防火墙 Firewall:
有机结合各类用于安全管理与筛选的软件和硬件设备
借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障,从而实现,对计算机不安全网络因素的阻断。只有在防火墙同意情况下,用户才能够进入,如果不同意就会被阻挡于外。
功能:过滤不安全的服务,集中安全管理配置(将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上),监控审计做出日志记录
IDS:入侵检测系统
对网络传输进行即时监视,在发现可疑传输时进行检测和报警,告知使用者网络中的实时状况,并提供相应的解决、处理方法的网络安全设备
IPS:入侵防御系统
是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。
对那些被明确判断为攻击行为,会对网络、数据造成危害的恶意行为进行检测和防御,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为,降低或是减免使用者对异常状况的处理资源开销的网络安全设备
二者区别在于,IPS可对检测出的威胁进行响应,通过尝试来防止攻击
Firewall主要用于访问控制,IPS/IDS是其基础之上的深度防御
堡垒机:
在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
即用来控制哪些人可以登录哪些资产,并记录登录资产后做的所有事情
DMZ(隔离区)
产生原因: 为解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等,从而将这些需要对外开放的主机与内部的众多网络设备分隔开来
解释:通过隔离防火墙两侧的设备来提高网络的安全性,创立两个不同的网络
当处于防火墙后面的服务器(处于一个内部网络中)需要与外界用户交互,则意味着其允许一些不受信用的用户获得防火墙权限,跨过防火墙与其后面的服务器进行通信,这就给黑客的入侵提供了条件;
于是就产生了隔离区,它将需要与外界进行交互的服务器置于防火墙之外,从而将一个网络分为两部分称为网络的隔离区中,其同样可以在恶意活动进入防火墙与之后的内部网络之前对其进行检测,
有些更安全的隔离区还会在被分离出来的服务器外面再加一层防火墙,如果,这样重要信息就有了两层保护。
子网掩码
两台主机之间进行通信,首先看其是否在同一网段,如果是同一网段则直接将数据包发送至目标主机即可;如果不在,就需要通过路由器去发送;
那么如何判断是否在同一网段内呢?子网掩码就是专门用来分离IP地址中网络地址与主机地址以及防止广播风暴的。
IP地址=网络地址+主机地址;
其中网络地址是由IP地址与子网掩码进行AND运算得到的,相同的网络地址处于同一网段内;
子网掩码书写格式:由连续的1以及连续的0构成
IP | 默认子网掩码 |
---|---|
A类(1~126):10.0.0.1 | 255.0.0.0 或者 / 8 |
B类(128~191):127.16.12 | 255.255.0.0 或者 /16 |
C类(192~223):192.168.1.1 | 255.255.255.0 或者 /24 |
子网的划分:
IP地址 | 子网掩码 |
---|---|
192.168.1.0 | 255.255.255.0 |
即在192.168.1.0这个网段内有192.168.1.0~192.168.1.255共255个地址,其中:
网络地址:192.168.1.0
广播地址:192.168.1.255
主机地址:192.168.1.1~192.168.1.254