AVOCENT产品与防火墙的安全性比较的材料
- 格式:doc
- 大小:37.50 KB
- 文档页数:2
AVOCENT产品与防火墙的安全性比较的材料
防火墙是一个或一组系统,能够增强机构内部网络的安全性,简单来说,防火墙是一个分离器,一个限制器,一个分析器,它有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
优点:保护脆弱的服务,通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。
控制对系统的访问,集中安全管理,增强保密性,记录和统计网络利用数据以及非法使用数据的情况。
Avocent产品提供的产品和防火墙的功能既有联系也有区别
相似部分:
1、从物理逻辑角度
Avocent 的DSView软件提供P roxy功能,即Socket端口转发和集中控制管理功能。
而防火墙重要的功能就是端口转
发。
其共性和目的都是不让攻击方看到内部被访问服务器的真实地址。
物理访问控制是信息安全层级中最基础的一级,但恰恰是最容易被遗漏的一级。
人们也许忘了,最简单的偷取密码或扰乱IT运营的方法,是带走或损坏设备。
当您准备投
入大把大把的钞票以防止数据的网络泄露时,请务必做好关键服务器和网络基础设施的物理访问控制工作。
有时候物理上的隔断是您在信息安全上最有效的投资。
2、从增强保密性角度
均有各种加密算法,如数据加密标准DE S、3DE S等。
数据加密是指通过一系列的数学算法对数据进行编码的过程,通过数据加密我们可以防止未经授权者查看或修改重要数据。
它的目的是保护信息的机密性和完整性,即使当信息在不安全的媒介中(比如说Internet)传输时,数据加密技术也应当能够提供有力的保护。
数据加密技术应当能够确保,只有接收方
能够通过解密算法和密钥进行解密(密钥必须是保密的,但解密算法本身却不一定要是保密的)。
3、从认证支持角度
支持的认证类型:是指DSView和防火墙支持的身份认证协议,一般情况下具有一个或多个认证方案,如 RADIUS、TACACS/TACACS+、口令方式、数字证书等。
防火墙能够为本地或远程用户提供经过认证与授权的对网络资源的访
问,DSView和防火墙管理员必须决定客户以何种方式通过认证。
用户认证的目的在于鉴别用户,授予用户相应的信息访
问权限,并追踪用户的活动。
请务必让您的员工知道,您将组织信息系统的安全看作是一件很严肃的事情,他们必须使用各自的用户名和密码登陆,这是保护组织资产的首要方法。
认证技术通常要求用户提供其访问钥匙(可以是密码等等),并在诸如RADIUS, LDA P数据库中寻找并授予用户相应的访问权限。
4、日志分析、运行监测和事件通知
日志报表和警告通知机制:DSView软件和防火墙均提供访问日志报表和告警机制,在检测到访问以及设备运转异常情况时,通过告警来通知管理员采取必要的措施,如访问对话时间记录和 E-mail告警等。
日志分析、运行监测和事件通知的目的并不是防止网络入侵,但它们能够较早地发现安全上的漏洞,找出入侵的来源,并尽快恢复丢失的数据。
它们能够有效地防止入侵者的破坏,并最大程度上降低安全漏洞可能带来的损失。
不同部分:
Avocent解决方案提供的是一种带外管理方式,即带外管理架构(OOB I),采用单独的KVM系统网络,实现对服务器、路由器、交换机、电源管理设备的控制,并进一步实现IPMI管理设备,VM虚拟媒体功能等。
Avocent解决方案提供和普通的网络通道是有区别的,其提供的是一套单独的网络,DSR设备和服务器之间虽然是普通的CAT5网络,但是并不是普通的TC P/IP协议,所以即使高级黑客们攻破DSView的安全防线,也无法通过此系统网络(终端为KVM端口)访问最终的服务器。
带外管理架构(OOBI)说明
如何保证业务的连续运作,尤其是在错误发生时保持服务的连续性和可用性?这是核心机房极为关注的一个课题。
无论是复杂的系统管理应用程序(如HP OpenView, IBM Tivoli, CA Unicenter, BMC PA TROL等),还是价格相对低廉的网络管理程序(如CiscoWorks),都依赖于生产性网络自身的正常运转来进行网络管理与监测,而在网络连接本身运转不正常的情况下,它们就无法有效地发挥作用。
工程师们必须带上笔记本电脑,以及相关的检测工具,来到出问题的设备那里,进行问题的诊断,最终恢复网络连接并使其正常运作。
这一过程费时费力,成本昂贵,就是通常我们所说的“本地管理”。
远程管理则允许管理员采用与生产性网络相脱离的独立连接途径,通过网络、串口或modem连接,实现对IT资产的访问。
远程IT管理可以通过带外管理架构(out-of-band infrastructure, OOBI)来实现。
OOBI能够提供安全的替代性途径远程访问、监测和管理生产性基础设施内的众多IT资产。
如果IT设备断网,OOBI能够远程恢复其网络连接,并在最短的时间内使其重新接受管理并恢复生产运作。
与传统的本地管理相比,带外管理架构(OOBI)的优点就在于:更低的劳动力成本、更高的生产力、更低的风险。
关于防火墙的详细功能可以参考具体产品(从防火墙产品和技术发展来看,分为三种类型:基于路由器的包过滤防火墙、基于通用操作系统的防火墙、基于专用安全操作系统的防火墙)
部分防火墙的特色功能介绍
支持病毒扫描:是否支持防病毒功能,如扫描电子邮件附件中的 DOC和ZIP文件,FTP中的下载或上载文件内容,以发现其中包含的危险信息。
提供内容过滤:是否支持内容过滤,信息内容过滤指防火墙在 HTTP、FTP、SMTP等协议层,根据过滤条件,对信息流进行控制,防火墙控制的结果是:允许通过、修改后允许通过、禁止通过、记录日志、报警等。
过滤内容主要指UR L、HTTP携带的信息:Java Applet、 JavaScript、ActiveX和电子邮件中的Subject、To、From域等。
能防御的 DoS攻击类型:拒绝服务攻击(DoS)就是攻击者过多地占用共享资源,导致服务器超载或系统资源耗尽,而使其他用户无法享有服务或没有资源可用。
防火墙通过控制、检测与报警等机制,可在一定程度上防止或减轻DoS黑客攻击。
阻止 ActiveX、Java、C ookies、Javascript侵入:属于HTTP内容过滤,防火墙应该能够从HTTP页面剥离Java Applet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒,并向浏览器用户报警。
同时,能够过滤用户上载的CGI、ASP等程序,当发现危险代码时,向服务器报警。
支持转发和跟踪 ICMP协议(IC MP 代理):是否支持ICMP代理,IC MP为网间控制报文协议。
提供实时入侵防范:提供实时入侵响应功能,当发生入侵事件时,防火墙能够动态响应,调整安全策略,阻挡恶意报文。
识别 /记录/防止企图进行IP地址欺骗:IP地址欺骗指使用伪装的IP地址作为IP包的源地址对受保护网络进行攻击,防火墙应该能够禁止来自外部网络而源地址是内部IP地址的数据包通过。