一、Firewall（防火墙）

　　1.1、定义：是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

　　1.2、主要功能：1.过滤进、出网络的数据  2.防止不安全的协议和服务 3.管理进、出网络的访问行为  4.记录通过防火墙的信息内容 5.对网络攻击进行检测与警告  6.防止外部对内部网络信息的获取  7.提供与外部连接的集中管理

　　1.3、主要类型：

　　　　（1）网络层防火墙  基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包，其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。 

　　　　（2）应用层防火墙  针对特别的网络应用服务协议即数据过滤协议，并且能够对数据包分析并形成相关的报告。

　　1.4、主动被动

　　传统防火墙是主动安全的概念，因为默认情况下是关闭所有的访问，然后再通过定制策略去开放允许开放的访问。

　　1.5、下一代防火墙（NGFW）

　　主要是应对应用层威胁的高性能防火墙。可以做到智能化主动防御、应用层数据防泄漏、应用层洞察与控制、威胁防护等特性。  下一代防火墙在一台设备里面集成了传统防火墙、IPS、应用识别、内容过滤等功能既降低了整体网络安全系统的采购投入，又减去了多台设备接入网络带来的部署成本，还通过应用识别和用户管理等技术降低了管理人员的维护和管理成本。

　　1.6、使用方式

　　防火墙部署于单位或企业内部网络的出口位置。

　　1.7、局限性：1.不能防止源于内部的攻击，不提供对内部的保护 2.不能防病毒 3.不能根据网络被恶意使用和攻击的情况动态调整自己的策略 4.本身的防攻击能力不够，容易成为被攻击的首要目标

 

二、IDS（入侵检测系统）

　　2.1、定义：通过从网络系统中的若干关键节点收集并分析信息，监控网络中是否有违反安全策略的行为或者是否存在入侵行为。入侵 检测系统通常包含3个必要的功能组件：信息来源、分析引擎和响应组件。

　　2.2、工作原理

　　　　（1）信息收集收集包括收集系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自：系统和网络日志文件、非正常的目录和文件改变、非正常的程序执行这三个方面。

　　　　（2）信号分析对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，是通过模式匹配、统计分析和完整性分析这三种手段进行分析的。前两种用于实时入侵检测，完整性分析用于事后分析。

　　　　（3）告警与响应根据入侵性质和类型，做出相应的告警与响应。

　　2.3、主要功能

　　它能够提供安全审计、监视、攻击识别和反攻击等多项功能，对内部攻击、外部攻击和误操作进行实时监控，在网络安全技术中起到了不可替代的作用。

　　　　2.3.1、实时监测：实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文。

　　　　2.3.2、安全审计：对系统记录的网络事件进行统计分析，发现异常现象，得出系统的安全状态，找出所需要的证据。

　　　　2.3.3、主动响应：主动切断连接或与防火墙联动，调用其他程序处理。

　　2.4、主要类型

　　　　2.4.1、基于主机的入侵检测系统(HIDS)：基于主机的入侵检测系统是早期的入侵检测系统结构，通常是软件型的，直接安装在需要保护的主机上。其检测的目标主要是主机系统和系统本地用户，检测原理是根据主机的审计数据和系统日志发现可疑事件。这种检测方式的优点主要有：信息更详细、误报率要低、部署灵活。这种方式的缺点主要有：会降低应用系统的性能；依赖于服务器原有的日志与监视能力；代价较大；不能对网络进行监测；需安装多个针对不同系统的检测系统。

　　　　2.4.2、基于网络的入侵检测系统(NIDS)：基于网络的入侵检测方式是目前一种比较主流的监测方式，这类检测系统需要有一台专门的检测设备。检测设备放置在比较重要的网段内，不停地监视网段中的各种数据包，它对所监测的网络上每一个数据包或可疑的数据包进行特征分析，如果数据包与产品内置的某些规则吻合，入侵检测系统就会发出警报，甚至直接切断网络连接。这种检测技术的优点主要有：能够检测那些来自网络的攻击和超过授权的非法访问，不需要改变服务器等主机的配置，也不会影响主机性能，风险低配置简单。其缺点主要是：成本高、检测范围受局限；大量计算，影响系统性能；大量分析数据流，影响系统性能；对加密的会话过程处理较难；网络流速高时可能会丢失许多封包，容易让入侵者有机可乘；无法检测加密的封包；对于直接对主机的入侵无法检测出。

　　2.5 、主动被动

　　入侵检测系统是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。绝大多数IDS系统都是被动的,也就是说，在攻击实际发生之前，它们往往无法预先发出警报。

　　2.6、使用方式

　　作为防火墙后的第二道防线，适合以旁路接入方式部署在具有重要业务系统或内部网络安全性、保密性较高的网络出口处。

　　2.7、局限性

　　　　（1）误报率高：主要表现为把良性流量误认为恶性流量进行误报，还有些IDS产品会对用户不关心事件的进行误报。

　　　　（2）产品适应能力差：传统的IDS产品在开发时没有考虑特定网络环境下的需求，适应能力差。入侵检测产品要能适应当前网络技术和设备的发展进行动态调整，以适应不同环境的需求。

　　　　（3）大型网络管理能力差：首先，要确保新的产品体系结构能够支持数 以百计的IDS传感器；其次，要能够处理传感器产生的告警事件；最后还要解决攻击特征库的建立，配置以及更新问题。

　　　　（4）缺少防御功能：大多数IDS产品缺乏主动防御功能。

　　　　（5）处理性能差：目前的百兆、千兆IDS产品性能指标与实际要求还存在很大的差距。

 

三、IPS（入侵防御系统）

　　3.1、定义：能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

　　3.2、主要功能

　　　　（1）入侵防护：实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、Dos等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。

　　　　（2）Web安全：基于互联网Web站点的挂马检测结果，结合URL信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵害，及时、有效地第一时间拦截Web威胁。

　　　　（3）流量控制：阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业IT产出率和收益率。

　　　　（4）上网监管：全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频，以及在线炒股等网络行为，协助企业辨识和限制非授权网络流量，更好地执行企业的安全策略。

　　3.3、技术特征

　　　　（1）嵌入式运行：只有以嵌入模式运行的 IPS设备才能够实现实时的安全防护，实时阻拦所有可疑的数据包，并对该数据流的剩余部分进行拦截。

　　　　（2）深入分析和控制：IPS必须具有深入分析能力，以确定哪些恶意流量已经被拦截，根据攻击类型、策略等来确定哪些流量应该被拦截。

　　　　（3）入侵特征库：高质量的入侵特征库是IPS高效运行的必要条件，IPS还应该定期升级入侵特征库，并快速应用到所有传感器。

　　　　（4）高效处理能力：IPS必须具有高效处理数据包的能力，对整个网络性能的影响保持在最低水平。

　　3.3、主要类型

　　　　（1）基于特征的IPS：这是许多IPS解决方案中最常用的方法。把特征添加到设备中，可识别当前最常见的攻击。也被称为模式匹配IPS。特征库可以添加、调整和更新，以应对新的攻击。

　　　　（2）基于异常的IPS：也被称为基于行规的IPS。基于异常的方法可以用统计异常检测和非统计异常检测。

　　　　（3）基于策略的IPS：它更关心的是是否执行组织的安保策略。如果检测的活动违反了组织的安保策略就触发报警。使用这种方法的IPS，要把安全策略写入设备之中。

　　　　（4）基于协议分析的IPS：它与基于特征的方法类似。大多数情况检查常见的特征，但基于协议分析的方法可以做更深入的数据包检查，能更灵活地发现某些类型的攻击。

　　3.4、主动被动

　　IPS倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。

　　3.5、使用方式

　　串联部署在具有重要业务系统或内部网络安全性、保密性较高的网络出口处。

 

四、WAF（Web应用防火墙）

　　4.1、 定义： 通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一种设备。

　　4.2、产生背景

　　当WEB应用越来越为丰富的同时，WEB 服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件，频繁发生。企业等用户一般采用防火墙作为安全保障体系的第一道防线。但是，在现实中，他们存在这样那样的问题，由此产生了WAF（Web应用防护系统）。与传统防火墙不同，WAF工作在应用层，基于对Web应用业务和逻辑的深刻理解，WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。

　　4.3、主要功能

　　（1）审计设备：用来截获所以HTTP数据或者仅仅满足某些规则的会话。

　　（2）访问控制设备：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式。

　　（3）架构/网络设计工具：当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。

　　（4）WEB应用加固工具：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且 能够保护WEB应用编程错误导致的安全隐患。主要包括防攻击、防漏洞、防暗链、防爬虫、防挂马、抗DDos等

　　4.4、使用方式

　　与IPS设备部署方式类似，以串联部署在web服务器等关键设备的网络出口处。

 

五、安全审计系统

　　5.1、定义：网络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督，预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。

　　5.2、主要类型：根据被审计的对象（主机、设备、网络、数据库、业务、终端、用户）划分，安全审计可以分为：

　　　　（1）主机审计：审计针对主机的各种操作和行为。

　　　　（2）设备审计：对网络设备、安全设备等各种设备的操作和行为进行审计网络审计：对网络中各种访问、操作的审计，例如telnet操作、FTP 操作，等等。

　　　　（3）数据库审计：对数据库行为和操作、甚至操作的内容进行审计业务审计：对业务操作、行为、内容的审计。

　　　　（4）终端审计：对终端设备（PC、打印机）等的操作和行为进行审计，包括预配置审计。

　　　　（5）用户行为审计：对企业和组织的人进行审计，包括上网行为审计、运维操作审计有的审计产品针对上述一种对象进行审计，还有的产品综合上述多种审计对象。

　　5.3、主要功能

　　　　（1）采集多种类型的日志数据，防火墙系统日志，入侵检测系统日志，网络交换及路由设备的日志，各种服务和应用系统日志。

　　　　（2）日志管理多种日志格式的统一管理。自动将其收集到的各种日志格式转换为统一的日志格式，便于对各种复杂日志信息的统一管理与处理。

　　　　（3）日志查询支持以多种方式查询网络中的日志记录信息，以报表的形式显示。

　　　　（4）入侵检测使用多种内置的相关性规则，对分布在网络中的设备产生的日志及报警信息进行相关性分析，从而检测出单个系统难以发现的安全事件。

　　　　（5）自动生成安全分析报告根据日志数据库记录的日志数据，分析网络或系统的安全性，并输出安全性分析报告。报告的输出可以根据预先定义的条件自动地产生、提交给管理员。

　　　　（6）网络状态实时监视可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。

　　　　（7）事件响应机制当审计系统检测到安全事件时候，可以采用相关的响应方式报警。

　　　　（8）集中管理审计系统通过提供一个统一的集中管理平台，实现对日志代理、安全审计中心、日志数据库的集中管理。

　　5.4、使用方式

　　　　安全审计产品在网络中的部署方式主要为旁路部署。

 

六、漏洞扫描设备

　　6.1、定义：基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。

　　6.2 主要功能：

　　可以对网站、系统、数据库、端口、应用软件等一些网络设备应用进行智能识别扫描检测，并对其检测出的漏洞进行报警提示管理人员进行修复，同时可以对漏洞修复情况进行监督并自动定时对漏洞进行审计提高漏洞修复效率。

　　（1）定期的网络安全自我检测、评估安全检测可帮助客户最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，有效的利用已有系统，提高网络的运行效率。

　　（2）安装新软件、启动新服务后的检查由于漏洞和安全隐患的形式多种多样，安装新软件和启动新服务都有可能使原来隐藏的漏洞暴露出来，因此进行这些操作之后应该重新扫描系统，才能使安全得到保障。

　　（3）网络承担重要任务前的安全性测试