|
方通防火墙黑区 保障网络安全(1)
网络安全体系应该是建立在相关安全产品能够相互通信并协同工作的基础上,即实现防火墙、网络入侵检测系统(NIDS)、防毒墙(网关防病毒系统)等的互通与联动,以实现最大程度和最快效果的安全保证。例如,在一个安全体系中,NIDS检测到某种攻击后,将自动通知防火墙立刻做出相关策略的动态修改(如切断该连接等),防病毒系统对传输的电子邮件等进行检查,也会自动通知防火墙立刻做出相关策略的动态修改。
一般情况下,防火墙和NIDS系统之间的联动是通过在交换机上设置专门监听端口,然后把NIDS系统挂接到该监听端口来实现的,但是交换机端口镜像也带来很多的问题:
某些交换机不支持镜像端口功能。
某些交换机在同一时刻,只能镜像一个端口。
当配置为一个交换机端口监听多个其它端口,在受到攻击的时候,网络流量可能加大,从而使被监听的端口流量总和超过监听端口的上限,引起交换机丢包。
增加监听端口即意味做需要占用有限的交换机端口资源。
针对这种情况,方通防火墙推出了国内首创的全新安全区域——黑区(BlackZone)。黑区是专用于连接NIDS、防毒墙等其它防护措施的安全区域。黑区可以监听外网、内网和DMZ区之间的所有信息包,交由NIDS和防毒墙对信息包进行检测,当NIDS检查到入侵行为或防毒墙发现病毒传播时,将通过黑区提供的联动接口通知方通防火墙对入侵者进行阻断,防止入侵或病毒的传播。并在方通防火墙上产生相应的动态规则,保护网络不受到黑客、病毒的攻击和被滥用。工作原理如图1所示:
图1:黑区工作原理
从上图可以看出,在内网、外网、DMZ三个网络之间的传输的数据都被复制到黑区,可以在黑区直接挂接入侵检测设备,从而达到对流经整个网络中的数据进行检测的目的。也避免了由于使用交换机端口镜像带来的诸多问题。
同时方通防火墙的黑区端口可以起到提高网络安全系统安全等级、简化网络安全系统配置和节省投资的作用。如图2所示,如不使用黑区端口,为了全面保护网络系统,用户需要三个入侵检测系统,即在内网(PRIVATE)、外网(PUBLIC)、DMZ三个部分安装入侵检测系统,确保系统的安全。
图2: 普通结构IDS部署示意图
但如使用方通防火墙的黑区端口,安装一个入侵检测系统可以监控内网、外网(PUBLIC)、DMZ三个部分,同时入侵检测能够根据发生的网络安全事件,通过黑区与防火墙联动,共同防御网络攻击。如图3所示:
| 
