1.1 多网卡安全网关连接并隔离内网

• 可以做细粒度的ACL，符合最小特权原则
• 可以做全部内网流量的日志记录
• 可以划分VLAN，单臂路由
• 基于VLAN的双机热备，替换核心交换机
• 可多路并行透明接入，在边界路由器和交换机之间，不需要改现有网络配置
• 透明网桥接入时，有bypass功能，需要时开，不需要时关，不需要拔网线

1.2 交换机划分VLAN

• 缺点1：无法做细粒度ACL，445端口要么全部放行，要么全部阻拦（影响网络打印机）
• 缺点2：无法做全部流量的日志记录

二、在线主机+会话状态 

      一般是PC后台进程发包，找到可疑源IP所在PC，杀病毒，封USB

• 上传流量：扫描
• 持续流量：后门

三、实时监控 

       找到可疑源IP所在PC，杀病毒，封USB

• 目的地址随机，目的端口445/TCP
• 目的地址第三位顺序增长，目的端口445/TCP

四、会话控制

• 按照流量性质分类控制每用户每应用的并发会话数：DNS：50，WEB：300，TCP：50，UDP：50，...
• 定义工作流量，优先级别最高，非工作流量无需保证QoS
• 不需要7层特征识别，性能好，好维护，没有误杀

五、包过滤日志

• 完整的收发数据包记录，全部IP、TCP、UDP、ICMP层信息，及部分内容信息
• 内置存储，按天数、压缩保存，可以下载解压，并用专门的软件查看搜索

六、Netflow网络流量监控

• 网关处会话结束后生成Netflow记录，数据小，性能好
• 专用日志服务器接收留存Netflow记录，方便查询，不影响网关工作

七、网络审计

• ARP、DNS、WEB、WEBPOST、TELNET、POP3、SMTP、QQ等
• 基于会话的在线式旁路监听，不参与转发，性能好
• 日志留存：找到可疑源IP所在PC，杀病毒，封USB

八、DNS日志审计

• 发现木马后门CC控制服务器域名：找到可疑源IP所在PC，杀病毒，封USB

九、DNS过滤

• 大规模域名库：广告、病毒、黑客
• 自定义域名解析
• 日志留存：找到可疑源IP所在PC，杀病毒，封USB

十、WEB协议过滤 

       找到可疑源IP所在PC，杀病毒，封USB 

十一、WEB内容过滤 

11.1 页面关键词过滤

• 解gz压缩网页，旁路监听的不行
• 不同encode的关键词过滤，不需要网址库：UTF-8、GB2312、BIG5、日本、韩国、朝鲜文字
• 防病毒过滤：800万特征库、实时在线更新
• 缺点：硬件要求高，会增加延时

十二、Email内容过滤 

12.1 POP3、SMTP内容过滤

• 删除附件：钓鱼邮件附件可能是免杀的木马后门病毒文件
• 防病毒过滤
• 防垃圾邮件过滤
• 日志留存：找到可疑源IP所在PC，杀病毒，封USB
• 缺点：硬件要求高，会增加延时

十三、IDS/IPS入侵检测与防御

• 开启远程探测攻击、木马后门文件等特征检测：找到可疑源IP所在PC，杀病毒，封USB
• 获取最新特征签名，防御0day攻击

十四、WebDAV文件共享

• 替换微软netbios网络共享
• 和微软网络共享一样的挂载使用体验
• 可以在内网及互联网上远程使用，不会被ISP过滤阻拦
• 基于HTTPS协议
• 真实域名CA证书
• 自签名CA证书
• 非Windows系统的单独的用户认证
• 基于用户角色的读写删权限
• 详细的读写删日志记录

思维导图：