写这个专题开篇的时候,并没有想到,安全网关在这一个月里,为这个伟大的国家做出了卓越的贡献。在此致敬为安全网关开发、维护、推广、实施工作呕心沥血的业界朋友们!
让我们回归开篇的8个问题,并逐一作答——
Q1:为什么不能把交换机和路由器的ACL功能当作防火墙使用?
A1:ACL不能跟踪连接状态,在处理TCP流的情况无法判断连接是否确实建立,有安全隐患;
Q2:只具备NAT功能的设备,作为防火墙使用会存在什么样的缺陷?
A2:除无法跟踪TCP连接之外,还无法实现灵活的安全域及域间策略;
Q3:防火墙双机HA模式工作时,为什么建议两台防火墙之间的连线至少为10G以太网?
A3:避免防火墙之间连线成为新建连接时同步会话信息的瓶颈;
Q4:如果负载均衡设备的吞吐量比较小(如<=10Gbps),而用户访问服务器可能产生比较大的流量(如40Gbps以上),怎么样可以避免负载均衡设备成为瓶颈?
A4:使用三角模式部署;
Q5:如果Web服务使用HTTPS,配置负载均衡设备需要注意什么?
A5:需要将web服务器/虚机的证书在负载均衡设备上加载;
Q6:为什么IPSec VPN不采用双因子认证?
A6:因为IPSec VPN穿越NAT和CGN有较多困难,IPSec VPN主要用于站点之间互联场景,在路由器上发起隧道,因此无需双因子认证;
Q7:流控网关能不能监控QQ、微信等聊天工具传输的内容?如果需要监控,要满足什么样的条件?
A7:在使用Web QQ/Web微信时可以利用中间人攻击的方法监控传输内容,但会触发用户浏览器告警。
Q8:防病毒网关怎么样对HTTPS传输的文件查杀病毒?
A8:对于内网用户上网场景需要使用中间人攻击方法监控传输内容,但会触发用户浏览器告警。
