常见网络安全设备的作用
路由器
层次:网络层
连通不同的网络,实现不同网络之间的互联,同时还可以隔离广播域(相当于网关);
路由器可以连接不同介质的链路(网线、无线、光纤等网络介质);
路由器能够选择信息传输送的路线,对报文执行寻找和转发操作,同时交换和维护路由表中的路由信息(OSPF)。
交换机
层次:数据链路层
为接入交换机的任意两个网络节点提供独享的电信号通路。能够连接同种类型的网络之外,还可以在不同类型的网络(如以太网和快速以太网)之间起到互连作用。
交换机内部维护了一个MAC地址与端口的关系表,通过该表以及目的MAC确定目的端口,如果目的MAC对应的端口不存在,则广播至所有端口,接收端口响应后更新MAC地址与端口的关系表
防火墙
层次:网络层
防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
WAF(Web应用防火墙)
层次:应用层
WAF是一种基础的安全保护模块,通过特征提取和分块检索技术进行特征匹配,主要针对 HTTP访问的Web程序保护。
WAF部署在Web应用程序前面,在用户请求到达 Web 服务器前对用户请求进行扫描和过滤,分析并校验每个用户请求的网络包,确保每个用户请求有效且安全,对无效或有攻击行为的请求进行阻断或隔离。
通过检查HTTP流量,可以防止源自Web应用程序的安全漏洞(如SQL注入,跨站脚本(XSS),文件包含和安全配置错误)的攻击。
与传统防火墙的区别
WAF区别于常规防火墙,因为WAF能够过滤特定Web应用程序的内容,而常规防火墙则充当服务器之间的安全门。
IDS(入侵检测系统)
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
此类产品基本上以旁路为主,一般是不阻断任何网络访问,主要以提供报告和事后监督为主。
位置通常是:
服务器区域的交换机上 ;
Internet接入路由器之后的第一台交换机上 ;
重点保护网段的局域网交换机上 。
IPS(入侵预防系统)
入侵预防系统(英语:Intrusion Prevention System,缩写为IPS),又称为入侵侦测与预防系统(intrusion detection and prevention systems,缩写为IDPS),是计算机网络安全设施,是对防病毒软件(Antivirus Softwares)和防火墙的补充。
入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。
此类产品常被串接在主干路上,对内外网异常流量进行监控处理
该博主总结的全面且细致,推荐!