20、网络安全系统与协议全解析

网络安全系统与协议全解析

1. 非军事区（DMZ）与浏览器安全区域

非军事区（DMZ）或周边网络可以是物理或逻辑的网段或子网，作为外部广域网（WAN）流量的默认着陆区。这些外部流量试图从向不可信广域网安全区域开放的组织网站获取组织信息。

在本地网络和单个工作站上，可以通过Web浏览器设置安全策略。以微软Internet Explorer（IE）浏览器为例，它提供了限制访问一个或多个预定义安全区域的设置。IE定义了四个安全区域：Internet（互联网）、Local intranet（本地内网）、Trusted sites（受信任站点）和Restricted sites（受限站点）。每个区域可以应用安全级别，以控制从该区域内的源或网络访问和下载的内容级别和类型。

2. 安全设备

防火墙以及执行入侵检测和预防的其他设备是关键的安全设备。这些设备可以是硬件设备，也可以是独立或附加的软件。防火墙又可分为基于主机的和基于网络的。
- 基于主机的防火墙 ：这种类型的防火墙或安全设备在连接到网络的主机上最为常见，主机可以是网络节点或服务器（包括代理服务器），用于允许或拒绝入站或出站的消息流量。基于主机的设备更能满足小型网络的定制需求。
- 基于网络的防火墙 ：这是大多数人所设想的防火墙或入侵安全设备类型，是一种安全过滤设备，用于允许或拒绝入站流量。网络防火墙、入侵检测系统（IDS）或入侵预防系统（IPS）都是基于网络的安全设备的例子。基于网络的设备由于能在更广泛的系统上提供保护，因此更适合进行全网保护。

入侵检测和预防系统通常会在其设备名称中体现其在网络中