（1）防火墻（ Firewall）

定義 : 相信大家都知道防火墻是干什么用的， 我覺(jué)得需要特別提醒一下，防火墻抵御的是外部的攻擊，并不能對內部的病毒 ( 如ARP病毒 ) 或攻擊沒(méi)什么太大作用。

功能 : 防火墻的功能主要是兩個(gè)網(wǎng)絡(luò )之間做邊界防護， 企業(yè)中更多使用的是企業(yè)內網(wǎng)與互聯(lián)網(wǎng)的 NAT、包過(guò)濾規則、端口映射等功能。生產(chǎn)網(wǎng)與辦公網(wǎng)中做邏輯隔離使用， 主要功能是包過(guò)濾規則的使用。

部署方式 : 網(wǎng)關(guān)模式、透明模式 : 

網(wǎng)關(guān)模式是現在用的最多的模式， 可以替代路由器并提供更多的功能，適用于各種類(lèi)型企業(yè)透明部署是在不改變現有網(wǎng)絡(luò )結構的情況下，將防火墻以透明網(wǎng)橋的模式串聯(lián)到企業(yè)的網(wǎng)絡(luò )中間， 通過(guò)包過(guò)濾規則進(jìn)行訪(fǎng)問(wèn)控制，做安全域的劃分。 至于什么時(shí)候使用網(wǎng)關(guān)模式或者使用透明模式， 需要根據自身需要決定， 沒(méi)有絕對的部署方式。需不需要將服務(wù)器部署在 DMZ區，取決于服務(wù)器的數量、 重要性。

總之怎么部署都是用戶(hù)自己的選擇！

高可用性 : 為了保證網(wǎng)絡(luò )可靠性， 現在設備都支持主 - 主、主- 備，等各種部署

（2）防毒墻

定義 : 相對于防火墻來(lái)說(shuō)，一般都具有防火墻的功能， 防御的對象更具有針對性，那就是病毒。

功能 : 同防火墻， 并增加病毒特征庫， 對數據進(jìn)行與病毒特征庫進(jìn)行比對，進(jìn)行查殺病毒。

部署方式 : 同防火墻，大多數時(shí)候使用透明模式部署在防火墻或路由器后或部署在服務(wù)器之前，進(jìn)行病毒防范與查殺

（3）入侵防御 (IPS)

定義 : 相對于防火墻來(lái)說(shuō)，一般都具有防火墻的功能，防御的對象更具有針對性， 那就是攻擊。 防火墻是通過(guò)對五元組進(jìn)行控制，達到包過(guò)濾的效果， 而入侵防御 IPS，則是將數據包進(jìn)行檢測 （深度包檢測 DPI）對蠕蟲(chóng)、病毒、木馬、拒絕服務(wù)等攻擊進(jìn)行查殺。

功能 : 同防火墻，并增加 IPS 特征庫，對攻擊行為進(jìn)行防御。

部署方式 : 同防毒墻。

特別說(shuō)明一下 : 防火墻允許符合規則的數據包進(jìn)行傳輸，對數據包中是否有病毒代碼或攻擊代碼并不進(jìn)行檢查， 而防毒墻和入侵防御則通過(guò)更深的對數據包的檢查彌補了這一點(diǎn)。

（4）統一威脅安全網(wǎng)關(guān) (UTM)

定義 : 簡(jiǎn)單的理解， 把威脅都統一了，其實(shí)就是把上面三個(gè)設備整合到一起了。

功能 : 同時(shí)具備防火墻、 防毒墻、入侵防護三個(gè)設備的功能。

部署方式 : 因為可以代替防火墻功能， 所以部署方式同防火墻

現在大多數廠(chǎng)商，防病毒和入侵防護已經(jīng)作為防火墻的模塊來(lái)用，在不考慮硬件性能以及費用的情況下， 開(kāi)啟了防病毒模塊和入侵防護模塊的防火墻，和UTM其實(shí)是一樣的。至于為什么網(wǎng)絡(luò )中同時(shí)會(huì )出現 UTM和防火墻、防病毒、入侵檢測同時(shí)出現。

第一，實(shí)際需要，在服務(wù)器區前部署防毒墻， 防護外網(wǎng)病毒的同時(shí)， 也可以檢測和防護內網(wǎng)用戶(hù)對服務(wù)器的攻擊。第二，花錢(qián)，大家都懂的�？傊�還是那句話(huà)，設備部署還是看用戶(hù)。

（5）IPSEC VPN

把 IPSEC VPN放到網(wǎng)絡(luò )安全防護里，其實(shí)是因為大多數情況下， IPSEC VPN的使用都是通過(guò)上述設備來(lái)做的，而且通過(guò)加密隧道訪(fǎng)問(wèn)網(wǎng)絡(luò )，本身也是對網(wǎng)絡(luò )的一種安全防護。

定義 : 采用 IPSec 協(xié)議來(lái)實(shí)現遠程接入的一種 VPN技術(shù)，至于什么是 IPSEC 什么是 VPN，小伙伴們請自行百度吧

功能 : 通過(guò)使用 IPSEC VPN使客戶(hù)端或一個(gè)網(wǎng)絡(luò )與另外一個(gè)網(wǎng)絡(luò )連接起來(lái)，多數用在分支機構與總部連接。

部署方式 : 網(wǎng)關(guān)模式、旁路模式

鑒于網(wǎng)關(guān)類(lèi)設備基本都具備 IPSEC VPN功能，所以很多情況下都是直接在網(wǎng)關(guān)設備上啟用 IPSEC VPN功能，也有個(gè)別情況新購買(mǎi)IPSEC VPN設備，在對現有網(wǎng)絡(luò )沒(méi)有影響的情況下進(jìn)行旁路部署，部署后需要對 IPSEC VPN設備放通安全規則，做端口映射等等。也可以使用 windows server 部署 VPN，需要的同學(xué)也請自行百度 ~相比硬件設備，自己部署沒(méi)有什么花費，但 IPSEC VPN受操作系統影響，相比硬件設備穩定性會(huì )差一些。

以上設備常見(jiàn)廠(chǎng)家 ( 不排名啊不排名 )

Juniper Check Point Fortinet （飛塔）思科 天融信 山石網(wǎng)科 啟明星辰 深信服 綠盟 網(wǎng)御星云 網(wǎng)御神州 華賽 梭子魚(yú) 迪普 H3C

1） 網(wǎng)閘

定義 : 全稱(chēng)安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種由帶有多種控制功能專(zhuān)用硬件在電路上切斷網(wǎng)絡(luò )之間的鏈路層連接， 并能夠在網(wǎng)絡(luò )間進(jìn)行安全適度的應用數據交換的網(wǎng)絡(luò )安全設備

功能 : 主要是在兩個(gè)網(wǎng)絡(luò )之間做隔離并需要數據交換，網(wǎng)閘是具有中國特色的產(chǎn)品。

部署方式 : 兩套網(wǎng)絡(luò )之間

防火一般在兩套網(wǎng)絡(luò )之間做邏輯隔離， 而網(wǎng)閘符合相關(guān)要求，可以做物理隔離，阻斷網(wǎng)絡(luò )中 tcp 等協(xié)議，使用私有協(xié)議進(jìn)行數據交換，一般企業(yè)用的比較少， 在對網(wǎng)絡(luò )要求稍微高一些的單位會(huì )用到網(wǎng)閘 .

（2） SSL VPN

定義 : 采用 SSL協(xié)議的一種 VPN技術(shù)，相比 IPSEC VPN使用起來(lái)要更加方便，畢竟 SSL VPN使用瀏覽器即可使用。

功能 : 隨著(zhù)移動(dòng)辦公的快速發(fā)展，SSL VPN的使用也越來(lái)越多，除了移動(dòng)辦公使用，通過(guò)瀏覽器登錄SSL VPN連接到其他網(wǎng)絡(luò )也十分方便， IPSEC VPN更傾向網(wǎng)絡(luò )接入，而 SSL VPN更傾向對應用發(fā)布

部署 :SSL VPN的部署一般采用旁路部署方式，在不改變用戶(hù)網(wǎng)絡(luò )的狀況下實(shí)現移動(dòng)辦公等功能。

（3） WAF (Web Application Firewall) web 應用防護系統

定義 : 名稱(chēng)就可以看出， WAF的防護方面是 web應用，說(shuō)白了防護的對象是網(wǎng)站及 B/S 結構的各類(lèi)系統。

功能 : 針對 HTTP/HTTPS協(xié)議進(jìn)行分析，對 SQL注入攻擊、XSS攻擊 Web攻擊進(jìn)行防護，并具備基于 URL 的訪(fǎng)問(wèn)控制； HTTP協(xié)議合規； Web敏感信息防護；文件上傳下載控制； Web 表單關(guān)鍵字過(guò)濾。網(wǎng)頁(yè)掛馬防護， Webshell 防護以及 web應用交付等功能。

部署 : 通常部署在 web應用服務(wù)器前進(jìn)行防護

IPS 也能檢測出部分web攻擊，但沒(méi)有WAF針對性強，所以根據防護對象不同選用不同設備，效果更好 。

（1）網(wǎng)絡(luò )安全審計

定義 : 審計網(wǎng)絡(luò )方面的相關(guān)內容

功能 : 針對互聯(lián)網(wǎng)行為提供有效的行為審計、 內容審計、 行為報警、行為控制及相關(guān)審計功能。 滿(mǎn)足用戶(hù)對互聯(lián)網(wǎng)行為審計備案及安全保護措施的要求，提供完整的上網(wǎng)記錄，便于信息追蹤、系統安全管理和風(fēng)險防范。

部署 : 采用旁路部署模式，通過(guò)在核心交換機上設置鏡像口，將鏡像數據發(fā)送到審計設備。

（2）數據庫安全審計

定義 : 數據庫安全審計系統主要用于監視并記錄對數據庫服務(wù)器的各類(lèi)操作行為。

功能 : 審計對數據庫的各類(lèi)操作，精確到每一條 SQL命令，并有強大的報表功能。

部署 : 采用旁路部署模式，通過(guò)在核心交換機上設置鏡像口，將鏡像數據發(fā)送到審計設備。

（3）日志審計

定義 : 集中采集信息系統中的系統安全事件、用戶(hù)訪(fǎng)問(wèn)記錄、系統運行日志、系統運行狀態(tài)等各類(lèi)信息，經(jīng)過(guò)規范化、過(guò)濾、歸并和告警分析等處理后， 以統一格式的日志形式進(jìn)行集中存儲和管理，結合豐富的日志統計匯總及關(guān)聯(lián)分析功能， 實(shí)現對信息系統日志的全面審計。

功能 : 通過(guò)對網(wǎng)絡(luò )設備、 安全設備、 主機和應用系統日志進(jìn)行全面的標準化處理，及時(shí)發(fā)現各種安全威脅、異常行為事件，為管理人員提供全局的視角，確�？蛻�(hù)業(yè)務(wù)的不間斷運營(yíng)安全部署 : 旁路模式部署。 通常由設備發(fā)送日志到審計設備， 或在服務(wù)器中安裝代理，由代理發(fā)送日志到審計設備。

（4）運維安全審計 ( 堡壘機 )

定義 : 在一個(gè)特定的網(wǎng)絡(luò )環(huán)境下， 為了保障網(wǎng)絡(luò )和數據不受來(lái)自?xún)炔亢戏ㄓ脩?hù)的不合規操作帶來(lái)的系統損壞和數據泄露， 而運用各種技術(shù)手段實(shí)時(shí)收集和監控網(wǎng)絡(luò )環(huán)境中每一個(gè)組成部分的系統狀態(tài)、安全事件、網(wǎng)絡(luò )活動(dòng)，以便集中報警、記錄、分析、處理的一種技術(shù)手段。

功能 : 主要是針對運維人員維護過(guò)程的全面跟蹤、 控制、記錄、回放，以幫助內控工作事前規劃預防、事中實(shí)時(shí)監控、違規行為響應、事后合規報告、事故追蹤回放。

部署 : 旁路模式部署。 使用防火墻對服務(wù)器訪(fǎng)問(wèn)權限進(jìn)行限制，只能通過(guò)堡壘機對網(wǎng)絡(luò )設備 / 服務(wù)器 / 數據庫等系統操作。

可以看出審計產(chǎn)品最終的目的都是審計，只不過(guò)是審計的內容不同而已， 根據不同需求選擇不同的審計產(chǎn)品， 一旦出現攻擊、非法操作、違規操作、誤操作等行為，對事后處理提供有利證據。

（5）入侵檢測（ IDS）

定義 : 對入侵攻擊行為進(jìn)行檢測

功能 : 通過(guò)對計算機網(wǎng)絡(luò )或計算機系統中若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析， 從中發(fā)現網(wǎng)絡(luò )或系統中是否有違反安全策略的行為和被攻擊的跡象

部署 : 采用旁路部署模式，通過(guò)在核心交換機上設置鏡像口，將鏡像數據發(fā)送到入侵檢測設備。

入侵檢測雖然是入侵攻擊行為檢測， 但監控的同時(shí)也對攻擊和異常數據進(jìn)行了審計，所以把入侵檢測系統也放到了審計里一起介紹。入侵檢測系統是等保三級中必配設備。

上網(wǎng)行為管理

定義 : 顧名思義，就是對上網(wǎng)行為進(jìn)行管理

功能 : 對上網(wǎng)用戶(hù)進(jìn)行流量管理、上網(wǎng)行為日志進(jìn)行審計、對應用軟件或站點(diǎn)進(jìn)行阻止或流量限制、關(guān)鍵字過(guò)濾等

部署 : 網(wǎng)關(guān)部署、透明部署、旁路部署

網(wǎng)關(guān)部署 : 中小型企業(yè)網(wǎng)絡(luò )較為簡(jiǎn)單，可使用上網(wǎng)行為管理作為網(wǎng)關(guān)， 代替路由器或防火墻并同時(shí)具備上網(wǎng)行為管理功能

透明部署 : 大多數情況下，企業(yè)會(huì )選擇透明部署模式，將設備部署在網(wǎng)關(guān)與核心交換之間，對上網(wǎng)數據進(jìn)行管理

旁路部署 : 僅需要上網(wǎng)行為管理審計功能時(shí)，也可選擇旁路部署模式， 在核心交換機上配置鏡像口將數據發(fā)送給上網(wǎng)行為管理

個(gè)人覺(jué)得上網(wǎng)行為管理應該屬于網(wǎng)絡(luò )優(yōu)化類(lèi)產(chǎn)品， 流控功能是最重要的功能，隨著(zhù)技術(shù)的發(fā)展，微信認證、防便攜式 wifi 等功能不斷完善使之成為了網(wǎng)絡(luò )管理員的最?lèi)?ài) ~

（2）負載均衡

定義 : 將網(wǎng)絡(luò )或應用多個(gè)工作分攤進(jìn)行并同時(shí)完成， 一般分為鏈路負載和應用負載 ( 服務(wù)器負載 ) 

功能 : 確保用戶(hù)的業(yè)務(wù)應用能夠快速、 安全、可靠地交付給內部員工和外部服務(wù)群 , 擴展網(wǎng)絡(luò )設備和服務(wù)器的帶寬、 增加吞吐量、加強網(wǎng)絡(luò )數據處理能力、提高網(wǎng)絡(luò )的靈活性和可用性

部署 : 旁路模式、網(wǎng)關(guān)模式、代理模式

旁路模式 : 通常使用負載均衡進(jìn)行應用負載時(shí)，旁路部署在相關(guān)應用服務(wù)器交換機上，進(jìn)行應用負載

網(wǎng)關(guān)模式 : 通常使用鏈路負載時(shí)，使用網(wǎng)關(guān)模式部署

隨著(zhù)各種業(yè)務(wù)的增加，負載均衡的使用也變得廣泛， web應用負載，數據庫負載都是比較常見(jiàn)的服務(wù)器負載。鑒于國內運營(yíng)商比較惡心，互聯(lián)互通問(wèn)題較為嚴重，使用鏈路負載的用戶(hù)也比越來(lái)越多。

（3）漏洞掃描

定義 : 漏洞掃描是指基于漏洞數據庫， 通過(guò)掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進(jìn)行檢測， 發(fā)現可利用的漏洞的一種安全檢測（滲透攻擊）行為。

功能 : 根據自身漏洞庫對目標進(jìn)行脆弱性檢測， 并生產(chǎn)相關(guān)報告，提供漏洞修復意見(jiàn)等。一般企業(yè)使用漏洞掃描較少，主要是大型網(wǎng)絡(luò )及等、分保檢測機構使用較多

部署 : 旁路部署， 通常旁路部署在核心交換機上， 與檢測目標網(wǎng)絡(luò )可達即可。

（4）異常流量清洗

定義 : 看名字吧

功能 : 對異常流量的牽引、 DDoS流量清洗、 P2P帶寬控制、流量回注，也是現有針對 DDOS攻擊防護的主要設備

部署 : 旁路部署

(一)VPN 定義

VPN （ Virtual Private Network ）虛擬專(zhuān)用網(wǎng)絡(luò ) ,簡(jiǎn)單的講就是因為一些特定的需求， 在網(wǎng)絡(luò )與網(wǎng)絡(luò )之間， 或終端與網(wǎng)絡(luò )之間建立虛擬的專(zhuān)用網(wǎng)絡(luò )，通過(guò)加密隧道進(jìn)行數據傳輸 ( 當然也有不加密的 ) ，因其部署方便且具有一定的安全保障，被廣泛運用到各個(gè)網(wǎng)絡(luò )環(huán)境中。

( 二)VPN分類(lèi)

常見(jiàn)的 VPN有 L2TP VPN 、PPTP、VPN、IPSEC、VPN、SSL、VPN以及 MPLS VPN。

MPLS 

VPN 運營(yíng)商使用較多，使用場(chǎng)景多為總部與分支機構之間。其他 VPN因部署方便，成本較低成為現在使用最為廣泛的 VPN。

L2TP VPN與 PPTP VPN因使用的隧道協(xié)議都屬于二層協(xié)議，所以也稱(chēng)為二層 VPN。IPSEC VPN則采用 IPSec 協(xié)議，屬于三層 VPN。

SSL VPN是以 HTTPS協(xié)議為基礎 VPN技術(shù)，使用維護簡(jiǎn)單安全，成為 VPN技術(shù)中的佼佼者

( 三)VPN部署與實(shí)現方式及應用場(chǎng)景介紹

1、 部署模式主要采用網(wǎng)關(guān)模式和旁路模式部署兩種，使用專(zhuān)業(yè)VPN硬件設備建立VPN時(shí)多為旁路部署模式， 對現有網(wǎng)絡(luò )不需要改動(dòng)， 即使 VPN設備出現問(wèn)題也不會(huì )影響現有網(wǎng)絡(luò )。使用防火墻 / 路由器自帶VPN功能建立 VPN時(shí), 隨其硬件部署模式部署。

2、 實(shí)現方式主要有以下幾種 : 

(1) 通過(guò)使用專(zhuān)業(yè) VPN軟件來(lái)建立 VPN 

優(yōu)點(diǎn) : 投入較少，部署比較靈活

缺點(diǎn) : 穩定性受服務(wù)器硬件、操作系統等因素影響

(2) 通過(guò)使用服務(wù)器自行架設 VPN服務(wù)器建立 VPN，windows 服務(wù)器為主

優(yōu)點(diǎn) : 投入較少，部署比較靈活， windows 系統自帶

缺點(diǎn) : 穩定性受服務(wù)器硬件、操作系統等因素影響，需自行配置

(3) 通過(guò)使用防火墻 / 路由器設備自帶 VPN功能建立 VPN。

優(yōu)點(diǎn) : 投入較少，穩定性好

缺點(diǎn) : 因使用現有設備自帶 VPN模塊，對 VPN訪(fǎng)問(wèn)量較大的需求不建議使用，以免出現設備性能不足影響防火墻 / 路由器使用。作為現有設備的自帶模塊，無(wú)法滿(mǎn)足用戶(hù)特殊要求。部署方式相對固定

(4) 通過(guò)使用專(zhuān)業(yè)的 VPN硬件設備建立 VPN。

優(yōu)點(diǎn) : 產(chǎn)品成熟適用于各種 VPN場(chǎng)景應用，功能強大，性能穩定。

缺點(diǎn) : 比較花錢(qián) ~~~~~硬件設備需要花錢(qián)， 用戶(hù)授權需要花錢(qián)， 反正啥都需要花錢(qián)

3、讓更多人糾結的應該是在何場(chǎng)景下選擇哪種方式來(lái)建立VPN，根據本人工作經(jīng)驗為大家介紹一些常見(jiàn)的 VPN應用場(chǎng)景。

場(chǎng)景一 總部與分支機構互聯(lián)

大型企業(yè)總部與分支結構通常使用 MPLS VPN進(jìn)行互聯(lián)，相對于大型企業(yè)中小型企業(yè)則選擇使用投入較低的 IPSEC VPN進(jìn)行互聯(lián)。

例如 : 某大型超配 ( 超市配送 ) 企業(yè)，總部與自營(yíng)大型超市之間使用MPLS VPN進(jìn)行數據傳輸，總部與自營(yíng)小型超市則使用 IPSEC VPN進(jìn)行數據傳輸。根據各超市數據傳輸需要選擇不同的 vpn 技術(shù)相結合使用，節約投入成本的同時(shí)最大限度的滿(mǎn)足與總部的數據傳輸。

場(chǎng)景二 移動(dòng)辦公

網(wǎng)管遠程維護設備、 員工訪(fǎng)問(wèn)內網(wǎng)資源、 老總出差電子簽批等移動(dòng)辦公已成為企業(yè)信息化建設的重要組成部分， 同時(shí)也為VPN市場(chǎng)帶來(lái)了巨大商機。 SSL VPN因其使用維護方便成為了移動(dòng)辦公的不二之選，打開(kāi)瀏覽器即可使用。在沒(méi)有 SSL VPN條件下，網(wǎng)管進(jìn)行設備遠程維護則通常使用 L2TP VPN或 PPTP VPN。

場(chǎng)景三 遠程應用發(fā)布

SSL VPN中的功能，主要針對需要安裝客戶(hù)端的 C/S服務(wù)訪(fǎng)問(wèn)需求，手機和平板因屏幕大小、鼠標、鍵盤(pán)使用等因素體驗感欠佳。特定場(chǎng)景下 PC訪(fǎng)問(wèn)效果較好。

例如 : 某公司財務(wù)部門(mén)對使用的財務(wù)軟件做遠程應用發(fā)布，其他用戶(hù)無(wú)需安裝財務(wù)軟件客戶(hù)端也可以方便使用。

場(chǎng)景四 手機 APP與 VPN結合

隨著(zhù)手機的普及，大家都希望通過(guò)手機能解決很多工作中的問(wèn)題， 手機 APP解決了遠程應用發(fā)布中存在的一些使用問(wèn)題， 但考慮到安全方面的問(wèn)題，用戶(hù)希望通過(guò)手機 APP與 VPN技術(shù)相結合，方便使用的同時(shí)也降低了安全風(fēng)險。

例如 : 某集團 OA手機 APP，直接通過(guò)互聯(lián)網(wǎng)地址映射訪(fǎng)問(wèn)存在一定安全隱患，配合 VPN技術(shù)使用，先將手機與集團建立 VPN隧道，再通過(guò)APP訪(fǎng)問(wèn)集團內部 OA APP服務(wù)器。

最后做一個(gè)的總結 : 究竟使用哪一種 VPN技術(shù)來(lái)滿(mǎn)足用戶(hù)的需求，還是要根據用戶(hù)業(yè)務(wù)需求來(lái)考慮， 所以希望大家要對相關(guān)業(yè)務(wù)有一個(gè)初步的了解， 對癥下藥。 還有一些如 VPDN、DMVPN等內容沒(méi)有做介紹，主要是使用相對較少。