蓝狐之防火墙课件：第一课.网络安全体系结构.ppt ：

集成化安全体系 -网络安全解决方案

边界安全 -防火墙 -思科：PIX、ASA、防火墙服务模块（FWSM）-安装

在cisco Catalyst 6500系列交换机或cisco 7600系列路由器内

入侵防范 -网络IDS

安全连接 -虚拟专用网

身份识别 -Cisco VPN Concentrators, Cisco IOS Routers, PIX Firewalls 准入控制 -确保拒绝不符合策略的设备接入，将其放入隔离区以修

复，或仅允许其有限地访问资源

行为管理 –使用 专业上网行为管理网关：SINFOR AC

集成化安全产品 - H3C SecPath UTM、 Cisco ASA5500系列（PIX防

身份识别：

● 访问控制服务器（ACS）的作用相当于负责地点安全的准入卡和门卫，它可以为流

量和用户提供集中的身份认证，授权和记账（AAA）

● 身份识别是安全基础设施的关键组成部分。基于身份识别的网络服务让系统可以根

据各种参数（例如用户名，IP地址和MAC地址）识别用户的身份，进而为其提供特定的访问权限

● 身份识别方面的重要趋势包括访问权限的精确度不断提高和动态，主动地分配访问

权限的能力

网络准入控制（NAC）：

? 每当一个终端设备登陆网络，它就有可能影响网络的安全水平。不符合网络安全策

略的服务器和台式机（使用过期的防病毒，未安装补丁的OS等）很普遍，难以发现，实际上很难对其加以控制。每次它们与网络相连都会提高网络环境的危险 NAC为完全符合安全策略的终端设备提供网络接入，且有助于确保拒绝不符合策略的设备接入，将其放入隔离区以修复，或仅允许其有限地访问资源

上网行为管理 ：

● 互联网正逐步成为重要的生产资料，组织业务正逐渐向互联网转型；互联网是一把”

双刃剑”，缺乏管理的互联网已经带来诸多问题 ● 1.带宽滥用、上网速度慢

? BT、迅雷等P2P下载 ? PPLive等在线流媒体 ? 各种业务无关网络行为 ? 带宽无法划分与分配 ? ………

● 2.工作效率下降、影响组织竞争力

? 上班时间网络聊天、炒股、网游、看新闻等行为泛滥； ? 办公室成了免费的网吧；

? 以前通过考勤考核迟到早退，现在人在办公室却不在工作

专业上网行为管理网关：SINFOR AC

访问控制： 网站访问与发帖 文件传输 Email收发 聊天P2P炒股等

带宽管理： 多线路及流控 应用类型流控 网站类型流控 文件类型流控 监控审计： URL及发贴行为 SSL加密行为 Email/Webmail

聊天及各种行为 上网安全： 免审计Key 终端检查与准入

报表统计：

封堵及智能提醒

独立数据中心

对比报表 风险智能报表 内容检索 日志审查Key

过滤脚本、插件 查杀木马、病毒 防DOS/ARP欺骗 防火墙与杀毒网关

集成化安全产品：

◆ H3C SecPath UTM（United Threat Management，统一威胁管理)采用高性能的多核、多线程安全平台，保障全部安全功能开启时不降低性能，产品具有极高的性价比。在提供传统防火墙、VPN功能基础上，同时提供病毒防护、URL过滤、漏洞攻击防护、垃圾邮件防护、P2P/IM应用层流量控制和用户行为审计等安全功能。

◆ Cisco ASA