(1)防火墻( Firewall)

　　定義 : 相信大家都知道防火墻是干什么用的， 我覺得需要特別提醒一下，防火墻抵御的是外部的攻擊，并不能對內(nèi)部的病毒 ( 如ARP病毒 ) 或攻擊沒什么太大作用。

　　功能 : 防火墻的功能主要是兩個網(wǎng)絡(luò)之間做邊界防護， 企業(yè)中更多使用的是企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的 NAT、包過濾規(guī)則、端口映射等功能。生產(chǎn)網(wǎng)與辦公網(wǎng)中做邏輯隔離使用， 主要功能是包過濾規(guī)則的使用。

　　部署方式 : 網(wǎng)關(guān)模式、透明模式 :

　　網(wǎng)關(guān)模式是現(xiàn)在用的最多的模式， 可以替代路由器并提供更多的功能，適用于各種類型企業(yè)透明部署是在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的情況下，將防火墻以透明網(wǎng)橋的模式串聯(lián)到企業(yè)的網(wǎng)絡(luò)中間， 通過包過濾規(guī)則進行訪問控制，做安全域的劃分。至于什么時候使用網(wǎng)關(guān)模式或者使用透明模式， 需要根據(jù)自身需要決定， 沒有絕對的部署方式。需不需要將服務(wù)器部署在 DMZ區(qū)，取決于服務(wù)器的數(shù)量、 重要性。

　　總之怎么部署都是用戶自己的選擇!

　　高可用性 : 為了保證網(wǎng)絡(luò)可靠性， 現(xiàn)在設(shè)備都支持主 - 主、主- 備，等各種部署

　　(2)防毒墻

　　定義 : 相對于防火墻來說，一般都具有防火墻的功能， 防御的對象更具有針對性，那就是病毒。

　　功能 : 同防火墻， 并增加病毒特征庫， 對數(shù)據(jù)進行與病毒特征庫進行比對，進行查殺病毒。

　　部署方式 : 同防火墻，大多數(shù)時候使用透明模式部署在防火墻或路由器后或部署在服務(wù)器之前，進行病毒防范與查殺

　　(3)入侵防御 (IPS)

　　定義 : 相對于防火墻來說，一般都具有防火墻的功能，防御的對象更具有針對性， 那就是攻擊。防火墻是通過對五元組進行控制，達到包過濾的效果， 而入侵防御 IPS，則是將數(shù)據(jù)包進行檢測 (深度包檢測 DPI)對蠕蟲、病毒、木馬、拒絕服務(wù)等攻擊進行查殺。

　　功能 : 同防火墻，并增加 IPS 特征庫，對攻擊行為進行防御。

　　部署方式 : 同防毒墻。

　　特別說明一下 : 防火墻允許符合規(guī)則的數(shù)據(jù)包進行傳輸，對數(shù)據(jù)包中是否有病毒代碼或攻擊代碼并不進行檢查， 而防毒墻和入侵防御則通過更深的對數(shù)據(jù)包的檢查彌補了這一點。

　　(4)統(tǒng)一威脅安全網(wǎng)關(guān) (UTM)

　　定義 : 簡單的理解， 把威脅都統(tǒng)一了，其實就是把上面三個設(shè)備整合到一起了。

　　功能 : 同時具備防火墻、 防毒墻、入侵防護三個設(shè)備的功能。

　　部署方式 : 因為可以代替防火墻功能， 所以部署方式同防火墻

　　現(xiàn)在大多數(shù)廠商，防病毒和入侵防護已經(jīng)作為防火墻的模塊來用，在不考慮硬件性能以及費用的情況下， 開啟了防病毒模塊和入侵防護模塊的防火墻，和UTM其實是一樣的。至于為什么網(wǎng)絡(luò)中同時會出現(xiàn) UTM和防火墻、防病毒、入侵檢測同時出現(xiàn)。

　　第一，實際需要，在服務(wù)器區(qū)前部署防毒墻， 防護外網(wǎng)病毒的同時， 也可以檢測和防護內(nèi)網(wǎng)用戶對服務(wù)器的攻擊。第二，花錢，大家都懂的?？傊€是那句話，設(shè)備部署還是看用戶。

　　(5)IPSEC VPN

　　把 IPSEC VPN放到網(wǎng)絡(luò)安全防護里，其實是因為大多數(shù)情況下， IPSEC VPN的使用都是通過上述設(shè)備來做的，而且通過加密隧道訪問網(wǎng)絡(luò)，本身也是對網(wǎng)絡(luò)的一種安全防護。

　　定義 : 采用 IPSec 協(xié)議來實現(xiàn)遠程接入的一種 VPN技術(shù)，至于什么是 IPSEC 什么是 VPN，小伙伴們請自行百度吧

　　功能 : 通過使用 IPSEC VPN使客戶端或一個網(wǎng)絡(luò)與另外一個網(wǎng)絡(luò)連接起來，多數(shù)用在分支機構(gòu)與總部連接。

　　部署方式 : 網(wǎng)關(guān)模式、旁路模式

　　鑒于網(wǎng)絡(luò)設(shè)備維護基本都具備 IPSEC VPN功能，所以很多情況下都是直接在網(wǎng)關(guān)設(shè)備上啟用 IPSEC VPN功能，也有個別情況新購買IPSEC VPN設(shè)備，在對現(xiàn)有網(wǎng)絡(luò)沒有影響的情況下進行旁路部署，部署后需要對 IPSEC VPN設(shè)備放通安全規(guī)則，做端口映射等等。也可以使用 windows server 部署 VPN，需要的同學(xué)也請自行百度 ~相比硬件設(shè)備，自己部署沒有什么花費，但 IPSEC VPN受操作系統(tǒng)影響，相比硬件設(shè)備穩(wěn)定性會差一些。