定義

防火牆指的是一個有軟件和硬件設備組合而成、在内部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它可通過監測、限制、更改跨越防火牆的數據流，盡可能地對外部屏蔽網絡内部的信息、結構和運行狀況，以此來實現網絡的安全保護。

主要功能

1、過濾進、出網絡的數據

2、防止不安全的協議和服務

3、管理進、出網絡的訪問行為

4、記錄通過防火牆的信息内容

5、對網絡攻擊進行檢測與警告

6、防止外部對内部網絡信息的獲取

7、提供與外部連接的集中管理

主要類型

1、網絡層防火牆

一般是基于源地址和目的地址、應用、協議以及每個IP包的端口來作出通過與否的判斷。防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合，防火牆就會使用默認規則，一般情況下，默認規則就是要求防火牆丢棄該包，其次，通過定義基于TCP或UDP數據包的端口号，防火牆能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。

2、應用層防火牆

針對特别的網絡應用服務協議即數據過濾協議，并且能夠對數據包分析并形成相關的報告。

主動被動

傳統防火牆是主動安全的概念；

因為默認情況下是關閉所有的訪問，然後再通過定制策略去開放允許開放的訪問。

下一代防火牆

（NGFW）

主要是一款全面應對應用層威脅的高性能防火牆。可以做到智能化主動防禦、應用層數據防洩漏、應用層洞察與控制、威脅防護等特性。下一代防火牆在一台設備裡面集成了傳統防火牆、IPS、應用識别、内容過濾等功能既降低了整體網絡安全系統的采購投入，又減去了多台設備接入網絡帶來的部署成本，還通過應用識别和用戶管理等技術降低了管理人員的維護和管理成本。

使用方式

防火牆部署于單位或企業内部網絡的出口位置。

局限性

1、不能防止源于内部的攻擊，不提供對内部的保護

2、不能防病毒

3、不能根據網絡被惡意使用和攻擊的情況動态調整自己的策略

本身的防攻擊能力不夠，容易成為被攻擊的首要目标

定義

入侵檢測即通過從網絡系統中的若幹關鍵節點收集并分析信息，監控網絡中是否有違反安全策略的行為或者是否存在入侵行為。入侵檢測系統通常包含3個必要的功能組件：信息來源、分析引擎和響應組件。

工作原理

1、信息收集信息收集包括收集系統、網絡、數據及用戶活動的狀态和行為。入侵檢測利用的信息一般來自：系統和網絡日志文件、非正常的目錄和文件改變、非正常的程序執行這三個方面。2、信号分析對收集到的有關系統、網絡、數據及用戶活動的狀态和行為等信息，是通過模式匹配、統計分析和完整性分析這三種手段進行分析的。前兩種用于實時入侵檢測，完整性分析用于事後分析。

3、告警與響應

根據入侵性質和類型，做出相應的告警與響應。

主要功能

它能夠提供安全審計、監視、攻擊識别和反攻擊等多項功能，對内部攻擊、外部攻擊和誤操作進行實時監控，在網絡安全技術中起到了不可替代的作用。

1、實時監測：實時地監視、分析網絡中所有的數據報文，發現并實時處理所捕獲的數據報文；

2、安全審計：對系統記錄的網絡事件進行統計分析，發現異常現象，得出系統的安全狀态，找出所需要的證據

3、主動響應：主動切斷連接或與防火牆聯動，調用其他程序處理。

主要類型

1、基于主機的入侵檢測系統(HIDS)：基于主機的入侵檢測系統是早期的入侵檢測系統結構，通常是軟件型的，直接安裝在需要保護的主機上。其檢測的目标主要是主機系統和系統本地用戶，檢測原理是根據主機的審計數據和系統日志發現可疑事件。這種檢測方式的優點主要有：信息更詳細、誤報率要低、部署靈活。這種方式的缺點主要有：會降低應用系統的性能；依賴于服務器原有的日志與監視能力；代價較大；不能對網絡進行監測；需安裝多個針對不同系統的檢測系統。

2、基于網絡的入侵檢測系統(NIDS)：基于網絡的入侵檢測方式是目前一種比較主流的監測方式，這類檢測系統需要有一台專門的檢測設備。檢測設備放置在比較重要的網段内，不停地監視網段中的各種數據包，而不再是隻監測單一主機。它對所監測的網絡上每一個數據包或可疑的數據包進行特征分析，如果數據包與産品内置的某些規則吻合，入侵檢測系統就會發出警報，甚至直接切斷網絡連接。目前，大部分入侵檢測産品是基于網絡的。這種檢測技術的優點主要有：能夠檢測那些來自網絡的攻擊和超過授權的非法訪問；不需要改變服務器等主機的配置，也不會影響主機性能；風險低；配置簡單。其缺點主要是：成本高、檢測範圍受局限；大量計算，影響系統性能；大量分析數據流，影響系統性能；對加密的會話過程處理較難；網絡流速高時可能會丢失許多封包，容易讓入侵者有機可乘；無法檢測加密的封包；對于直接對主機的入侵無法檢測出。

主動被動

入侵檢測系統是一種對網絡傳輸進行即時監視，在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。絕大多數 IDS 系統都是被動的。也就是說，在攻擊實際發生之前，它們往往無法預先發出警報。

使用方式

作為防火牆後的第二道防線，适于以旁路接入方式部署在具有重要業務系統或内部網絡安全性、保密性較高的網絡出口處。

局限性

1、誤報率高：主要表現為把良性流量誤認為惡性流量進行誤報。還有些IDS産品會對用戶不關心事件的進行誤報。

2、産品适應能力差：傳統的IDS産品在開發時沒有考慮特定網絡環境下的需求，适應能力差。入侵檢測産品要能适應當前網絡技術和設備的發展進行動态調整，以适應不同環境的需求。

3、大型網絡管理能力差：首先，要确保新的産品體系結構能夠支持數以百計的IDS傳感器；其次，要能夠處理傳感器産生的告警事件；最後還要解決攻擊特征庫的建立，配置以及更新問題。

4、缺少防禦功能：大多數IDS産品缺乏主動防禦功能。

5、處理性能差：目前的百兆、千兆IDS産品性能指标與實際要求還存在很大的差距。

定義

入侵防禦系統是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。

産生背景

1、串行部署的防火牆可以攔截低層攻擊行為，但對應用層的深層攻擊行為無能為力。

2、旁路部署的IDS可以及時發現那些穿透防火牆的深層攻擊行為，作為防火牆的有益補充，但很可惜的是無法實時的阻斷。

3、IDS和防火牆聯動：通過IDS來發現，通過防火牆來阻斷。但由于迄今為止沒有統一的接口規範，加上越來越頻發的“瞬間攻擊”（一個會話就可以達成攻擊效果，如SQL注入、溢出攻擊等），使得IDS與防火牆聯動在實際應用中的效果不顯著。

入侵檢測系統（IDS）對那些異常的、可能是入侵行為的數據進行檢測和報警，告知使用者網絡中的實時狀況，并提供相應的解決、處理方法，是一種側重于風險管理的安全産品。

入侵防禦系統（IPS）對那些被明确判斷為攻擊行為，會對網絡、數據造成危害的惡意行為進行檢測和防禦，降低或是減免使用者對異常狀況的處理資源開銷，是一種側重于風險控制的安全産品。

IDS和IPS的關系，并非取代和互斥，而是相互協作：沒有部署IDS的時候，隻能是憑感覺判斷，應該在什麼地方部署什麼樣的安全産品，通過IDS的廣泛部署，了解了網絡的當前實時狀況，據此狀況可進一步判斷應該在何處部署何類安全産品（IPS等）。

功能

1、入侵防護：實時、主動攔截黑客攻擊、蠕蟲、網絡病毒、後門木馬、Dos等惡意流量，保護企業信息系統和網絡架構免受侵害，防止操作系統和應用程序損壞或宕機。

2、Web安全：基于互聯網Web站點的挂馬檢測結果，結合URL信譽評價技術，保護用戶在訪問被植入木馬等惡意代碼的網站時不受侵害，及時、有效地第一時間攔截Web威脅。

3、流量控制：阻斷一切非授權用戶流量，管理合法網絡資源的利用，有效保證關鍵應用全天候暢通無阻，通過保護關鍵應用帶寬來不斷提升企業IT産出率和收益率。

4、上網監管：全面監測和管理IM即時通訊、P2P下載、網絡遊戲、在線視頻，以及在線炒股等網絡行為，協助企業辨識和限制非授權網絡流量，更好地執行企業的安全策略。

技術特征

嵌入式運行：隻有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護，實時阻攔所有可疑的數據包，并對該數據流的剩餘部分進行攔截。

深入分析和控制：IPS必須具有深入分析能力，以确定哪些惡意流量已經被攔截，根據攻擊類型、策略等來确定哪些流量應該被攔截。

入侵特征庫：高質量的入侵特征庫是IPS高效運行的必要條件，IPS還應該定期升級入侵特征庫，并快速應用到所有傳感器。

高效處理能力：IPS必須具有高效處理數據包的能力，對整個網絡性能的影響保持在最低水平。

主要類型

1．基于特征的IPS

這是許多IPS解決方案中最常用的方法。把特征添加到設備中，可識别當前最常見的攻擊。也被稱為模式匹配IPS。特征庫可以添加、調整和更新，以應對新的攻擊。

2. 基于異常的IPS

也被稱為基于行規的IPS。基于異常的方法可以用統計異常檢測和非統計異常檢測。

3、基于策略的IPS：

它更關心的是是否執行組織的安保策略。如果檢測的活動違反了組織的安保策略就觸發報警。使用這種方法的IPS，要把安全策略寫入設備之中。

4.基于協議分析的IPS

它與基于特征的方法類似。大多數情況檢查常見的特征，但基于協議分析的方法可以做更深入的數據包檢查，能更靈活地發現某些類型的攻擊。

主動被動

IPS傾向于提供主動防護，其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送後才發出警報。

使用方式

串聯部署在具有重要業務系統或内部網絡安全性、保密性較高的網絡出口處。

定義

漏洞掃描是指基于漏洞數據庫，通過掃描等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測，發現可利用的漏洞的一種安全檢測（滲透攻擊）行為。

主要功能

可以對網站、系統、數據庫、端口、應用軟件等一些網絡設備應用進行智能識别掃描檢測，并對其檢測出的漏洞進行報警提示管理人員進行修複。同時可以對漏洞修複情況進行監督并自動定時對漏洞進行審計提高漏洞修複效率。

1、定期的網絡安全自我檢測、評估

安全檢測可幫助客戶最大可能的消除安全隐患，盡可能早地發現安全漏洞并進行修補，有效的利用已有系統，提高網絡的運行效率。

2、安裝新軟件、啟動新服務後的檢查

由于漏洞和安全隐患的形式多種多樣，安裝新軟件和啟動新服務都有可能使原來隐藏的漏洞暴露出來，因此進行這些操作之後應該重新掃描系統，才能使安全得到保障。

3、網絡承擔重要任務前的安全性測試

4、網絡安全事故後的分析調查

網絡安全事故後可以通過網絡漏洞掃描/網絡評估系統分析确定網絡被攻擊的漏洞所在，幫助彌補漏洞，盡可能多得提供資料方便調查攻擊的來源。

5、重大網絡安全事件前的準備

重大網絡安全事件前網絡漏洞掃描/網絡評估系統能夠幫助用戶及時的找出網絡中存在的隐患和漏洞，幫助用戶及時的彌補漏洞。

主要技術

1. 主機掃描：

确定在目标網絡上的主機是否在線。

2. 端口掃描：

發現遠程主機開放的端口以及服務。

3. OS識别技術:

根據信息和協議棧判别操作系統。

4. 漏洞檢測數據采集技術：

按照網絡、系統、數據庫進行掃描。

5.智能端口識别、多重服務檢測、安全優化掃描、系統滲透掃描

6.多種數據庫自動化檢查技術，數據庫實例發現技術；

主要類型

1.針對網絡的掃描器：基于網絡的掃描器就是通過網絡來掃描遠程計算機中的漏洞。價格相對來說比較便宜；在操作過程中，不需要涉及到目标系統的管理員，在檢測過程中不需要在目标系統上安裝任何東西；維護簡便。

2.針對主機的掃描器：基于主機的掃描器則是在目标系統上安裝了一個代理或者是服務，以便能夠訪問所有的文件與進程，這也使得基于主機的掃描器能夠掃描到更多的漏洞。

3.針對數據庫的掃描器：數據庫漏掃可以檢測出數據庫的DBMS漏洞、缺省配置、權限提升漏洞、緩沖區溢出、補丁未升級等自身漏洞。

使用方式

1、獨立式部署：

在網絡中隻部署一台漏掃設備，接入網絡并進行正确的配置即可正常使用，其工作範圍通常包含用戶企業的整個網絡地址。用戶可以從任意地址登錄漏掃系統并下達掃描評估任務，檢查任務的地址必須在産品和分配給此用戶的授權範圍内。

2、多級式部署：

對于一些大規模和分布式網絡用戶，建議使用分布式部署方式。在大型網絡中采用多台漏掃系統共同工作，可對各系統間的數據共享并彙總，方便用戶對分布式網絡進行集中管理。

優缺點

1、優點

有利于及早發現問題，并從根本上解決安全隐患。

2、不足

隻能針對已知安全問題進行掃描；準确性和指導性有待改善。

定義

安全隔離網閘是使用帶有多種控制功能的固态開關讀寫介質連接兩個獨立網絡系統的信息安全設備。由于物理隔離網閘所連接的兩個獨立網絡系統之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，隻有數據文件的無協議“擺渡”，且對固态存儲介質隻有“讀”和“寫”兩個命令。所以，物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現了真正的安全。

功能模塊

安全隔離閘門的功能模塊有：

安全隔離、内核防護、協議轉換、病毒查殺、訪問控制、安全審計、身份認證

主要功能

1、阻斷網絡的直接物理連接：物理隔離網閘在任何時刻都隻能與非可信網絡和可信網絡上之一相連接，而不能同時與兩個網絡連接；

2、阻斷網絡的邏輯連接：物理隔離網閘不依賴操作系統、不支持TCP/IP協議。兩個網絡之間的信息交換必須将TCP/IP協議剝離，将原始數據通過P2P的非TCP/IP連接方式，通過存儲介質的“寫入”與“讀出”完成數據轉發；

3、安全審查：物理隔離網閘具有安全審查功能，即網絡在将原始數據“寫入”物理隔離網閘前，根據需要對原始數據的安全性進行檢查，把可能的病毒代碼、惡意攻擊代碼消滅幹淨等；

4、原始數據無危害性：物理隔離網閘轉發的原始數據，不具有攻擊或對網絡安全有害的特性。就像txt文本不會有病毒一樣，也不會執行命令等。

5、管理和控制功能：建立完善的日志系統。

6、根據需要建立數據特征庫：在應用初始化階段，結合應用要求，提取應用數據的特征，形成用戶特有的數據特征庫，作為運行過程中數據校驗的基礎。當用戶請求時，提取用戶的應用數據，抽取數據特征和原始數據特征庫比較，符合原始特征庫的數據請求進入請求隊列，不符合的返回用戶，實現對數據的過濾。

7、根據需要提供定制安全策略和傳輸策略的功能：用戶可以自行設定數據的傳輸策略，如：傳輸單位（基于數據還是基于任務）、傳輸間隔、傳輸方向、傳輸時間、啟動時間等。

8、支持定時/實時文件交換；支持支持單向/雙向文件交換；支持數字簽名、内容過濾、病毒檢查等功能。

工作原理

安全隔離網閘的組成：

安全隔離網閘是實現兩個相互業務隔離的網絡之間的數據交換，通用的網閘模型設計一般分三個基本部分：

1、 内網處理單元：包括内網接口單元與内網數據緩沖區。接口部分負責與内網的連接，并終止内網用戶的網絡連接，對數據進行病毒檢測、防火牆、入侵防護等安全檢測後剝離出“純數據”，作好交換的準備，也完成來自内網對用戶身份的确認，确保數據的安全通道；數據緩沖區是存放并調度剝離後的數據，負責與隔離交換單元的數據交換。

2、 外網處理單元：與内網處理單元功能相同，但處理的是外網連接。

3、 隔離與交換控制單元（隔離硬件）：是網閘隔離控制的擺渡控制，控制交換通道的開啟與關閉。控制單元中包含一個數據交換區，就是數據交換中的擺渡船。對交換通道的控制的方式目前有兩種技術，擺渡開關與通道控制。擺渡開關是電子倒換開關，讓數據交換區與内外網在任意時刻的不同時連接，形成空間間隔GAP，實現物理隔離。通道方式是在内外網之間改變通訊模式，中斷了内外網的直接連接，采用私密的通訊手段形成内外網的物理隔離。該單元中有一個數據交換區，作為交換數據的中轉。

其中，三個單元都要求其軟件的操作系統是安全的，也就是采用非通用的操作系統，或改造後的專用操作系統。一般為Unix BSD或Linux的經安全精簡版本，或者其他是嵌入式操作系統等，但都要對底層不需要的協議、服務删除，使用的協議優化改造，增加安全特性，同時提高效率。

如果針對網絡七層協議，安全隔離網閘是在硬件鍊路層上斷開。

區别比較

1、與物理隔離卡的區别

安全隔離網閘與物理隔離卡最主要的區别是，安全隔離網閘能夠實現兩個網絡間的自動的安全适度的信息交換，而物理隔離卡隻能提供一台計算機在兩個網之間切換，并且需要手動操作，大部分的隔離卡還要求系統重新啟動以便切換硬盤。

2、網絡交換信息的區别

安全隔離網閘在網絡間進行的安全适度的信息交換是在網絡之間不存在鍊路層連接的情況下進行的。安全隔離網閘直接處理網絡間的應用層數據，利用存儲轉發的方法進行應用數據的交換，在交換的同時，對應用數據進行的各種安全檢查。路由器、交換機則保持鍊路層暢通，在鍊路層之上進行IP包等網絡層數據的直接轉發，沒有考慮網絡安全和數據安全的問題。

3、與防火牆的區别

防火牆一般在進行IP包轉發的同時，通過對IP包的處理，實現對TCP會話的控制，但是對應用數據的内容不進行檢查。這種工作方式無法防止洩密，也無法防止病毒和黑客程序的攻擊。

使用方式

1、涉密網與非涉密網之間

2、局域網與互聯網之間（内網與外網之間）

3、辦公網與業務網之間

4、業務網與互聯網之間