网络安全设备类

一、防火墙

定位：访问控制类产品

功能：隔离内网、外网，提供IP地址、端口的访问控制和阻断，不对应用层做防护和过滤

部署方式：部署在网络边界或者重要系统边界。工作在网络层。

局限性： 防火墙是根据合法网址和服务端口过滤数据包的，但是对合法的具有破坏性的数据包没有防护功能，防火墙必须部署在流量的必经之路上，防火墙的效能会影响网络的效能。

二、IPS

定位：访问控制类产品，入侵防御系统。

功能：能够对流经设备的网络流量进行分析、监控，最重要的是发现攻击后，能够及时拦截阻断。它是防火墙的重要补充。只要发现攻击行为都会检测、拦截，其中也包括对HTTP/HTTPS流量的分析。可检测到IDS检测不到的攻击行为IPS是在应用层的内容检测基础上加上主动响应和过滤功能，弥补传统的防火墙+IDS方案不能完成的更多内容检查的不足，填补了网络安全产品基于内容的安全检查的恐怖。 IPS是一种失效即阻断机制当IPS被攻击失效后，它会阻断网络连接，就像防火墙一样，使被保护资源与外界隔断。

部署方式：通常串接在网络主干链路上，或者重要业务系统边界，通常由防火墙的地方就有IPS。

三、IDS

定位：审计类产品，入侵检测系统。

功能：监视、记录网络中的各种攻击企图、攻击行为或者攻击结果。特点是只记录，不阻断任何攻击行为，只能事中监测和事后追查。不同于防火墙，IDS入侵检测系统就是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。

部署方式：旁路部署，类似电路并联，不影响正常网络通信。服务区区域的交换机上，Internet接入路由器之后的第一台交换机上，重点保护网段的局域网交换机上

注意：防火墙和IDS可以分开操作，IDS是个临控系统，可以自行选择合适的，或是符合需求的环境

四、WAF

定位：访问控制类产品，Web应用安全网关。

功能：基于HTTP/HTTPS协议的流量，对Web应用程序客户端的