，在右鍵菜單中選擇“刪除”或直接按 “DEL”鍵，確認(rèn)后，就可以刪除選定的策略了。策略生效設(shè)置