3-3-网络隔离系统-new

上传人：1*** IP属地：湖北上传时间：2024-08-16 格式：PPT 页数：87 大小：2.11MB 积分：6 举报 版权申诉

已阅读5页，还剩82页未读，继续免费阅读

版权说明：本文档由用户提供并上传，收益归属内容提供方，若内容存在侵权，请进行举报或认领

文档简介

网络隔离系统8/16/20241隔离技术″隔离的概念″隔离技术的发展″隔离网闸原理产品介绍″隔离网闸与防火墙区别比较″隔离网闸产品分类″FerryWay三机系统模型″三机与二机区别比较″FerryWay的技术特点FerryWay管理配置″管理端软件″审计端软件内容目录8/16/20242隔离的概念

网络隔离———NetworkIsolation

协议隔离———ProtocolIsolationMarkJosephEdwards：协议隔离和防火墙不属于同类产品“UnderstandingNetworkSecurity”8/16/20243隔离技术的发展8/16/20244IP包，3层IP包，3层TCP4层TCP4层5至7层5至7层数据摆渡OSI第七层外隔离网闸

私有协议摆渡隔离网闸原理内部网络外部网络物理、数据链路1至2层物理、数据链路1至2层8/16/20245隔离技术″隔离的概念″隔离技术的发展″隔离网闸原理产品介绍″隔离网闸与防火墙区别比较″隔离网闸产品分类″FerryWay三机系统模型″三机与二机区别比较″FerryWay的技术特点FerryWay管理配置″管理端软件″审计端软件内容目录8/16/202468/scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir+c:\InternetInternalUsersFireWallPort80WebservicesWebenabledappsIMtrafficRichmediaInternetaccess43%43%55%43%98%80–HTTP“…75％的成功针对服务器的攻击是通过应用层完成的，而不是网络层来完成的。网络攻击分析8/16/20247隔离技术需具备的安全要点要具有高度的自身安全性

要确保网络之间是隔离的

要保证网间交换的只是应用数据

要对网间的访问进行严格的控制和检查

要在坚持隔离的前提下保证网络畅通和应用透明8/16/20248与防火墙的主要区别隔离网闸防火墙政策归类安全隔离与信息交换防火墙功能定位安全第一，通信第二通信第一，安全第二硬件体系多机系统单机系统通信协议专用私有协议公用协议安全级别内外皆防防外8/16/20249网闸的分类市场上网闸主要分为两类：

传统“2+1”结构为基础的网闸三机架构的网闸控制台存储介质外部网络内部网络？？？8/16/202410基于三机系统的安全隔离与信息交换模型FerryWay系统模型8/16/202411FerryWay三机系统原理Hello？？？处理连接POST处理请求NOSorry

8/16/202412FerryWay三机系统原理Hello？？？处理连接POST处理请求YesYes，YoucanCommandRequest：Hello？Yes，I’mhere.Ready8/16/202413三机与二机区别FerryWay“2+1”主机形态三机三系统二主机+摆渡机制防范级别内外网相同对待外网危险，内网安全自身安全性仲裁系统硬件网络不可达仲裁系统硬件网络可达处理能力内外端拆封，仲裁端检测内外端既拆封又检测8/16/202414攻击者即使同时获得内外网机的权限，也无法构建不受控数据通道内/外端机是内/外网网络协议的终点，网络协议不可延伸信息落地，仲裁机对剥离的应用层信息进行安全检查，控制网间传播内容，保护重要资源仲裁系统网络协议不可达，自身安全性大大提高三机模型的特点和优势8/16/202415隔离技术″隔离的概念″隔离技术的发展″隔离网闸原理产品介绍″隔离网闸与防火墙区别比较″隔离网闸产品分类″FerryWay三机系统模型″三机与二机区别比较″FerryWay的技术特点FerryWay管理配置″管理端软件″审计端软件内容目录8/16/2024161.管理配置界面提供给系统配置管理员对FerryWay系统进行配置的用户界面。主要功能包括：

系统设置(设置内外端机IP地址、系统关闭/重启)

用户信息

应用通道

安全策略(HTTP/SMTP/POP3)

2.审计查看界面

提供给审计管理员查看和管理FerryWay系统审计信息的用户界面。主要功能包括：

查看HTTP/SMTP/POP3/系统的审计信息

查询指定条件的审计信息

导出指定条件的审计信息8/16/2024178/16/2024188/16/2024191.设置内端机IP地址

选择“系统”菜单下的“设置”，显示系统设置列表。选择“设置内端机IP地址”，显示设置界面。2.设置外端机IP地址

选择“系统”菜单下的“设置”，显示系统设置列表。选择“设置外端机IP地址”，显示设置界面。一般要设置默认网关、域名服务器。3.系统关闭或重启

选择“系统”菜单下的“关闭/重启”，显示系统关闭/重启界面。关闭或重启整个三机系统。8/16/202420使用“高级”，可以设置多个IP地址。8/16/202421使用“高级”，可以设置多个IP地址。8/16/2024228/16/202423选择“用户”菜单下的“所有用户”，显示当前系统中的所有用户列表。包括系统配置管理员和普通用户，但是，无法看到审计管理员。主要功能：1.添加新用户

在用户列表的右键菜单中选择“添加”，显示添加新用户界面。2.删除用户

选定某一用户，在右键菜单中选择“删除”，确认后，删除选定用户。无法删除系统配置管理员帐号。3.修改用户密码（或修改系统配置管理员的登录密码）

选定某一用户，在右键菜单中选择“修改密码”，显示密码修改界面。如果选择了系统配置管理员，则显示修改管理员登录密码界面。8/16/202424注：用户密码必须是英文字母和数字的组合。8/16/2024258/16/2024268/16/202427选择“应用通道”菜单，显示当前系统中的所有应用通道列表。主要功能：1.添加新应用通道

在列表的右键菜单中选择“添加”，显示添加新应用通道界面。应用通道添加后，必须手动启用，并设置“启用类型”为“自动”。2.删除应用通道

选定某一应用通道，在右键菜单中选择“删除”，确认后，删除选定应用通道。3.修改应用通道设置

选定某一处于“停用”状态的应用通道，在右键菜单中选择“设置”，修改选定应用通道的设置信息。设置界面和添加界面相同。8/16/2024288/16/2024291.应用通道源

选择应用通道的方向2.工作模式

代理模式：解析客户端请求数据中的主机地址，连接。转发模式：直接将客户端发送的数据转发到指定主机。3.应用类型

包括：HTTP、SMTP、POP3、FTP、TELNET、NULL_TCP（自定义通道）4.源机IP地址5.源机端口6.目的机IP地址

代理模式无须设置目的机IP地址和端口7.目的机端口8.允许最大连接数9.证书认证8/16/2024308/16/2024318/16/2024328/16/2024331.HTTP应用

允许访问主机策略、访问内容审计策略、其他策略(禁止访问文件类型、禁止脚本、禁止查询字串、禁止 POST、禁止COOKIE)2.SMTP应用

允许主机地址策略、邮件内容审计策略、禁止发件地址策略、禁止收件地址策略、禁止邮件主题策略、其他策略(禁止附件文件类型、禁止脚本、发送邮件大小、病毒扫描)3.POP3应用允许主机地址策略、邮件内容审计策略、禁止发件地址策略、禁止收件地址策略、禁止邮件主题策略、其他策略(禁止附件文件类型、禁止脚本、接收邮件大小、病毒扫描)8/16/202434设置客户端可以访问的主机地址，并选择使用的应用通道。主机地址支持通配符，如：*.，可以访问以结尾的主机；*，则可以访问所有主机。8/16/202435设置访问内容过滤的关键字。8/16/2024361.禁止访问文件类型输入文件扩展名，以“|”间隔，区分大小写。如：rar|zip|rm2.禁止脚本选择某一一应用通道的禁止脚本策略，选择“设置策略内容”，在设置界面中，选择“是”或“否”。3.禁止查询字串选择某一一应用通道的禁止查询字串策略，选择“设置策略内容”，在设置界面中，选择“是”或“否”。4.禁止POST

选择某一一应用通道的禁止POST策略，选择“设置策略内容”，在设置界面中，选择“是”或“否”。5.禁止COOKIE

选择某一一应用通道的禁止COOKIE策略，选择“设置策略内容”，在设置界面中，选择“是”或“否”。8/16/202437选择菜单“安全策略”->“SMTP应用”->“允许主机地址策略”，显示策略内容列表。

8/16/202438“允许主机地址”为允许使用的SMTP主机。添加界面如下：

8/16/202439修改策略内容界面如下：

8/16/202440除了添加、修改策略等功能以外，还提供：删除策略在策略列表中选定某一策略，在右键菜单中选择“删除”或直接按 “DEL”键，确认后，就可以删除选定的策略了。策略生效设置