常见安全设备总结(IDS、IPS、上网行为管理、网闸、漏扫、日志审计、数据库审计、堡垒机等)

---

一、网络结构

首先，绘制了最简易三层网络拓扑结构(含内外网)。现无任何安全设备，介绍每一类设备，常用功能、部署方式，同时绘入现有拓扑中，展示种产品在网络中最常规位置。

部署方式尤其重要，通常需对网络进行控制设备串行、审计类设备旁挂，串行时设备故障可能产生网络故障；而旁挂设备只影响自身功能

二、防火墙、IPS

1.防火墙

串行设备
网络边界间的隔离和对网络中数据交互的控制。在典型的网络环境中的主要作用是防范外部网络（如internet）对内部网络（如内部办公局域网）的非法访问行为和恶意攻击行为等安全威胁，防火墙最基础的功能是策略控制流入流出IP及端口、nat、端口映射。防火墙定义也较为模糊，多带有集成功能，目前，世面上购买的防火墙大多也带有IPS功能或服务（兼顾功能）

2.IPS

串行设备
防御网络中的攻击和入侵等行为的网关型安全设备，在安全功能上是对防火墙的一个补充， 它能够比防火墙更深入的对数据进行检测和控制，进而提升网络对于入侵攻击等威胁的防范水平。本质是增强入侵行为库，检测出后自动进行防御

补充：防病毒网关(针对病毒防护)与防火墙关系类似防火墙与IPS

三、上网行为管理、网闸

1.上网行为管理

串行设备|汇聚
全面管理每一位用户的上网行为，可以对用户的上网操作进行阻断、放行、记录、提醒等管控，保证上网行为的合法性、健康性和有序性。另外，在流量管理方面可以针对当前总体带宽调整每位用户的动态带宽，

2.网闸

串行设备
网闸又叫信息交换与安全隔离系统，用以实现不同安全级别网络之间的安全隔离，并提供适度可控的数据交换的软硬件系统，在网络隔离级别上高于防火墙。它一般由内网主机、外网主机和隔离硬件的“2+1”架构组成，能够创建一个内、外网物理连接但逻辑隔离的网络环境。

补充：WAF，串行设备，保障web服务器安全
补充：光闸是防护等级更高的网闸，从物理层面隔离传输，单向传输，通常两个为一组部署

四、日志审计、数据库审计、IDS、漏洞扫描

1.日志审计

旁挂设备
日志审计通过收集存储网络上所有软硬件设备产生的日志、审计信息，根据策略进行存储，为事后取证提供依据。对所收集的信息进行汇总、分析、报警，对安全问题进行挖掘，提供各种报表，帮助管理员更好的掌握网络情况

2.数据库审计

旁挂设备
系统通过对被内部人员的数据库操作及运维操作等网络行为进行解析、分析、记录、汇报，可以帮助用户进行事前规划预防、事中实时监视、事后合规报告、事故追踪溯源，加强内外部网络行为监管

3.IDS

旁挂设备
在网络中部署IDS设备可以对整个网络系统进行实时监视，它抓取网络中指定的数据包，对其分析和统计，并能够展示全面的网络监控报表。对于分析发现的具有威胁的网络数据或者行为产生告警。IDS的使用给网络管理人员提供了非常好的辅助管理工具和运维依据。

4.漏洞扫描

旁挂设备
漏洞存在于网络系统的各个角落，交换机路由器、服务器、PC机、应用系统等都可能存在漏洞，极易遭受攻击入侵。而一般漏洞是很难去发现和印证的。漏洞扫描系统就是发现漏洞和协助我们去修补漏洞的一种产品。

五、堡垒机、VPN

1.堡垒机

旁挂设备|外网区域
在信息系统的运维操作过程中，经常会出现多名维护人员共用设备（系统）帐号进行远程访问的情况，从而导致出现安全事件无法清晰地定位责任人。系统为每一个运维人员创建唯一的运维帐号（主帐号），运维帐号是获取目标设备访问权利的唯一帐号，进行运维操作时，从而准确定位事故责任人，弥补传统网络安全审计产品无法准确定位用户身份的缺陷，有效解决帐号共用问题。

2.VPN

旁挂设备|外网区域
VPN产品是以隧道技术，密码技术，访问控制技术作为三大核心技术，以代理技术，访问控制技术作为两大支撑技术的网络安全产品。它的目的很简单，就是确保只有被允许的主体在受控制的链路上，访问被允许的客体；也就是接入，传输，应用三环节均受控，任何主体，客体，第三方都难以越界，难以破坏。

补充：堡垒机和VPN相似，针对的用户和目的不同。VPN是为了远程访问内部资源，用户多为单位工作人员；堡垒机实质为了控制运维人员权限，记录运维人员操作