跳转至

1.防火墙( Firewall)

定义:用于保护计算机网络免受未经授权访问的安全系统。它的主要作用是监控和控制进出网络的数据流,确保只有合法和安全的数据能够通过。

功能:防火墙的功能主要是两个网络之间做边界防护, 企业中更多使用的是企业内网与互联网的NAT、包过滤规则、端口映射等功能。生产网与办公网中做逻辑隔离使用,主要功能是包过滤规则的使用。

部署方式:网关模式、透明模式

网关模式是现在用的最多的模式,可以替代路由器并提供更多的功能,适用于各种类型企业透明部署是在不改变现有网络结构的情况下,将防火墙以透明网桥的模式串联到企业的网络中间,通过包过滤规则进行访问控制,做安全域的划分。至于什么时候使用网关模式或者使用透明模式,需要根据自身78uy8需要决定,没有绝对的部署方式。需不需要将服务器部署在 DMZ区,取决于服务器的数量、重要性。

2.入侵防御 (IPS)

定义:相对于防火墙来说,一般都具有防火墙的功能,防御的对象更具有针对性, 那就是攻击。防火墙是通过对五元组进行控制,达到包过滤的效果,而入侵防御 IPS,则是将数据包进行检测 (深度包检测 DPI)对蠕虫、病毒、木马、拒绝服务等攻击进行查杀

3.统一威胁安全网关 (UTM)

定义:简单的理解,把包过滤、病毒过滤、入侵过滤三个大功能整合到一起

功能:同时具备防火墙、防病毒、入侵防护功能。

部署方式:因为可以代替防火墙功能,所以部署方式同防火墙

现在大多数厂商,防病毒和入侵防护已经作为防火墙的模块来用,在不考虑硬件性能以及费用的情况下,开启了防病毒模块和入侵防护模块的防火墙,和UTM其实是一样的。

4.IPSEC VPN

把 IPSECVPN放到网络安全防护里,其实是因为大多数情况下, IPSEC VPN的使用都是通过上述设备来做的,而且通过加密隧道访问网络,本身也是对网络的一种安全防护。

定义:采用 IPSec 协议来实现远程接入的一种 VPN技术

功能:通过使用 IPSECVPN使客户端或一个网络与另外一个网络连接起来,多数用在分支机构与总部连接。

部署方式:网关模式、旁路模式

鉴于网关类设备基本都具备 IPSECVPN功能,所以很多情况下都是直接在网关设备上启用 IPSEC VPN功能,也有个别情况新购买IPSEC VPN设备,在对现有网络没有影响的情况下进行旁路部署,部署后需要对IPSECVPN设备放通安全规则,做端口映射等等。也可以使用 windows server或linu 部署 VPN,相比硬件设备,自己部署没有什么花费,但 IPSECVPN受操作系统影响,相比硬件设备稳定性会差一些。

5.SSL VPN

定义:采用 SSL协议的一种 VPN技术,相比 IPSEC VPN使用起来要更加方便,毕竟 SSL VPN使用浏览器即可使用。

功能:随着移动办公的快速发展,SSL VPN的使用也越来越多,除了移动办公使用,通过浏览器登录SSLVPN连接到其他网络也十分方便, IPSEC VPN更倾向网络接入,而 SSL VPN更倾向对应用发布

部署:SSL VPN的部署一般采用旁路部署方式,在不改变用户网络的状况下实现移动办公等功能。

6.网闸/光闸

定义:全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接, 并能够在网络间进行安全适度的应用数据交换的网络安全设备

功能:主要是在两个网络之间做隔离并需要数据交换,网闸是具有中国特色的产品。

部署方式:两套网络之间

防火一般在两套网络之间做逻辑隔离, 而网闸符合相关要求,可以做物理隔离,阻断网络中 tcp 等协议,使用私有协议进行数据交换。

7.WAF

定义:名称就可以看出,WAF的防护方面是 web应用,说白了防护的对象是网站及 B/S 结构的各类系统。

功能:针对 HTTP/HTTPS协议进行分析,对 SQL注入攻击、XSS攻击 Web攻击进行防护,并具备基于 URL 的访问控制;HTTP协议合规;Web敏感信息防护;文件上传下载控制;Web 表单关键字过滤。网页挂马防护,Webshell 防护以及 web应用交付等功能。

部署:通常部署在 web应用服务器前进行防护

IPS 也能检测出部分web攻击,但没有WAF针对性强,所以根据防护对象不同选用不同设备,效果更好。

8.网络安全审计

定义:审计网络方面的相关内容

功能:针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。

部署:采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到审计设备。

9.堡垒机

定义:在一个特定的网络环境下, 为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露, 而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动,以便集中报警、记录、分析、处理的一种技术手段。

功能:主要是针对运维人员维护过程的全面跟踪、 控制、记录、回放,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。

部署:旁路模式部署。使用防火墙对服务器访问权限进行限制,只能通过堡垒机对网络设备/服务器/数据库等系统操作。

10.入侵检测(IDS)

定义:对入侵攻击行为进行检测

功能:通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析, 从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象

部署:采用旁路部署模式,通过在核心交换机上设置镜像口,将镜像数据发送到入侵检测设备。

11.负载均衡

定义:将网络或应用多个工作分摊进行并同时完成,一般分为链路负载和应用负载 ( 服务器负载 )

功能:确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群,扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性

部署:旁路模式、网关模式、代理模式

旁路模式:通常使用负载均衡进行应用负载时,旁路部署在相关应用服务器交换机上,进行应用负载

网关模式:通常使用链路负载时,使用网关模式部署