【正文】 　　證書機關是一類非常基礎的產(chǎn)品，任何基于證書體制實現(xiàn)安全的信息系統(tǒng)都需要該產(chǎn)品。硬件防火墻是保障內部網(wǎng)絡安全的一道重要屏障。用戶在選擇防火墻產(chǎn)品時，應該盡量選擇占市場份額較大同時又通過了國家權威認證機構認證測試的產(chǎn)品。（2）衡量標準：吞吐量作為衡量防火墻性能的重要指標之一,吞吐量小就會造成網(wǎng)絡新的瓶頸，以至影響到整個網(wǎng)絡的性能 詳細的技術參數(shù)及性能要求見如下文檔（1）包過濾防火墻 ● 不能防范部分的黑客IP欺騙類攻擊 【優(yōu)點】 ● 處理速度較慢對于新建立的應用連接，狀態(tài)檢測型防火墻先檢查預先設置的安全規(guī)則，允許符合規(guī)則的連接通過；記錄下該連接的相關信息，生成狀態(tài)表；對該連接的后續(xù)數(shù)據(jù)包，只要是符合狀態(tài)表，就可以通過。提供了完整的對傳輸層的控制能力 傳統(tǒng)的包過濾和狀態(tài)檢測防火墻弱點如下： ● 深度檢測技術深入檢查通過防火墻的每個數(shù)據(jù)包及其應用載荷同時很多X86架構的防火墻是基于定制的通用操作系統(tǒng)，安全性很大程度上取決于通用操作系統(tǒng)自身的安全性，可能會存在安全漏洞。從上面可以看出，X86架構、NP和ASIC各有優(yōu)缺點。防火墻和相應的操作系統(tǒng)應該用補丁程序進行升級且升級必須定期進行。包括系統(tǒng)外部的入侵和內部用戶的非授權行為,是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。（3）虛警（false positive）：把系統(tǒng)的“正常行為”作為“異常行為”進行報警（4）漏警(false negative)：如果檢測系統(tǒng)對部分針對系統(tǒng)的入侵活動不能識別、報警，稱為系統(tǒng)漏警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，用于指導事件的分析及反應，它可以是復雜的數(shù)據(jù)庫，也可以是簡單的文本文件。同樣由于實時在線，NIPS需要具備很高的性能，以免成為網(wǎng)絡的瓶頸，因此NIPS通常被設計成類似于交換機的網(wǎng)絡設備，提供線速吞吐速率以及多個網(wǎng)絡端口。至于其它區(qū)域，可以根據(jù)實際情況與重要程度，酌情部署。這樣所有來自外部的數(shù)據(jù)必須串行通過入侵防御系統(tǒng)，入侵防御系統(tǒng)即可實時分析網(wǎng)絡數(shù)據(jù)，發(fā)現(xiàn)攻擊行為立即予以阻斷，保證來自外部的攻擊數(shù)據(jù)不能通過網(wǎng)絡邊界進入網(wǎng)絡。尤其是通過在線升級的方式，能夠保證設備在最短的時間內獲得更新。 從設備使用范圍及功能特性上來說，針對不同級別用戶，UTM（統(tǒng)一威脅管理）主要有以下幾種設備類型：（1） 小型企業(yè)安全網(wǎng)關（吞吐量在幾百兆）（2） 中小型企業(yè)級百兆網(wǎng)絡應用（吞吐量上千兆）（3） 大中型企業(yè)級千兆網(wǎng)絡應用（吞吐量達萬兆左右）（4） 電信級萬兆骨干網(wǎng)絡應用（吞吐量在幾萬兆）（5） UTM防火墻（千兆級） 接口類型控制端口：RJ4RS232網(wǎng)絡端口：多個千兆以太網(wǎng)電口或千兆光口在UTM的所有功能中，并不是所有的功能都是必要的，用戶需要根據(jù)自己的需求來斷定采購目標。而對垃圾郵件的處理性能上，UTM較專業(yè)的反垃圾郵件網(wǎng)關仍然有一定的差距。防病毒網(wǎng)關從概念上繼承了傳統(tǒng)防火墻的網(wǎng)絡安全區(qū)域概念，也實現(xiàn)了很多突破。 防病毒網(wǎng)關部署2 與防火墻的區(qū)別 與防火墻的關系詳細區(qū)別請訪問：防病毒網(wǎng)關、防火墻與防病毒軟件功能及部署對比_百度文庫 與防病毒軟件的區(qū)別 VPN安全網(wǎng)關VPN網(wǎng)關是通過vpn技術實現(xiàn)不同的網(wǎng)絡之間的互聯(lián)，是總部與分支機構網(wǎng)絡互通的最好形式。 當用戶部署了客戶到LAN的VPN方案時，VPN產(chǎn)品應提供標準的特性或公開的API（應用程序編程接口），可以從公司數(shù)據(jù)庫中直接輸入用戶信息。系統(tǒng)活動包括操作系統(tǒng)活動和應用程序進程的活動。如審計功能的啟動和關閉，使用身份驗證機制，將客體引入主體的地址空間，刪除客體、管理員、安全員、審計員和一般操作人員的操作，以及其他專門定義的可審計事件。（4）折疊審計事件查閱。通過編寫網(wǎng)絡安全選型文檔，我本人對于一些常用的網(wǎng)絡安全設備有了一些初步的認識?！”ＷC審計數(shù)據(jù)的可用性?！『唵喂籼綔y。這類審計卻無法跟蹤和記錄應用事件，也無法提供足夠的細節(jié)信息。網(wǎng)絡審計系統(tǒng)可廣泛應用于各類上網(wǎng)場所，具體包括：酒店、賓館、學校、小區(qū)、網(wǎng)吧、企業(yè)、政府機關等上網(wǎng)場所的安全審計與管理，能夠透明地審計并管理內部工作人員的上網(wǎng)行為，保護敏感信息的外泄，屏蔽黃、賭、毒、邪教、黑客等不良網(wǎng)站，能夠很好地滿足來自信息安全市場的多種需求。 （3）有完善的認證管理。產(chǎn)品含企業(yè)版查殺病毒功能，包括企業(yè)版快速掃描防病毒查殺和企業(yè)版深度掃描防病毒查殺，含3年病毒庫升級服務許可（快速+深度）整機吞吐率：最大并發(fā)連接數(shù)：200W病毒檢測吞吐率：600Mbps病毒庫400萬TopFilter 8000TF31814Virus2U機箱，最大配置為12個接口，默認4個10/100/1000BASET接口，標配模塊化雙冗余電源，默認電口具有一組BYPASS接口1個可插撥的擴展槽。用戶在使用防病毒網(wǎng)關對網(wǎng)絡數(shù)據(jù)流量進行檢測時，基本感覺不到數(shù)據(jù)掃描操作所帶來的響應延遲，更不用擔心錯過精彩的網(wǎng)絡實況播報（2）適應于復雜的核心網(wǎng)絡防病毒網(wǎng)關系統(tǒng)吸收了業(yè)界多年來在防火墻領域的設計經(jīng)驗和先進技術，支持眾多網(wǎng)絡協(xié)議和應用協(xié)議， VLAN、PPPoE、Spanning tree等協(xié)議，適用的范圍更廣泛，確保了用戶的網(wǎng)絡的“無縫部署”、“無縫防護”、“無縫升級”。（2）擴展的VPN功能：通過SSL VPN和L2TP VPN，可以供給更靈活的VPN組網(wǎng)能力，包括無客戶端或瘦客戶端的VPN部署，對動態(tài)用戶的支持等。（3）新建連接速率：新建連接速率是UTM每秒鐘能夠處理用戶的應用層請求的速率，它代表了設備在面對大量網(wǎng)絡終端的訪問請求時，所能體現(xiàn)出的響應速度。曾有用戶調查顯示，用戶對UTM易用性的關注超越了入侵防御和防病毒，成為用戶在選購UTM時最關注的問題。與防火墻類產(chǎn)品、入侵檢測產(chǎn)品可以實施的安全策略不同，入侵防御系統(tǒng)可以實施深層防御安全策略，即可以在應用層檢測出攻擊并予以阻斷，這是防火墻所做不到的，當然也是入侵檢測產(chǎn)品所做不到的?！　‰S著網(wǎng)絡攻擊技術的不斷提高和網(wǎng)絡安全漏洞的不斷發(fā)現(xiàn)，傳統(tǒng)防火墻技術加傳統(tǒng)IDS的技術，已經(jīng)無法應對一些安全威脅?；谥鳈C的入侵防御技術可以根據(jù)自定義的安全策略以及分析學習機制來阻斷對服務器、主機發(fā)起的惡意入侵。 混合型網(wǎng)絡入侵檢測系統(tǒng)IETF（Internet工程任務組）將一個入侵檢測系統(tǒng)分為四個組件：事件產(chǎn)生器（Event generators）；事件分析器（Event analyzers）；響應單元（Response units ）；事件數(shù)據(jù)庫（Event databases ）。（5）及時性(Timeliness)：及時性要求入侵檢測系統(tǒng)必須盡快地分析數(shù)據(jù)并把分析結果傳播出去，以使系統(tǒng)安全管理者能夠在入侵攻擊尚未造成更大危害以前做出反應，阻止攻擊者顛覆審計系統(tǒng)甚至入侵檢測系統(tǒng)的企圖。 ● Untrust（外部，Internet） ● 專用（內部）和公共（外部）網(wǎng)絡之間 防火墻應該能夠集中和過濾撥入訪問，并可以記錄網(wǎng)絡流量和可疑的活動。但是，相比于X86架 構，由于應用開發(fā)、功能擴展受到NP的配套軟件的限制，基于NP技術的防火墻的靈活性要差一些。X86架構采用通用CPU和PCI總線接口，具有很高的靈活性和可擴展性，過去一直是防火墻開發(fā)的主要平臺。 ● 傳統(tǒng)的部署方法僅僅是網(wǎng)絡邊緣，不能防御內部攻擊分組過連接狀態(tài)可以簡化規(guī)則的設置 （3）狀態(tài)檢測防火墻可以檢查應用層、傳輸層和網(wǎng)絡層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比較強 也叫應用代理防火墻。 【判斷依據(jù)】 ● 并發(fā)連接數(shù)：防火墻能夠同時處理的點對點連接的最大數(shù)目 （2）衡量標準：防火墻的時延能夠體現(xiàn)它處理數(shù)據(jù)的速度具體要求見下列文檔（1）國內廠家：華為（USG系列產(chǎn)品，如USG5120，USG5520S，USG6390等）、天融信、網(wǎng)康、啟明星辰等 華為USG6390華為USG6390產(chǎn)品參數(shù)重要參數(shù)網(wǎng)絡端口：8GE+4SFP控制端口：暫無數(shù)據(jù)外形設計：暫無數(shù)據(jù)產(chǎn)品尺寸：442421主要參數(shù)設備類型：下一代防火墻網(wǎng)絡端口：8GE+4SFPVPN支持：支持入侵檢測：Dos,DDoS管理支持命令行、WEB方式、SNMP、TR069等配置和管理方式，這些方式提供對設備的本地配置、遠程維護、集中管理等多種手段，并提供完備的診斷、告警、測試等功能安全標準CE，ROHS，CB，UL，VCCI處理器多核處理器一般參數(shù)電源AC:100240V最大功率：170W 產(chǎn)品尺寸：442421產(chǎn)品重量：10kg適用環(huán)境工作溫度：0℃40℃工作濕度：10%95%其他性能環(huán)境感知、應用安全、入侵防御、Web安全、郵件安全、數(shù)據(jù)安全、安全虛擬化、網(wǎng)絡安全、路由特性、部署及可靠性、智能管理產(chǎn)品特性擴展槽位：2WSIC產(chǎn)品形態(tài)：1UHDD：選配300GB單硬盤，支持熱插拔（2）國外廠家：思科（ASA系列，如ASA5512，ASA5505等）、Juniper等 CISCO ASA5512K9企業(yè)安全政策中的某些特殊需求并不是每種防火墻都能提供的，這常會成為選擇防火墻時需考慮的因素之一，比如：加密控制標準，訪問控制，特殊防御功能等。目前中國許多企業(yè)往往是在信息系統(tǒng)規(guī)劃（或建設）完成之后才考慮信息安全，即所謂的“打安全補丁”。國內外供貨廠家也較多。這些問題留待日后更新解決。信息安全是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎設施）受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，信息服務不中斷，最終實現(xiàn)業(yè)務連續(xù)性。　　物理安全產(chǎn)品是非常特殊的信息安全產(chǎn)品，如干擾器、隔離計算機、隔離卡等，其主要功能是確保信息處理設備的物理安全，提供諸如防電磁輻射、物理隔離等功能。它的安全和穩(wěn)定，直接關系到整個內部網(wǎng)絡的安全。 ● 數(shù)據(jù)包流向：in或out ● 性能差 目前的狀態(tài)檢測技術僅可用于TCP/IP網(wǎng)絡。（2）ASIC架構：相比之下，ASIC防火墻通過專門設計的ASIC芯片邏輯進行硬件加速處理。X86架構靈活性最高，新功能、新模塊擴展容易，但性能肯定滿足不了千兆需要。 正像前面提到的那樣，Internet每時每刻都在發(fā)生著變化，新的易攻擊點隨時可能會產(chǎn)生。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。（5）檢測率：指被監(jiān)控系統(tǒng)受到入侵攻擊時，檢測系統(tǒng)能夠正確報警的概率。下圖為IDS入侵檢測系統(tǒng)報警過程， 網(wǎng)絡端口（光、電口），控制端口基本功能：（1）監(jiān)督并分析用戶和系統(tǒng)的活動（2）檢查系統(tǒng)配置和漏洞（3）檢查關鍵系統(tǒng)和數(shù)據(jù)文件的完整性（4）識別代表已知攻擊的活動模式（5）對反常行為模式的統(tǒng)計分析（6）對操作系統(tǒng)的校驗管理，判斷是否有破壞安全的用戶活動。（3）應用入侵防御(AIP)：IPS產(chǎn)品有一個特例，即應用入侵防御（Application Intrusion Prevention，AIP），它把基于主機的入侵防御擴展成為位于應用服務器之前的網(wǎng)絡設備。下圖為華三SecPATH IPS設備部署方式，（1）IPS在線部署方式部署于網(wǎng)絡的關鍵路徑上，對流經(jīng)的數(shù)據(jù)流進行27層深度分析，實時防御外部和內部攻擊?！　∪肭謾z測系統(tǒng)IDS的核心價值在于通過對全網(wǎng)信息的收集、分析，了解信息系統(tǒng)的安全狀況，進而指導信息系統(tǒng)安全建設目標以及安全策略的確立和調整，而入侵防御系統(tǒng)IPS的核心價值在于對數(shù)據(jù)的深度分析及安全策略的實施—對黑客行為的阻擊；入侵檢測系統(tǒng)需要部署在網(wǎng)絡內部，監(jiān)控范圍可以覆蓋整個子網(wǎng)，包括來自外部的數(shù)據(jù)以及內部終端之間傳輸?shù)臄?shù)據(jù)，入侵防御系統(tǒng)則必須部署在網(wǎng)絡邊界，抵御來自外部的入侵，對內部攻擊行為無能為力。能否供給在線升級，以及在線升級的頻度，是考慮廠家實力和技巧水平的重要指標。但一般來說，UTM設備應該包括如下基本功能，才具備基本的可用性：（1）根基防火墻功能：包括狀態(tài)過濾、訪問控制、NAT轉換等，這些是防火墻的基本功能，也是UTM中必不可缺的功能。（5）負載分擔功能：在雙機熱備的根基之上，通過HA雙主或集群的方式，實現(xiàn)UTM的負載分擔。它默認各個安全區(qū)段間的安全級別是一樣的，相互間的安全需求差異交由用戶定制，為安全策略的定制和部署提供了很大的靈活性，同時也避免了機械的將網(wǎng)絡劃分為Internal，External和DMZ的傳統(tǒng)安全概念，能夠完備靈活的表達不同網(wǎng)絡、網(wǎng)段間的安全需求。VPN的隧道協(xié)議主要有三種，PPTP、L2TP和IPSec，其中PPTP和L2TP協(xié)議工作在OSI模型的第二層，又稱為二層隧道協(xié)議；IPSec是第三層隧道協(xié)議。否則，對于一個有數(shù)千甚至上萬的SOHO人員和移動辦公人員的企業(yè)來說，單獨地創(chuàng)建和管理用戶的權限是不可想像的。用戶活動包括用戶在操作系統(tǒng)和應用程序中的活動，如用戶所使用的資源、使用