当前位置:首页 > 在线服务 > 网络世界 > 安全产品

网络安全产品,你认识几个?

一、杀毒软件网络版  
    我想每个进来的朋友都会知道杀毒软件,差不多人机一套单机版了吧?,也曾听说过企业版,不要怀疑,网络版和企业版其实是一个概念,只是大家的叫法不同而已。我想有不少朋友从网上下载过诺顿的企业版,我也用过。感觉和单机版没啥区别。  
    事实上,网络版与单机版对个人用户而言,确实是没有明显的区别。之中区别是让网络管理员来体会的。网络版可以通过服务器端(控制中心)对客户端(就是你办公桌上的电脑)进行统一的安装、升级、杀毒、管理等等,这大大减轻了管理员的工作,也提高了整体网络的安全性能。我们都能理解,并非每个用户都会及时的升级自己电脑里的杀毒软件,比如说专业知识不多的打字员,他(她)可能对word非常熟练,但对杀毒软件如何升级,有没有必要升级,或许是个很模糊的概念。我们也知道,一个网络受到病毒的威胁,并不一定来自外部公共网络(比如下载了不安全文件、登陆了不良网站),有时一个U盘,也许会将整个网络搞夸。所以,要实现网络的整体安全必须先实现每个客户端的安全。而让网络管理员对每台电脑的杀毒软件进行升级和查杀病毒,那么管理员的工作时间将会在升级中度过。一个好的杀毒软件网络版和一个尽职的网络管理员,将会为网络安全作出很大的贡献。  
    当然,一套单机版杀毒软件也就几百块人民币,而一个网络版杀毒软件,少则上千,多则数十万。安全方便,是要付出代价的。  

二、防火墙  
    我很少装防火墙,除非是杀毒软件自身会带防火墙,比如瑞星、江民、卡巴斯基,单独让我去找个专业的防火墙有些难度。但我这里说的不是软件防火墙,而是硬件防火墙。对于个人用户而言,有个软件防火墙已经差不多了,受到攻击的时候大不了断开网络。但对于一个企业或者组织,在当今对网络非常依赖的情况下,要断开网络无异于与社会隔离。那么硬件防火墙对软件防火墙而言,有什么好处或者优点呢?  
    好处还是很明显的。首先硬件防火墙不像软件防火墙安装在我们的操作系统上,现在应用最为广泛的是windows系统,而windows系统也是漏洞百出,很不稳定,一旦黑客或者攻击方式利用了系统的漏洞,那么软件防火墙基本上就成了聋子的耳朵了。而硬件防火墙一般都有自己独特的操作系统,或者没有操作系统,这就大大增强了防火墙的安全性和稳定性。硬件防火墙一般是放置在内网和外网的接口处,如果你们公司或单位很有人民币或者美元或者欧元等等,基本上可以在每台电脑前接个硬件防火墙。一旦网络受到外网的攻击,首当其冲的是硬件防火墙,除非防火墙被攻破,否则内网的运行基本是没什么影响的。  
    但硬件防火墙也有高低不等的产品,该如何选择呢?单从产品上来说,你首先要考虑网络出口的带宽,比如说你的网络出口带宽是千兆的,那么百兆的防火墙就有些力不从心了,如果你们网络的出口才10M,而你却选择千兆产品,那么我只能很羡慕你们,真有钱。其次考虑的是并发连接数。什么是并发连接数?嘿嘿,一般人我还不告诉他。举个最简单的例子,你打开了一个ie窗口在看我的帖子,那么这就算是一个连接数了。事实上,每个电脑不可能就开一个网页(除非你不上网看美女帅哥),稍微有点专业知识的朋友都知道,windows系统本身就有不少自动连接网络的程序,所以我们不能简单的数数开了几个网页,登陆了几个QQ,一般来讲,每台电脑至少要算上40个连接数,整个网络才清静。那么算并发连接数也就不难了,并发连接数=40×网络内电脑的数量。最后,要考虑防火墙的端口了,一个端口是接外网,一个端口接内网。如果你的网络需要跟某某局或者某某中心连接,那么显然2个端口是无法满足需要的,那你就往上加吧。一般来讲,防火墙至少有3个端口,如果你所在的网络很有发展前景或者有扩充的必要,还是建议多留一个端口以备后用。当然,加端口也就意味着加人民币。  

三、VPN  
    这个名次是英文的缩写,是什么E文,我老人家学的很差,只认识26个字母。翻译成中文名字就是:虚拟私有网络。  
随着组织机构的不断发展,一个组织在同一个办公楼工作已经越来越不现实,各个办事处及分支机构不断成立。这个时候,如果你的总部在联合国大楼,你在广州中信上班,再想用一条网线将电脑直接连接到公司或者总部的网络,估计我这辈子赚的钱还不够你买网线的。但因为工作或者业务的需要,又不得不进入公司的局域网,那么VPN将会帮你节省很多很多花花绿绿的票子。简单来说,VPN就是通过公网(比如internet)对数据进行加密和解密,在总部和分支机构之间建立一个虚拟的局域网。有了VPN,无论你是在哪里,只要可以上网,那么你就可以访问总部好友的电脑,查看他共享文件夹中刚刚下载下来的彩色笑话了。  

四、IDS  
    我倒,又是E文,看来要真正融入IT行业,不懂英文不行啊。这个玩意也叫入侵检测系统。  
    IDS
和防火墙还是有本质的区别的,打个最简单的比喻,防火墙是门卫,符合条件的人就可以进入公司的大门,而IDS更像是摄像头,看看你是在工作还是在上网灌水。与防火墙不同的是,防火墙是串联在网络中,而IDS是旁路并联在网络中,所以IDS对网络传输性能是没有什么影响的,没有哪位见过摄像头挡道吧?对IDS所处网络中的位置比较严格,既要让它能检测到关键网络部分,所以要靠近被保护的区域,又要能尽量靠近入侵的源头,以便及时发现入侵。因为IDS只是旁路监听,所以对网络中发现的违规行为除了记录下来打小报告之外,是不会直接干预你上网灌水的。所以也就有了防火墙+IDS”联动的说法,IDS发现了违规行为就向防火墙报告,让防火墙来处理。事实上也不是这么简单,因为小哥我的知识有限,只能说到这里了。  

五、IPS  
    说到IDS,就不得不说到IPS。这玩意可以认为是IDS的更新换代,当然,不仅仅是更新换代。IPS叫入侵防御系统,它不仅仅是检测,还要对入侵行为防御。那么它就不像IDS只是旁路挂在网络上了,要串联在网络中。那么是不是IPS就可以代替防火墙+IDS”了呢?刚巧,昨天看了一些资料。就目前而言,IPS防火墙+IDS”组合还是各有其生存的空间,IPS是检测网络4-7层数据流的(对于是哪七层,小哥我实在是不懂,各位可以自己查资料),而防火墙是检测3-4层的,对于大型的网络,比如电信级的,要检测到7层精度,是不现实的。而IPS目前的价格和升级服务费用,也并非一个小公司所能承受。  

六、网闸  
    也叫安全隔离与信息交换系统。这玩意一般人还真不了解,小哥我刚好做这行,算是近水楼台了。网闸与上面几个安全产品根本不同的是:它要将两个不同的网络进行隔离,也就是不连接。是不是比较郁闷?既然是网络,却不能与外网连接。这也正是网闸的应用之处。  
    网闸的原理是:一个外网模块(类似于防火墙)接公网或外网,一个内网模块接业务专网,一个数据摆渡模块处理连接数据。这里有个名次叫摆渡,就像是你到野外游玩的时候遇到大河,有个渡船那样。当外网或内网的数据通过模块处理后,认为是安全的,才会摆渡你到对岸,如果你长的像某个***通缉犯而且船工一眼就认出来,你就过不了河,别说你会游泳,这河有100万公里宽呢。  
    网站应用最多的是政府,比如税务、工商、公安,这些部门既有自己专门的内网,又要接受外网的公务处理,而有很多资料是不能随意开放的,所以必须经过外网的受理平台经过网站的摆渡,进入到内网处理平台。  
    如果你们公司也有这样的需求,建议还是上网闸吧。  
    唠叨一句,防火墙的工作原则是:先连接,后安全。而网闸恰好相反:先安全,然后考虑怎么连接。  

七、UTM  
    相比较而言,这是一个比较新的东西。它的中文名字叫统一威胁管理。是将防火墙、VPN、防病毒、防垃圾邮件、web网址过滤、IPS六大功能集成在一起的。随着网络的发展,安全需要越来越迫切。而每增加一个安全设备,都会对网络的性能产生影响。更要命的是,让这些不同厂家不同品牌的安全产品能够良好合作,似乎是水中捞月。林子大了什么鸟都有,安全产品多了,什么奇形怪状的现象也出现了。如何让这些众多不同类型的安全产品分工明确而又协调一致的工作,是个很大的问题。而UTM的出现,让用户两眼放光。虽然说这六种不同类型的安全产品一起工作是不需要联动是个假话,但说它们是无缝连接也不为过分。目前UTM最根本的基础还是在防火墙,但它的检测深度可以达到7层。功能多了,也未必每个功能都能很专业,就拿IDS来说,UTMIPS防火墙+IDS”还是有些弱,但我们也不能揪住这个问题不放,想想看,一台专业的IDS价格就可能超过了UTM,那么你还苛求什么呢?