网络安全产品,你认识几个?
一、杀毒软件网络版
我想每个进来的朋友都会知道杀毒软件,差不多人机一套单机版了吧?,也曾听说过企业版,不要怀疑,网络版和企业版其实是一个概念,只是大家的叫法不同而已。我想有不少朋友从网上下载过诺顿的企业版,我也用过。感觉和单机版没啥区别。
事实上,网络版与单机版对个人用户而言,确实是没有明显的区别。之中区别是让网络管理员来体会的。网络版可以通过服务器端(控制中心)对客户端(就是你办工桌上的电脑)进行统一的安装、升级、杀毒、管理等等,这大大减轻了管理员的工作,也提高了整体网络的安全性能。我们都能理解,并非每个用户都会及时的升级自己电脑里的杀毒软件,比如说专业知识不多的打字员,他(她)可能对word非常熟练,但对杀毒软件如何升级,有没有必要升级,或许是个很模糊的概念。我们也知道,一个网络受到病毒的威胁,并不一定来自外部公共网络(比如下载了不安全文件、登陆了不良网站),有时一个U盘,也许会将整个网络搞夸。所以,要实现网络的整体安全必须先实现每个客户端的安全。而让网络管理员对每台电脑的杀毒软件进行升级和查杀病毒,那么管理员的工作时间将会在升级中度过。一个好的杀毒软件网络版和一个尽职的网络管理员,将会为网络安全作出很大的贡献。
当然,一套单机版杀毒软件也就几百块人民币,而一个网络版杀毒软件,少则上千,多则数十万。安全方便,是要付出代价的。
二、防火墙
我很少装防火墙,除非是杀毒软件自身会带防火墙,比如瑞星、江民、卡巴斯基,单独让我去找个专业的防火墙有些难度。但我这里说的不是软件防火墙,而是硬件防火墙。对于个人用户而言,有个软件防火墙已经差不多了,受到攻击的时候大不了断开网络。但对于一个企业或者组织,在当今对网络非常依赖的情况下,要断开网络无异于与社会隔离。那么硬件防火墙对软件防火墙而言,有什么好处或者优点呢?
好处还是很明显的。首先硬件防火墙不像软件防火墙安装在我们的操作系统上,现在应用最为广泛的是windows系统,而windows系统也是漏洞百出,很不稳定,一旦黑客或者攻击方式利用了系统的漏洞,那么软件防火墙基本上就成了聋子的耳朵了。而硬件防火墙一般都有自己独特的操作系统,或者没有操作系统,这就大大增强了防火墙的安全性和稳定性。硬件防火墙一般是放置在内网和外网的接口处,如果你们公司或
单位很有人民币或者美元或者欧元等等,基本上可以在每台电脑前接个硬件防火墙。一旦网络受到外网的攻击,首当其冲的是硬件防火墙,除非防火墙被攻破,否则内网的运行基本是没什么影响的。
但硬件防火墙也有高低不等的产品,该如何选择呢?单从产品上来说,你首先要考虑网络出口的带宽,比如说你的网络出口带宽是千兆的,那么百兆的防火墙就有些力不从心了,如果你们网络的出口才10M,而你却选择千兆产品,那么我只能很羡慕你们,真有钱。其次考虑的是并发连接数。什么是并发连接数?嘿嘿,一般人我还不告诉他。举个最简单的例子,你打开了一个ie窗口在看我的帖子,那么这就算是一个连接数了。事实上,每个电脑不可能就开一个网页(除非你不上网看美女帅哥),稍微有点专业知识的朋友都知道,windows系统本身就有不少自动连接网络的程序,所以我们不能简单的数数开了几个网页,登陆了几个QQ,一般来讲,每台电脑至少要算上40个连接数,整个网络才清静。那么算并发连接数也就不难了,并发连接数=40×网络内电脑的数量。最后,要考虑防火墙的端口了,一个端口是接外网,一个端口接内网。如果你的网络需要跟某某局或者某某中心连接,那么显然2个端口是无法满足需要的,那你就往上加吧。一般来讲,防火墙至少有3个端口,如果你所在的网络很有发展前景或者有扩充的必要,还是建议多留一个端口以备后用。当然,加端口也就意味着加人民币。
三、VPN
这个名次是英文的缩写,是什么E文,我老人家学的很差,只认识26个字母。翻译成中文名字就是:虚拟私有网络。
随着组织机构的不断发展,一个组织在同一个办公楼工作已经越来越不现实,各个办事处及分支机构不断成立。这个时候,如果你的总部在联合国大楼,你在广州中信上班,再想用一条网线将电脑直接连接到公司或者总部的网络,估计我这辈子赚的钱还不够你买网线的。但因为工作或者业务的需要,又不得不进入公司的局域网,那么VPN将会帮你节省很多很多花花绿绿的票子。简单来说,VPN就是通过公网(比如internet)对数据进行加密和解密,在总部和分支机构之间建立一个虚拟的局域网。有了VPN,无论你是在哪里,只要可以上网,那么你就可以访问总部好友的电脑,查看他共享文件夹中刚刚下载下来的彩色笑话了。
四、IDS
我倒,又是E文,看来要真正融入IT行业,不懂英文不行啊。这个玩意
也叫入侵检测系统。
IDS和防火墙还是有本质的区别的,打个最简单的比喻,防火墙是门卫,符合条件的人就可以进入公司的大门,而IDS更像是摄像头,看看你是在工作还是在上网灌水。与防火墙不同的是,防火墙是串联在网络中,而IDS是旁路并联在网络中,所以IDS对网络传输性能是没有什么影响的,没有哪位见过摄像头挡道吧?对IDS所处网络中的位置比较严格,既要让它能检测到关键网络部分,所以要靠近被保护的区域,又要能尽量靠近入侵的源头,以便及时发现入侵。因为IDS只是旁路监听,所以对网络中发现的违规行为除了记录下来打小报告之外,是不会直接干预你上网灌水的。所以也就有了“防火墙+IDS”联动的说法,IDS发现了违规行为就向防火墙报告,让防火墙来处理。事实上也不是这么简单,因为小哥我的知识有限,只能说到这里了。
五、IPS
说到IDS,就不得不说到IPS。这玩意可以认为是IDS的更新换代,当然,不仅仅是更新换代。IPS叫入侵防御系统,它不仅仅是检测,还要对入侵行为防御。那么它就不像IDS只是旁路挂在网络上了,要串联在网络中。那么是不是IPS就可以代替“防火墙+IDS”了呢?刚巧,昨天看了一些资料。就目前而言,IPS与“防火墙+IDS”组合还是各有其生存的空间,IPS是检测网络4-7层数据流的(对于是哪七层,小哥我实在是不懂,各位可以自己查资料),而防火墙是检测3-4层的,对于大型的网络,比如电信级的,要检测到7层精度,是不现实的。而IPS目前的价格和升级服务费用,也并非一个小公司所能承受。
六、网闸
也叫安全隔离与信息交换系统。这玩意一般人还真不了解,小哥我刚好做这行,算是近水楼台了。网闸与上面几个安全产品根本不同的是:它要将两个不同的网络进行隔离,也就是不连接。是不是比较郁闷?既然是网络,却不能与外网连接。这也正是网闸的应用之处。
网闸的原理是:一个外网模块(类似于防火墙)接公网或外网,一个内网模块接业务专网,一个数据摆渡模块处理连接数据。这里有个名次叫“摆渡”,就像是你到野外游玩的时候遇到大河,有个渡船那样。当外网或内网的数据通过模块处理后,认为是安全的,才会摆渡你到对岸,如果你长的像某个***通缉犯而且船工一眼就认出来,你就过不了河,别说你会游泳,这河有100万公里宽呢。
网站应用最多的是政府,比如税务、工商、公安,这些部门既有自己专
