3.3 边界安全防护设备

数据参考：CISP官方 

目录

• IPS (入侵防御系统)
• 网闸 (物理隔离系统)
• 上网行为管理
• 防病毒网关
• UTM (统一威胁管理系统)

一、IPS (入侵防御系统)

1、简介 

入侵防御系统（IPS）是一种综合了入侵检测和防火墙等基础机制的安全产品。它通过实时分析网络流量，检测和识别潜在的入侵行为，并采取相应措施来阻止入侵，以保护组织机构的信息系统安全。入侵防御系统集检测和防御于一体，能够及时阻断明确判断为攻击的行为，无需人员介入，但误报可能导致正常用户行为被拦截，因此入侵防御系统更侧重于风险控制。

2、与传统的防火墙和入侵检测系统相比 

与传统的防火墙和入侵检测系统相比，入侵防御系统的优势在于能实现即时的阻断。传统的防火墙和入侵检测系统需要在发现攻击后由管理员手动设置防火墙策略来封堵攻击源，这导致防御响应滞后。部分厂商尝试将入侵检测和防火墙联动，使入侵检测发现的攻击可以直接通知防火墙进行阻断，但由于缺乏标准化接口，难以推广。

入侵防御系统通常通过串接部署在网络中。当检测到入侵行为时，根据预设的策略实时阻拦攻击源和攻击流量，大大降低了入侵的危害。

二、网闸 (物理隔离系统)

1、简介 

网闸（也称为物理隔离系统或安全隔离与信息交换系统）是一种用于满足我国涉及国家秘密的计算机系统必须与互联网物理隔离的要求的安全设备。它提供数据交换服务，并由两个独立的系统分别连接可信网络（例如涉密网）和非可信网络（互联网）。这两个相互独立的系统之间采用特定的安全隔离组件进行连接。

安全隔离组件包括隔离开关和数据暂存区域。隔离开关是定制研发的安全组件，它负责控制数据的流向和传递，确保可信网络和非可信网络之间的物理隔离。数据暂存区域则是一个临时存储空间，用于在数据传递过程中临时存放数据，以确保数据的安全性。

通过使用网闸，可以有效地将涉密网络与互联网进行物理隔离，从而提供了更高的信息安全保障。网闸的设计和使用符合我国相关的安全标准和规范，可以满足国家涉密信息系统对于安全保护的需求。

2、隔离开关 

隔离开关是一种网络安全设备，能够实现物理隔离。它只能连接两个独立系统中的一个，无法同时连接两个系统，并且连接和断开操作完全由硬件控制，不受软件影响。隔离开关会定期在这两个系统之间切换，以确保物理隔离的效果。因此，网闸作为一款能够实现物理隔离的网络安全设备，符合国家保密局于2000年1月发布的《计算机信息系统国际互联网保密管理规定》的要求。

3、网闸组成 

网闸是用于实现不同网络之间数据传输的一种安全设备。它由外部处理单元、内部处理单元和仲裁处理单元组成。

4、当数据需要从外部网络（非可信网络）传送到内部网络（可信网络）时，整个传输过程如下：

1. 外部处理单元：这是连接到外部网络的系统，它负责接收来自非可信网络的数据。

2. 数据暂存区：连接到外部处理单元的隔离开关将数据复制到数据暂存区。这是一个临时存储区域，用于隔离非可信系统和可信系统之间的数据传输。

3. 内部处理单元：连接到内部网络的系统通过仲裁处理单元控制，从暂存区中读取数据。

4. 仲裁处理单元：负责控制数据传输的仲裁处理单元将暂存区从连接非可信区域的系统断开，并将其连接到连接内部网络的系统中。

5. 数据传递：连接到内部网络的系统从暂存区中将数据读取出来，完成数据的传递。

5、安全机制 

为了更好地保障安全，网闸设备通常还会集成其他的安全机制，以应对各种安全风险。以下是一些常见的安全机制：

1. 防病毒功能：网闸设备可以集成防病毒引擎，对通过网闸的数据进行实时检测，识别和清除携带计算机病毒或恶意软件的文件，以防止病毒传播到可信网络。

2. 文件过滤机制：网闸设备可以实施文件过滤策略，对交换的数据类型进行过滤和限制。只允许特定类型的数据文件通过，例如文档、图像等，同时禁止通过具有潜在风险的可执行程序或脚本文件，以减少木马病毒等恶意软件的进入。

3. 安全审计日志：网闸设备可能记录所有传输通过网闸的数据和相关的网络活动，并生成安全审计日志。这样可以帮助检测和追踪潜在的安全事件，进行事后分析和调查。

4. 用户身份验证：对于连接到网闸的用户或系统，可以要求进行身份验证和授权。这样可以确保只有经过授权的用户才能进行数据传输，增加安全性。

5. 加密和解密功能：为了保护数据的机密性，网闸设备可能支持数据的加密和解密功能。它可以对传输的数据进行加密，使得非授权用户无法获取敏感信息。

6、网闸与防火墙的区别和应用场景

区别：

• 网闸（隔离开关）：网闸是一种物理设备，用于隔离和控制网络中不同安全级别的系统或网络之间的数据传输。它通过物理隔离和切换来实现数据的安全传递。网闸通常用于高安全要求的场景，例如军事、政府和金融等领域。
• 防火墙：防火墙是一种软件或硬件设备，用于监控和控制网络流量，保护内部网络免受未经授权的访问和恶意攻击。防火墙通过检查数据包的源、目标地址、端口号和协议等信息，以及应用安全策略来过滤流量。防火墙适用于各种网络环境，包括企业、组织和个人用户。

应用场景：

• 网闸：网闸通常用于需要严格隔离和保护的网络环境，特别是涉及高度敏感数据和关键基础设施的领域。例如，军事指挥系统、金融交易网络、政府机构网络等。
• 防火墙：防火墙适用于各种网络环境，无论是企业、组织还是家庭用户。它可以在网络边界上监视和过滤流量，阻止未经授权的访问和网络攻击。防火墙可用于保护内部网络免受恶意软件、入侵和未经授权的数据传输。

7、网闸的局限性：

• 网闸的技术特点导致其非实时连接，可能引入一定的时延。
• 网闸需要专有硬件支持，这增加了部署和维护的成本。
• 相较于防火墙，网闸在通用性方面有一定限制。

8、网闸的应用定位：

• 网闸主要作为高安全级别要求的边界防护产品使用。
• 网闸更注重内部可信网络的安全防护。
• 目前网闸广泛应用于公安、交警、消防、银行、国土资源等领域。

三、上网行为管理

1、简介

上网行为管理是一种边界网络安全产品，用于对内部网络用户的互联网行为进行控制和管理。它的主要目的是解决互联网滥用和非法信息防护的问题。

2、上网行为管理设备作用

1. 防止非法和恶意信息接触：通过对内部网络用户的访问进行过滤和筛选，上网行为管理设备可以有效防止内部人员接触非法信息、恶意软件和恶意网站。这有助于保护国家、企业的机密和敏感信息，防止信息泄露和损失。

2. 实时监控和审计：上网行为管理设备可以对内部人员的互联网访问行为进行实时监控和审计。它可以记录访问记录、访问时间、访问内容等信息，以便进行后续的审计和追溯，确保内部人员的网络行为符合规定和政策要求。

3. 管理网络流量资源：上网行为管理设备可以对网络流量进行管理，优化网络带宽的使用。通过对互联网访问进行控制和限制，可以避免不必要的流量浪费，提高网络的稳定性和性能。

4. 提高工作效率：通过对互联网行为的管理和控制，上网行为管理设备可以帮助提高内部人员的工作效率。它可以阻止无关的网站和应用访问，减少时间的浪费，使员工能够更集中地从事工作任务。

3、上网行为管理设备常见的应用场景

1. 政府部门：政府部门通常处理大量的敏感信息和机密数据。上网行为管理设备可以帮助政府机构监控员工的互联网访问行为，防止不合规的信息泄露，确保国家安全和机构的合法性。

2. 企事业单位：企事业单位面临着各种互联网威胁，如恶意软件、网络钓鱼等。上网行为管理设备可以帮助这些单位过滤和阻止恶意网站和应用程序的访问，提高网络安全性，并确保员工在工作中遵守相关政策和规定。

3. 学校教育机构：学校和教育机构需要确保学生的互联网使用符合教育目的，并且不接触到不适宜内容。上网行为管理设备可以帮助学校过滤和限制访问非教育相关的网站和应用，确保学生在互联网上的安全与健康。

4. 医疗机构：医疗机构存储着大量的患者隐私和保密信息。上网行为管理设备可以帮助医疗机构监控员工的互联网访问，并防止患者数据的泄露和滥用。

4、上网行为管理设备通常具备以下功能：

1. 上网身份管控：上网行为管理设备可以实现对内部人员的上网身份识别和管控。它可以通过认证、授权等方式，确保只有经过合法认证的用户才能进行互联网访问，防止未经授权的人员接入网络。

2. 网页的访问过滤及互联网浏览内容管控：上网行为管理设备可以对内部人员访问的网页进行过滤和管控。它可以根据预设的规则和策略，过滤和阻止不合规的网页访问，如色情、暴力、赌博等不适宜内容，保护用户的网络环境。

3. 网络应用控制及内容管控：上网行为管理设备可以对内部人员使用的网络应用进行控制和管控。它可以限制或阻止某些特定的应用程序的使用，如社交媒体、游戏等，以提高工作效率和避免滥用。

4. 带宽及流量管理：上网行为管理设备可以对网络的带宽和流量进行管理。它可以设置带宽限制和优先级规则，确保重要业务的网络访问和传输不受影响，优化网络资源的利用。

5. 互联网传输数据审计：上网行为管理设备可以对内部人员的互联网传输数据进行审计和监控。它可以记录传输的内容、时间、目的地等信息，以便进行后续的审计、调查和追溯。

6. 用户行为分析：上网行为管理设备可以通过对内部人员的互联网行为进行分析，了解用户的使用习惯、偏好和趋势。这有助于优化网络策略和资源分配，提高网络安全性和工作效率。

7. ......

四、防病毒网关

传统终端防护方案的安全不足和增强措施

传统的终端防护方案采用在终端部署防病毒软件来对恶意代码进行检测和查杀。然而，这种方式存在以下安全不足：

1. 特征库升级管理问题：需要及时更新病毒特征库以应对新的恶意代码，但特征库升级可能存在延迟，导致漏掉最新的威胁。

2. 终端防护短板：终端防病毒软件无法完全阻止绕过防护的恶意代码，比如利用零日漏洞或高级技术进行隐藏的恶意代码。

为弥补这些不足，可以采取以下增强措施：

1. 网络边界防御：在网络边界使用防火墙、IDS、IPS等安全设备来监测和过滤恶意流量。

2. 集中式安全管理：采用集中式安全管理平台，实时监控和管理终端设备的安全状态，包括补丁管理、配置管理和漏洞扫描。

3. 行为分析和机器学习：结合行为分析和机器学习技术，实时监测用户行为，识别异常活动和潜在威胁，并采取相应措施。

4. 终端安全教育与培训：加强员工的安全意识教育和培训，提高对恶意代码和网络攻击的警惕性，降低人为因素导致的漏洞。

防病毒网关设备的优势 

        防病毒网关是一种边界网络安全防护设备，用于对恶意代码进行过滤。通过检测出网络中的数据，它可以发现其中存在的恶意代码并进行查杀，从而有效地阻止病毒通过网页、邮件、即时通信等互联网应用进入受保护的网络中。防病毒网关设备与终端防病毒软件相辅相成，形成了全面的安全防护能力。

防病毒网关设备的优势在于：

1. 统一更新病毒库：只需要更新一套病毒库，就能够覆盖整个网络，提高了更新的集中性和效率。

2. 难以被恶意代码绕过：作为边界设备，防病毒网关可以预先拦截和查杀恶意代码的尝试，增强了安全防护能力。

3. 终端保护使用不同厂商的产品：防病毒网关设备可以与终端防护软件使用不同厂商的产品，形成异构的安全防护体系。这样，在某个产品出现漏洞或无法检测特定类型的恶意代码时，其他厂商的产品仍然可以提供保护。

综上所述，防病毒网关设备通过边界过滤恶意代码，与终端防护软件相互补充，提供了更全面的安全防护能力。它的优势体现在统一更新病毒库、难以被绕过，以及支持异构保护。

五、UTM (统一威胁管理系统)

统一威胁管理系统（UTM）是将防火墙、防病毒、入侵检测、上网行为管理等安全技术及功能集成于一体的网络安全设备。

UTM的优势包括：

1. 资源整合带来的低成本：通过将多种安全功能集成于一台设备中，可以减少采购和维护成本，并简化设备数量和布局。

2. 模块化管理：UTM采用模块化设计，使管理和配置更加灵活和方便。管理员可以根据需要选择启用或禁用特定功能模块，以满足特定的安全需求。

3. 较小的配置工作量：UTM的集成设计使得配置和部署过程相对简单，相比于独立部署多个安全设备，减少了管理员的工作量和时间成本。

4. 提高安全管理人员的工作效率：UTM通过集成多个安全功能并提供统一的管理界面，使安全管理人员能够更高效地监控和响应安全事件，从而提高工作效率。

然而，UTM也存在一些局限性：

1. 功能集成带来的风险集中：由于所有安全功能集中在一台设备上，如果该设备受到攻击或发生故障，会导致所有安全功能失效，带来较大的安全风险。

2. 不符合"纵深防御"的安全管理思想：UTM的集成设计可能无法提供多层次的安全策略和多个安全设备协同工作的能力，不完全符合纵深防御的安全管理思想。

3. 功能集成带来的性能瓶颈：UTM在处理大量网络流量时可能会面临性能瓶颈，导致网络传输速度变慢或延迟增加。

4. 功能集成带来的系统复杂性和协作问题：UTM的集成设计使得系统配置和管理变得更加复杂，不同模块之间的协作可能存在兼容性和集成问题，给维护和故障排除带来挑战。

综上所述，统一威胁管理系统（UTM）的优势包括资源整合带来的低成本、模块化管理以及提高工作效率，但也面临着风险集中、不符合纵深防御思想、性能瓶颈以及系统复杂性和协作问题等局限性。

UTM的应用场景

UTM在中小型组织机构中应用广泛，特别适合预算有限但需要较全面防护能力的场景。这包括各种中小型企业、学校、医院、政府机构等。

由于UTM集成了多种安全功能，如防火墙、防病毒、入侵检测、上网行为管理等，它能够提供全面的网络安全防护，帮助组织机构抵御各种网络威胁和攻击。而且，UTM采用资源整合的设计，可以降低总体的设备成本和维护成本。

对于预算有限的中小型组织机构来说，购买单独的防火墙、入侵检测等安全设备可能昂贵且不易管理。而UTM以相对较低的成本提供了多种安全功能，并且通过模块化管理和简化的配置工作流程，减少了安全管理人员的工作负担，提高了工作效率。

总之，UTM在预算有限的中小型组织机构中是一种经济实用的选择，能够提供全面的网络安全防护能力并简化管理流程。