3-3-网络隔离系统-new课件

网络隔离系统4/23/20241隔离技术隔离技术隔离技术隔离技术隔离的概念隔离的概念隔离技术的发展隔离技术的发展隔离网闸原理隔离网闸原理产品介绍产品介绍产品介绍产品介绍隔离网闸与防火墙区别比较隔离网闸与防火墙区别比较隔离网闸产品分类隔离网闸产品分类FerryWayFerryWay三机系统模型三机系统模型三机与二机区别比较三机与二机区别比较FerryWayFerryWay的技术特点的技术特点FerryWayFerryWayFerryWayFerryWay管理配置管理配置管理配置管理配置管理端软件管理端软件审计端软件审计端软件内内容容目目录录4/23/20242隔离的概念隔离的概念 网络隔离网络隔离 Network Isolation Network Isolation 协议隔离协议隔离 Protocol Isolation Protocol Isolation Mark Joseph Edwards Mark Joseph Edwards：协议隔离和防火墙不属于同类产品：协议隔离和防火墙不属于同类产品 “Understanding Network SecurityUnderstanding Network Security”4/23/20243隔离技术的发展隔离技术的发展4/23/20244IP包，3层IP包，3层TCP4层TCP4层5至7层5至7层数据摆渡OSI第七层外隔离网闸隔离网闸 私有协议摆渡隔离网闸原理隔离网闸原理内部网络内部网络外部网络外部网络物理、数据链路 1至2层物理、数据链路 1至2层4/23/20245隔离技术隔离技术隔离技术隔离技术隔离的概念隔离的概念隔离技术的发展隔离技术的发展隔离网闸原理隔离网闸原理产品介绍产品介绍产品介绍产品介绍隔离网闸与防火墙区别比较隔离网闸与防火墙区别比较隔离网闸产品分类隔离网闸产品分类FerryWayFerryWay三机系统模型三机系统模型三机与二机区别比较三机与二机区别比较FerryWayFerryWay的技术特点的技术特点FerryWayFerryWayFerryWayFerryWay管理配置管理配置管理配置管理配置管理端软件管理端软件审计端软件审计端软件内内容容目目录录4/23/20246http:/10.74.16.88/scripts/.%c0%af./winnt/system32/cmd.exe?/c+dir+c:InternetInternal UsersPort 80Web servicesWeb enabled appsIM trafficRich mediaInternet access43%43%55%43%98%80 HTTP “75的成功针对服务器的攻击是通过应用层完成的，而不是网络层来完成的。网络攻击分析网络攻击分析4/23/20247隔离技术需具备的安全要点隔离技术需具备的安全要点 要具有高度的自身安全性 要确保网络之间是隔离的 要保证网间交换的只是应用数据 要对网间的访问进行严格的控制和检查 要在坚持隔离的前提下保证网络畅通和应用透明4/23/20248与防火墙的主要区别与防火墙的主要区别隔离网闸隔离网闸防火墙防火墙政策归类政策归类安全隔离与信息交换安全隔离与信息交换防火墙防火墙功能定位功能定位安全第一，通信第二安全第一，通信第二通信第一，安全第二通信第一，安全第二硬件体系硬件体系多机系统多机系统单机系统单机系统通信协议通信协议专用私有协议专用私有协议公用协议公用协议安全级别安全级别内外皆防内外皆防防外防外4/23/20249网闸的分类网闸的分类市场上网闸主要分为两类：u 传统“2+1”结构为基础的网闸u 三机架构的网闸控制台控制台存储存储介质介质外部外部网络网络内部内部网络网络4/23/202410基于三机系统的安全隔离与信息交换模型基于三机系统的安全隔离与信息交换模型FerryWay系统模型系统模型4/23/202411FerryWay三机系统原理三机系统原理HelloHello？处理处理连接连接POSTPOST处理处理请求请求 NO NOSorrySorry4/23/202412FerryWay三机系统原理三机系统原理HelloHello？处理处理连接连接POSTPOST处理处理请求请求 Yes YesYesYes，You canYou canCommandCommandRequestRequest：HelloHello？YesYes，I Im here.m here.Ready Ready4/23/202413三机与二机区别三机与二机区别FerryWay“2+1”主机形态主机形态三机三系统三机三系统二主机二主机+摆渡机制摆渡机制防范级别防范级别内外网相同对待内外网相同对待外网危险，内网安全外网危险，内网安全自身安全性自身安全性仲裁系统硬件网络不可达仲裁系统硬件网络不可达仲裁系统硬件网络可达仲裁系统硬件网络可达处理能力处理能力内外端拆封，仲裁端检测内外端拆封，仲裁端检测内外端既拆封又检测内外端既拆封又检测4/23/202414u 攻击者即使同时获得内外网机的权限，也无法构建不受控数据通道u 内/外端机是内/外网网络协议的终点，网络协议不可延伸u 信息落地，仲裁机对剥离的应用层信息进行安全检查，控制网间传播内容，保护重要资源u 仲裁系统网络协议不可达，自身安全性大大提高三机模型的特点和优势三机模型的特点和优势4/23/202415隔离技术隔离技术隔离技术隔离技术隔离的概念隔离的概念隔离技术的发展隔离技术的发展隔离网闸原理隔离网闸原理产品介绍产品介绍产品介绍产品介绍隔离网闸与防火墙区别比较隔离网闸与防火墙区别比较隔离网闸产品分类隔离网闸产品分类FerryWayFerryWay三机系统模型三机系统模型三机与二机区别比较三机与二机区别比较FerryWayFerryWay的技术特点的技术特点FerryWayFerryWayFerryWayFerryWay管理配置管理配置管理配置管理配置管理端软件管理端软件审计端软件审计端软件内内容容目目录录4/23/2024161.管理配置界面提供给系统配置管理员对FerryWay系统进行配置的用户界面。主要功能包括：登录系统设置(设置内外端机IP地址、系统关闭/重启)用户信息应用通道安全策略(HTTP/SMTP/POP3)2.审计查看界面提供给审计管理员查看和管理FerryWay系统审计信息的用户界面。主要功能包括：登录查看HTTP/SMTP/POP3/系统的审计信息查询指定条件的审计信息导出指定条件的审计信息4/23/2024174/23/2024184/23/2024191.设置内端机 IP 地址 选择“系统”菜单下的“设置”，显示系统设置列表。选择“设置内端机IP地址”，显示设置界面。2.设置外端机 IP 地址选择“系统”菜单下的“设置”，显示系统设置列表。选择“设置外端机IP地址”，显示设置界面。一般要设置默认网关、域名服务器。3.系统关闭或重启选择“系统”菜单下的“关闭/重启”，显示系统关闭/重启界面。关闭或重启整个三机系统。4/23/202420使用使用“高级高级”，可以设置多个，可以设置多个IPIP地址。地址。4/23/202421使用使用“高级高级”，可以设置多个，可以设置多个IPIP地址。地址。4/23/2024224/23/202423选择“用户”菜单下的“所有用户”，显示当前系统中的所有用户列表。包括系统配置管理员和普通用户，但是，无法看到审计管理员。主要功能：1.添加新用户在用户列表的右键菜单中选择“添加”，显示添加新用户界面。2.删除用户选定某一用户，在右键菜单中选择“删除”，确认后，删除选定用户。无法删除系统配置管理员帐号。3.修改用户密码（或修改系统配置管理员的登录密码）选定某一用户，在右键菜单中选择“修改密码”，显示密码修改界面。如果选择了系统配置管理员，则显示修改管理员登录密码界面。4/23/202424注：用户密码必须是英文字母和数字的组合。注：用户密码必须是英文字母和数字的组合。4/23/2024254/23/2024264/23/202427选择“应用通道”菜单，显示当前系统中的所有应用通道列表。主要功能：1.添加新应用通道在列表的右键菜单中选择“添加”，显示添加新应用通道界面。应用通道添加后，必须手动启用，并设置“启用类型”为“自动”。2.删除应用通道选定某一应用通道，在右键菜单中选择“删除”，确认后，删除选定应用通道。3.修改应用通道设置选定某一处于“停用”状态的应用通道，在右键菜单中选择“设置”，修改选定应用通道的设置信息。设置界面和添加界面相同。4/23/2024284/23/2024291.应用通道源选择应用通道的方向2.工作模式代理模式：解析客户端请求数据中的主机地址，连接。转发模式：直接将客户端发送的数据转发到指定主机。3.应用类型包括：HTTP、SMTP、POP3、FTP、TELNET、NULL_TCP（自定义通道）4.源机IP地址5.源机端口6.目的机IP地址代理模式无须设置目的机IP地址和端口7.目的机端口8.允许最大连接数9.证书认证4/23/2024304/23/2024314/23/2024324/23/2024331.HTTP应用允许访问主机策略、访问内容审计策略、其他策略(禁止访问文件类型、禁止脚本、禁止查询字串、禁止POST、禁止COOKIE)2.SMTP应用允许主机地址策略、邮件内容审计策略、禁止发件地址策略、禁止收件地址策略、禁止邮件主题策略、其他策略(禁止附件文件类型、禁止脚本、发送邮件大小、病毒扫描)3.POP3应用允许主机地址策略、邮件内容审计策略、禁止发件地址策略、禁止收件地址策略、禁止邮件主题策略、其他策略(禁止附件文件类型、禁止脚本、接收邮件大小、病毒扫描)4/23/202434设置客户端可以访问的主机地址，并选择使用的应用通道。主机地址支持通配符，如：*，可以访问以结尾的主机；*，则可以访问所有主机。4/23/202435设置访问内容过滤的关键字。4/23/2024361.禁止访问文件类型输入文件扩展名，以“|”间隔，区分大小写。如：rar|zip|rm2.禁止脚本选择某一一应用通道的禁止脚本策略，选择“设置策略内容”，在设置界面中，选择“是”或“否”。3.禁止查询字串选择某一一应用通道的禁止查询字串策略，选择“设置策略内容”，在设置界面中，选择“是”或“否”。4.禁止POST选择某一一应用通道的禁止POST策略，选择“设置策略内容”，在设置界面中，选择“是”或“否”。5.禁止COOKIE选择某一一应用通道的禁止COOKIE策略，选择“设置策略内容”，在设置界面中，选择“是”或“否”。4/23/202437选择菜单“安全策略”-“SMTP应用”-“允许主机地址策略”，显示策略内容列表。4/23/202438“允许主机地址”为允许使用的SMTP主机。添加界面如下：4/23/202439修改策略内容界面如下：4/23/202440除了添加、修改策略等功能以外，还提供：删除策略在策略列表中选定某一策略，在右键菜单中选择“删除”或直接按“DEL”键，确认后，就可以删除选定的策略了。策略生效设置添加的策略，设置为“无效”，则可以暂时不起作用。当需要时，可以再次设置为“有效”，策略生效。刷新策略内容列表 4/23/202441选择菜单“安全策略”-“SMTP应用”-“邮件内容审计策略”，显示策略内容列表。4/23/202442即对邮件内容进行过滤的策略。主要是设置过滤关键字。添加界面如下：4/23/202443修改策略内容的界面如下：4/23/202444除了添加、修改策略等功能以外，还提供：删除策略在策略列表中选定某一策略，在右键菜单中选择“删除”或直接按“DEL”键，确认后，就可以删除选定的策略了。策略生效设置添加的策略，设置为“无效”，则可以暂时不起作用。当需要时，可以再次设置为“有效”，策略生效。刷新策略内容列表 4/23/202445选择菜单“安全策略”-“SMTP应用”-“禁止发件地址策略”，显示策略内容列表。4/23/202446在策略列表的右键菜单中选择“添加”：4/23/202447在策略列表中，选定某一策略，在右键菜单中选择“修改”：4/23/202448除了添加、修改策略等功能以外，还提供：删除策略在策略列表中选定某一策略，在右键菜单中选择“删除”或直接按“DEL”键，确认后，就可以删除选定的策略了。策略生效设置添加的策略，设置为“无效”，则可以暂时不起作用。当需要时，可以再次设置为“有效”，策略生效。刷新策略内容列表 4/23/202449选择菜单“安全策略”-“SMTP应用”-“禁止收件地址策略”，显示策略内容列表。4/23/202450在策略列表的右键菜单中选择“添加”：4/23/202451在策略列表中，选定某一策略，在右键菜单中选择“修改”：4/23/202452除了添加、修改策略等功能以外，还提供：删除策略在策略列表中选定某一策略，在右键菜单中选择“删除”或直接按“DEL”键，确认后，就可以删除选定的策略了。策略生效设置添加的策略，设置为“无效”，则可以暂时不起作用。当需要时，可以再次设置为“有效”，策略生效。刷新策略内容列表 4/23/202453选择菜单“安全策略”-“SMTP应用”-“禁止邮件主题策略”，显示策略内容列表。4/23/202454在策略列表的右键菜单中选择“添加”：4/23/202455在策略列表中，选定某一策略，在右键菜单中选择“修改”：4/23/202456除了添加、修改策略等功能以外，还提供：删除策略在策略列表中选定某一策略，在右键菜单中选择“删除”或直接按“DEL”键，确认后，就可以删除选定的策略了。策略生效设置添加的策略，设置为“无效”，则可以暂时不起作用。当需要时，可以再次设置为“有效”，策略生效。刷新策略内容列表 4/23/202457包括：禁止附件文件类型策略、禁止脚本策略、发送邮件大小策略。1.禁止附件文件类型输入文件扩展名，以“|”间隔，区分大小写。如：rar|zip|rm2.禁止脚本选择某一应用通道的禁止脚本策略，选择“设置策略内容”，在设置界面中，选择“是”或“否”。3.发送邮件大小选择某一一应用通道的发送邮件大小策略，选择“设置策略内容”，在设置界面中，输入允许发送的邮件大小，单位字节。4.病毒扫描策略选择某一一应用通道的病毒扫描策略，选择“设置策略内容”，在设置界面中，选择病毒扫描引擎。其他策略类型的策略在应用通道添加时自动建立并初始化。可以设置策略的有效性，但无法删除。4/23/202458选择菜单“安全策略”-“POP3应用”-“允许主机地址策略”，显示策略内容列表。4/23/202459“允许主机地址”为允许使用的POP3主机。添加界面如下：4/23/202460修改策略内容界面如下：4/23/202461除了添加、修改策略等功能以外，还提供：删除策略在策略列表中选定某一策略，在右键菜单中选择“删除”或直接按“DEL”键，确认后，就可以删除选定的策略了。策略生效设置添加的策略，设置为“无效”，则可以暂时不起作用。当需要时，可以再次设置为“有效”，策略生效。刷新策略内容列表 4/23/202462选择菜单“安全策略”-“POP3应用”-“邮件内容审计策略”，显示策略内容列表。4/23/202463即对邮件内容进行过滤的策略。主要是设置过滤关键字。添加界面如下：4/23/202464修改策略内容的界面如下：4/23/202465除了添加、修改策略等功能以外，还提供：删除策略在策略列表中选定某一策略，在右键菜单中选择“删除”或直接按“DEL”键，确认后，就可以删除选定的策略了。策略生效设置添加的策略，设置为“无效”，则可以暂时不起作用。当需要时，可以再次设置为“有效”，策略生效。刷新策略内容列表 4/23/202466选择菜单“安全策略”-“POP3应用”-“禁止发件地址策略”，显示策略内容列表。4/23/202467在策略列表的右键菜单中选择“添加”：4/23/202468在策略列表中，选定某一策略，在右键菜单中选择“修改”：4/23/202469除了添加、修改策略等功能以外，还提供：删除策略在策略列表中选定某一策略，在右键菜单中选择“删除”或直接按“DEL”键，确认后，就可以删除选定的策略了。策略生效设置添加的策略，设置为“无效”，则可以暂时不起作用。当需要时，可以再次设置为“有效”，策略生效。刷新策略内容列表 4/23/202470选择菜单“安全策略”-“POP3应用”-“禁止收件地址策略”，显示策略内容列表。4/23/202471在策略列表的右键菜单中选择“添加”：4/23/202472在策略列表中，选定某一策略，在右键菜单中选择“修改”：4/23/202473除了添加、修改策略等功能以外，还提供：删除策略在策略列表中选定某一策略，在右键菜单中选择“删除”或直接按“DEL”键，确认后，就可以删除选定的策略了。策略生效设置添加的策略，设置为“无效”，则可以暂时不起作用。当需要时，可以再次设置为“有效”，策略生效。刷新策略内容列表 4/23/202474选择菜单“安全策略”-“POP3应用”-“禁止邮件主题策略”，显示策略内容列表。4/23/202475在策略列表的右键菜单中选择“添加”：4/23/202476在策略列表中，选定某一策略，在右键菜单中选择“修改”：4/23/202477POP3应用安全策略-禁止邮件主题策略(4)除了添加、修改策略等功能以外，还提供：删除策略在策略列表中选定某一策略，在右键菜单中选择“删除”或直接按“DEL”键，确认后，就可以删除选定的策略了。策略生效设置添加的策略，设置为“无效”，则可以暂时不起作用。当需要时，可以再次设置为“有效”，策略生效。刷新策略内容列表 4/23/202478包括：禁止附件文件类型策略、禁止脚本策略、发送邮件大小策略。1.禁止附件文件类型输入文件扩展名，以“|”间隔，区分大小写。如：rar|zip|rm2.禁止脚本选择某一应用通道的禁止脚本策略，选择“设置策略内容”，在设置界面中，选择“是”或“否”。3.接收邮件大小选择某一一应用通道的接收邮件大小策略，选择“设置策略内容”，在设置界面中，输入允许接收的邮件大小，单位字节。4.病毒扫描策略选择某一一应用通道的病毒扫描策略，选择“设置策略内容”，在设置界面中，选择病毒扫描引擎。其他策略类型的策略在应用通道添加时自动建立并初始化。可以设置策略的有效性，但无法删除。4/23/2024794/23/2024804/23/2024814/23/2024824/23/2024834/23/2024844/23/202485在审计信息查询界面中选择相应的查询条件，查询指定的审计信息。4/23/202486在审计信息导出界面中选择相应的条件，设定导出后的审计信息文件，确认导出后输入系统配置管理员密码，在密码确认正确后，导出指定的审计信息。4/23/202487