網絡安全防護知識大全（乾貨分享網絡安全等級保護網絡設備）

2023-10-18 17:45:23 5

導讀：之前推薦過一篇等級保護安全設備配置方案，那麼，這些安全設備都是什麼樣的設備呢？有什麼功能？如何部署？給大家推薦這篇安全設備知識點匯總。

本文主要內容：

防火牆、防毒牆、入侵防禦、統一安全威脅網關UTMIPSEC VPN、網閘、SSL VPN、WAF網絡安全審計、資料庫安全審計、日誌審計、運維安全審計（堡壘機）入侵檢測（IDS）、上網行為管理、負載均衡漏洞掃描、異常流量清洗、VPN

1、防火牆（ Firewall）

定義:相信大家都知道防火牆是幹什麼用的，我覺得需要特別提醒一下，防火牆抵禦的是外部的攻擊，並不能對內部的病毒 ( 如ARP病毒 ) 或攻擊有什麼太大作用。

功能:防火牆的功能主要是兩個網絡之間做邊界防護，企業中更多使用的是企業內網與網際網路的NAT、包過濾規則、埠映射等功能。生產網與辦公網中做邏輯隔離使用，主要功能是包過濾規則的使用。

部署方式:網關模式、透明模式：

網關模式是現在用的最多的模式，可以替代路由器並提供更多的功能，適用於各種類型企業透明部署是在不改變現有網絡結構的情況下，將防火牆以透明網橋的模式串聯到企業的網絡中間，通過包過濾規則進行訪問控制，做安全域的劃分。

至於什麼時候使用網關模式或者使用透明模式，需要根據自身需要決定，沒有絕對的部署方式。需不需要將伺服器部署在 DMZ區，取決於伺服器的數量、重要性。

總之怎麼部署都是用戶自己的選擇！

高可用性:為了保證網絡可靠性，現在設備都支持主 - 主、主- 備，等各種部署。

2、防毒牆

定義:相對於防毒牆來說，一般都具有防火牆的功能，防禦的對象更具有針對性，那就是病毒。

功能:同防火牆，並增加病毒特徵庫，對數據進行與病毒特徵庫進行比對，進行查殺病毒。

部署方式:同防火牆，大多數時候使用透明模式部署在防火牆或路由器後或部署在伺服器之前，進行病毒防範與查殺。

3、入侵防禦 (IPS)

定義:相對於防火牆來說，一般都具有防火牆的功能，防禦的對象更具有針對性， 那就是攻擊。

防火牆是通過對五元組進行控制，達到包過濾的效果，而入侵防禦 IPS，則是將數據包進行檢測 （深度包檢測 DPI）對蠕蟲、病毒、木馬、拒絕服務等攻擊進行查殺。

功能:同防火牆，並增加 IPS 特徵庫，對攻擊行為進行防禦。

部署方式:同防毒牆。

特別說明一下:防火牆允許符合規則的數據包進行傳輸，對數據包中是否有病毒代碼或攻擊代碼並不進行檢查，而防毒牆和入侵防禦則通過更深的對數據包的檢查彌補了這一點。

4、統一威脅安全網關 (UTM)

定義:簡單的理解，把威脅都統一了，其實就是把上面三個設備整合到一起了。

功能:同時具備防火牆、防毒牆、入侵防護三個設備的功能。

部署方式:因為可以代替防火牆功能，所以部署方式同防火牆

現在大多數廠商，防病毒和入侵防護已經作為防火牆的模塊來用，在不考慮硬體性能以及費用的情況下，開啟了防病毒模塊和入侵防護模塊的防火牆，和UTM其實是一樣的。至於為什麼網絡中同時會出現 UTM和防火牆、防病毒、入侵檢測同時出現。

第一，實際需要，在伺服器區前部署防毒牆， 防護外網病毒的同時，也可以檢測和防護內網用戶對伺服器的攻擊。

第二，花錢，大家都懂的。

總之還是那句話，設備部署還是看用戶。

5、IPSEC VPN

把 IPSECVPN放到網絡安全防護裡，其實是因為大多數情況下， IPSEC VPN的使用都是通過上述設備來做的，而且通過加密隧道訪問網絡，本身也是對網絡的一種安全防護。

定義:採用 IPSec 協議來實現遠程接入的一種 VPN技術，至於什麼是 IPSEC 什麼是 VPN，小夥伴們請自行百度吧。

功能:通過使用 IPSECVPN使客戶端或一個網絡與另外一個網絡連接起來，多數用在分支機構與總部連接。

部署方式:網關模式、旁路模式

鑑於網關類設備基本都具備 IPSECVPN功能，所以很多情況下都是直接在網關設備上啟用 IPSEC VPN功能，也有個別情況新購買IPSEC VPN設備，在對現有網絡沒有影響的情況下進行旁路部署，部署後需要對IPSECVPN設備放通安全規則，做埠映射等等。

也可以使用 windows server 部署 VPN，需要的同學也請自行百度，相比硬體設備，自己部署沒有什麼花費，但 IPSECVPN受作業系統影響，相比硬體設備穩定性會差一些。

以上設備常見廠家( 不排名啊不排名 )

JuniperCheck Point Fortinet （飛塔）思科 天融信 山石網科 啟明星辰 深信服 綠盟網御星雲 網御神州 華賽 梭子魚 迪普H3C

6、網閘

定義:全稱安全隔離網閘。安全隔離網閘是一種由帶有多種控制功能專用硬體在電路上切斷網絡之間的鏈路層連接， 並能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。

功能:主要是在兩個網絡之間做隔離並需要數據交換，網閘是具有中國特色的產品。

部署方式:兩套網絡之間

防火一般在兩套網絡之間做邏輯隔離，而網閘符合相關要求，可以做物理隔離，阻斷網絡中 tcp 等協議，使用私有協議進行數據交換，一般企業用的比較少，在對網絡要求稍微高一些的單位會用到網閘。

7、SSL VPN

定義:採用 SSL協議的一種 VPN技術，相比 IPSEC VPN使用起來要更加方便，畢竟 SSL VPN使用瀏覽器即可使用。

功能:隨著移動辦公的快速發展，SSL VPN的使用也越來越多，除了移動辦公使用，通過瀏覽器登錄SSLVPN連接到其他網絡也十分方便， IPSEC VPN更傾向網絡接入，而 SSL VPN更傾向對應用發布。

部署:SSL VPN的部署一般採用旁路部署方式，在不改變用戶網絡的狀況下實現移動辦公等功能。

8、WAF (Web Application Firewall) web 應用防護系統

定義:名稱就可以看出，WAF的防護方面是 web應用，說白了防護的對象是網站及 B/S 結構的各類系統。

功能:針對 HTTP/HTTPS協議進行分析，對 SQL注入攻擊、XSS攻擊 Web攻擊進行防護，並具備基於 URL 的訪問控制； HTTP協議合規；Web敏感信息防護；文件上傳下載控制；Web 表單關鍵字過濾。網頁掛馬防護，Webshell 防護以及 web應用交付等功能。

部署:通常部署在 web應用伺服器前進行防護IPS也能檢測出部分web攻擊，但沒有WAF針對性強，所以根據防護對象不同選用不同設備，效果更好。

9、網絡安全審計

定義:審計網絡方面的相關內容。

功能:針對網際網路行為提供有效的行為審計、內容審計、行為報警、行為控制及相關審計功能。

滿足用戶對網際網路行為審計備案及安全保護措施的要求，提供完整的上網記錄，便於信息追蹤、系統安全管理和風險防範。

部署:採用旁路部署模式，通過在核心交換機上設置鏡像口，將鏡像數據發送到審計設備。

10、資料庫安全審計

定義:資料庫安全審計系統主要用於監視並記錄對資料庫伺服器的各類操作行為。

功能:審計對資料庫的各類操作，精確到每一條 SQL命令，並有強大的報表功能。

部署:採用旁路部署模式，通過在核心交換機上設置鏡像口，將鏡像數據發送到審計設備。

11、日誌審計

定義:集中採集信息系統中的系統安全事件、用戶訪問記錄、系統運行日誌、系統運行狀態等各類信息，經過規範化、過濾、歸併和告警分析等處理後，以統一格式的日誌形式進行集中存儲和管理，結合豐富的日誌統計匯總及關聯分析功能，實現對信息系統日誌的全面審計。

功能:通過對網絡設備、安全設備、主機和應用系統日誌進行全面的標準化處理，及時發現各種安全威脅、異常行為事件，為管理人員提供全局的視角，確保客戶業務的不間斷運營安全部署：旁路模式部署。通常由設備發送日誌到審計設備，或在伺服器中安裝代理，由代理髮送日誌到審計設備。

12

運維安全審計 ( 堡壘機 )

定義:在一個特定的網絡環境下， 為了保障網絡和數據不受來自內部合法用戶的不合規操作帶來的系統損壞和數據洩露，而運用各種技術手段實時收集和監控網絡環境中每一個組成部分的系統狀態、安全事件、網絡活動，以便集中報警、記錄、分析、處理的一種技術手段。

功能:主要是針對運維人員維護過程的全面跟蹤、 控制、記錄、回放，以幫助內控工作事前規劃預防、事中實時監控、違規行為響應、事後合規報告、事故追蹤回放。

部署:旁路模式部署。使用防火牆對伺服器訪問權限進行限制，只能通過堡壘機對網絡設備/伺服器/資料庫等系統操作。

可以看出審計產品最終的目的都是審計，只不過是審計的內容不同而已，根據不同需求選擇不同的審計產品，一旦出現攻擊、非法操作、違規操作、誤操作等行為，對事後處理提供有利證據。

13、入侵檢測（ IDS）

定義:對入侵攻擊行為進行檢測

功能:通過對計算機網絡或計算機系統中若干關鍵點收集信息並對其進行分析， 從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象

部署:採用旁路部署模式，通過在核心交換機上設置鏡像口，將鏡像數據發送到入侵檢測設備。

入侵檢測雖然是入侵攻擊行為檢測， 但監控的同時也對攻擊和異常數據進行了審計，所以把入侵檢測系統也放到了審計裡一起介紹。

入侵檢測系統是等保三級中必配設備。

14、上網行為管理

定義:顧名思義，就是對上網行為進行管理

功能:對上網用戶進行流量管理、上網行為日誌進行審計、對應用軟體或站點進行阻止或流量限制、關鍵字過濾等

部署:網關部署、透明部署、旁路部署

網關部署:中小型企業網絡較為簡單，可使用上網行為管理作為網關，代替路由器或防火牆並同時具備上網行為管理功能

透明部署:大多數情況下，企業會選擇透明部署模式，將設備部署在網關與核心交換之間，對上網數據進行管理

旁路部署:僅需要上網行為管理審計功能時，也可選擇旁路部署模式，在核心交換機上配置鏡像口將數據發送給上網行為管理

個人覺得上網行為管理應該屬於網絡優化類產品，流控功能是最重要的功能，隨著技術的發展，微信認證、防可攜式 wifi 等功能不斷完善使之成為了網絡管理員的最愛 ~

15、負載均衡

定義:將網絡或應用多個工作分攤進行並同時完成，一般分為鏈路負載和應用負載 ( 伺服器負載 )

功能:確保用戶的業務應用能夠快速、安全、可靠地交付給內部員工和外部服務群,擴展網絡設備和伺服器的帶寬、增加吞吐量、加強網絡數據處理能力、提高網絡的靈活性和可用性

部署:旁路模式、網關模式、代理模式

旁路模式:通常使用負載均衡進行應用負載時，旁路部署在相關應用伺服器交換機上，進行應用負載

網關模式:通常使用鏈路負載時，使用網關模式部署

隨著各種業務的增加，負載均衡的使用也變得廣泛， web應用負載，資料庫負載都是比較常見的伺服器負載。鑑於國內運營商比較噁心，互聯互通問題較為嚴重，使用鏈路負載的用戶也比越來越多。

16、漏洞掃描

定義:漏洞掃描是指基於漏洞資料庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用的漏洞的一種安全檢測（滲透攻擊）行為。

功能:根據自身漏洞庫對目標進行脆弱性檢測，並生產相關報告，提供漏洞修復意見等。一般企業使用漏洞掃描較少，主要是大型網絡及等、分保檢測機構使用較多。

部署:旁路部署， 通常旁路部署在核心交換機上， 與檢測目標網絡可達即可。

17、異常流量清洗

定義:看名字吧

功能:對異常流量的牽引、 DDoS流量清洗、 P2P帶寬控制、流量回注，也是現有針對 DDOS攻擊防護的主要設備

部署:旁路部署

18、VPN

定義：VPN （ Virtual Private Network ）虛擬專用網絡 ,簡單的講就是因為一些特定的需求， 在網絡與網絡之間，或終端與網絡之間建立虛擬的專用網絡，通過加密隧道進行數據傳輸 ( 當然也有不加密的 ) ，因其部署方便且具有一定的安全保障，被廣泛運用到各個網絡環境中。

VPN分類

常見的VPN有L2TP VPN 、PPTP VPN、IPSEC、VPN、SSL、VPN以及 MPLS VPN。

MPLS VPN運營商使用較多，使用場景多為總部與分支機構之間。其他VPN因部署方便，成本較低成為現在使用最為廣泛的VPN。

L2TP VPN與 PPTP VPN因使用的隧道協議都屬於二層協議，所以也稱為二層 VPN。IPSEC VPN則採用IPSec 協議，屬於三層VPN。

SSLVPN是以 HTTPS協議為基礎 VPN技術，使用維護簡單安全，成為 VPN技術中的佼佼者

VPN部署與實現方式及應用場景介紹

1、部署模式主要採用網關模式和旁路模式部署兩種，使用專業VPN硬體設備建立VPN時多為旁路部署模式， 對現有網絡不需要改動， 即使 VPN設備出現問題也不會影響現有網絡。使用防火牆 / 路由器自帶VPN功能建立 VPN時, 隨其硬體部署模式部署。

2、實現方式主要有以下幾種 :

(1) 通過使用專業 VPN軟體來建立VPN

優點 : 投入較少，部署比較靈活

缺點 : 穩定性受伺服器硬體、作業系統等因素影響

(2) 通過使用伺服器自行架設 VPN伺服器建立 VPN，windows 伺服器為主

優點 : 投入較少，部署比較靈活， windows 系統自帶

缺點 : 穩定性受伺服器硬體、作業系統等因素影響，需自行配置

(3) 通過使用防火牆 / 路由器設備自帶 VPN功能建立 VPN。

優點 : 投入較少，穩定性好

缺點 : 因使用現有設備自帶 VPN模塊，對 VPN訪問量較大的需求不建議使用，以免出現設備性能不足影響防火牆 / 路由器使用。作為現有設備的自帶模塊，無法滿足用戶特殊要求。部署方式相對固定

(4) 通過使用專業的 VPN硬體設備建立 VPN。

優點 : 產品成熟適用於各種 VPN場景應用，功能強大，性能穩定。

缺點 : 比較花錢 ~~~~~硬體設備需要花錢， 用戶授權需要花錢， 反正啥都需要花錢

3、讓更多人糾結的應該是在何場景下選擇哪種方式來建立VPN，根據本人工作經驗為大家介紹一些常見的 VPN應用場景。

場景一 總部與分支機構互聯

大型企業總部與分支結構通常使用 MPLS VPN進行互聯，相對於大型企業中小型企業則選擇使用投入較低的 IPSECVPN進行互聯。

例如 : 某大型超配 ( 超市配送 ) 企業，總部與自營大型超市之間使用MPLS VPN進行數據傳輸，總部與自營小型超市則使用 IPSEC VPN進行數據傳輸。根據各超市數據傳輸需要選擇不同的 vpn 技術相結合使用，節約投入成本的同時最大限度的滿足與總部的數據傳輸。

場景二 移動辦公

網管遠程維護設備、 員工訪問內網資源、 老總出差電子籤批等移動辦公已成為企業信息化建設的重要組成部分，同時也為VPN市場帶來了巨大商機。 SSL VPN因其使用維護方便成為了移動辦公的不二之選，打開瀏覽器即可使用。在沒有 SSLVPN條件下，網管進行設備遠程維護則通常使用 L2TP VPN或 PPTP VPN。

場景三 遠程應用發布

SSLVPN中的功能，主要針對需要安裝客戶端的 C/S服務訪問需求，手機和平板因屏幕大小、滑鼠、鍵盤使用等因素體驗感欠佳。特定場景下 PC訪問效果較好。

例如 : 某公司財務部門對使用的財務軟體做遠程應用發布，其他用戶無需安裝財務軟體客戶端也可以方便使用。

場景四 手機APP與 VPN結合

隨著手機的普及，大家都希望通過手機能解決很多工作中的問題，手機 APP解決了遠程應用發布中存在的一些使用問題， 但考慮到安全方面的問題，用戶希望通過手機 APP與 VPN技術相結合，方便使用的同時也降低了安全風險。

例如 : 某集團 OA手機 APP，直接通過網際網路地址映射訪問存在一定安全隱患，配合 VPN技術使用，先將手機與集團建立 VPN隧道，再通過APP訪問集團內部 OA APP伺服器。

最後做一個的總結 : 究竟使用哪一種 VPN技術來滿足用戶的需求，還是要根據用戶業務需求來考慮，所以希望大家要對相關業務有一個初步的了解， 對症下藥。 還有一些如 VPDN、DMVPN等內容沒有。

關注安徽思恆信息科技有限公司,了解更多技術內容……

,