安全网关是各种技术有趣的融合,具有重要且独特的保护作用,其範围从协定级过滤到十分複杂的套用级过滤。设定的目的是防止Internet或外网不安全因素蔓延到自己企业或组织的内部网。安全网关在套用层和网路层上面都有防火墙的身影,在第三层上面还能看到VPN作用。
基本介绍
- 中文名:安全网关
- 套用网路:开放性的通行系统互连参考模型
- 位置:套用网路的七层协定
- 特点:套用层和网路层有防火墙的身影
简介
安全网关支持两种网路接入模式:一种是网桥模式,一种是网关模式。
如果安全网关採用网桥模式,通常情况下应该部署在企业接入设备(防火墙或者路由器)的后面。安全网关的两个网口(区域网路口和外网口)连线的是同一网段的两个部分,用户只需给安全网关配置一个本网段的IP位址,不需要改变网路拓扑以及其它配置,透明接入网路。
网关模式下有ADSL拨号、静态路由、DHCP client端三种外网接入类型。如果安全网关採用网关模式,通常情况下应该部署在企业网路出口处,做为宽频网路接入设备,保护整个内部网路。
对于企业连线不同地域网路的需求,安全网关提供了VPN功能,企业可以通过Internet连线不同地域的网路。安全网关提供IPSec VPN等接入方法。安全网关的VPN功能适用于网关接入模式下。
结构组成
由一个路由器和一个处理机构成的安全网关,两个部件结合在一起后,它们可以提供协定、链路和套用级保护。 这种专用的网关不象其它种类的网关一样,需要提供转换功能。作为网路边缘的网关,它们的责任是控制出入的数据流。安全网关联接的区域网路与外网都使用IP协定,因此不需要做协定转换,过滤是最重要的。保护区域网路不被非授权的外部网路访问的原因是显然的。控制向外访问的原因就不那幺明显了。在某些情况下,是需要过滤发向外部的数据的。例如,用户基于浏览的增值业务可能产生大量的WAN流量,如果不加控制,很容易影响网路运载其它套用的能力,因此有必要全部或部分地阻塞此类数据。
联网的主要协定IP是个开放的协定,它被设计用于实现网段间的通信。这既是其主要的力量所在,同时也是其最大的弱点。为两个IP网提供互连在本质上创建了一个大的IP网,保卫网路边缘的卫士——防火墙的任务就是在合法的数据和欺骗性数据之间进行分辨。
实现策略
首要任务是建立全面的规则,在深入理解安全和开销的基础上定义可接受的折衷方案,这些规则建立了安全策略。安全策略可以是宽鬆的、严格的或介于二者之间。
在一个极端情况下,安全策略的基始承诺是允许所有数据通过,例外很少,很易管理,这些例外明确地加到安全体制中。这种策略很容易实现,不需要预见性考虑,保证即使业余人员也能做到最小的保护。
另一个极端则极其严格,这种策略要求所有要通过的数据明确指出被允许,这需要仔细、着意的设计,其维护的代价很大,但是对网路安全有无形的价值。从安全策略的角度看,这是唯一可接受的方案。
在这两种极端之间存在许多方案,它们在易于实现、使用和维护代价之间做出了折衷,正确的权衡需要对危险和代价做出仔细的评估。安全网关是各种技术有趣的融合,具有重要且独特的保护作用,其範围从协定级过滤到十分複杂的套用级过滤。
特点及优势
与传统的网路防病毒软体相比,安全网关在病毒过滤方面具有以下优势:
1、将病毒拦截在企业网路之外,不让病毒进入内部网路。
2、专用的硬体设备,不会占用伺服器或桌面PC机的资源。
3、管理简便,只需要对安全网关设备进行管理就行。
4、升级方便,能够及时地、自动地更新最新的病毒特徵库,每天数次病毒特徵库升级减少对企业网路频宽造成影响。
套用协定
OSI是一个开放性的通行系统互连参考模型,有7层结构,每层都可以有几个子层。OSI的7层从上到下分别是:
7 套用层
6 表示层
5 会话层
4 传输层
3 网路层
2 数据链路层
1 物理层
其中高层,即7、6、5、4层定义了应用程式的功能,下面3层,即3、2、1层主要面向通过网路的端到端的数据流。
安全网关在套用层和网路层上面都有防火墙的身影,在第三层上面还能看到VPN作用。防毒墙这种安全网关作用在第二层。根据七层的级别限制,高等级协定能够掌管低等级协定的原则,安全网关的发展正在走向高等级协定的路线。
网关与路由器的区别:
网关是访问路由器的IP,其他的电脑必须和网关一个IP段才能访问路由器,比如说路由器的IP是192.168.0.1(这个就是网关)也是进路由器必须的地址,其他的主机也必须是192.168.0.X(2—254之间任意一个数字)这样才能访问路由器也就是说这样才能上网,电脑上的网关地址就要填写192.168.0.1
功能特点
智慧型接入,完美可靠
产品支持ADSL、光纤等多种方式宽频接入方案,实现了灵活扩展频宽和廉价接入。通过路由、NAT、多链路复用及检测等功能为企业解决灵活扩展频宽和廉价接入的接入方案。
健康网路,套用安全
产品通过自身具有的防火墙、防病毒、入侵检测、用户接入主动认证等功能,为企业提供全方位的区域网路接入安全管理方案。通过自身具有的DHCP伺服器、ARP防火墙、DDNS等功能为企业提供全方位的区域网路管理方案。
移动办公,快速安全
产品中带有的SSLVPN、IPSEC、PPTP、L2TP等VPN功能,能够让用户通过一键式操作,方便快捷的建立价格低廉的广域网上专用网路,为企业提供广域网安全业务传输通道,便利的实现了企业总部与移动工作人员、分公司、合作伙伴、产品供应商、客户间的连线,提高与分公司、客户、供应商和合作伙伴开展业务的能力。
抑制频宽滥用,保障关键业务
动态智慧型频宽管理功能,只需一次性设定,自动压抑占用频宽用户,轻鬆解决BT、P2P及视频影片下载等占用频宽问题。
常见套用环境
集中存储安全体系包含如下的安全产品部件:集中存储安全控制网关、安全管理终端。
网路安全集中存储系统拓扑环境图安全管理终端:对于安全控制网关进行配置管理,实现包括访问IP位址、存储资源、用户黑白名单、用户资源访问控制列表的设定。
集中存储安全控制网关:对外提供可选的安全访问控制、用户身份认证、安全审计能力和透明的存储加解密能力。