一、防火墙

  防火墙的核心任务：防护和控制，防火墙通过安全策略识别流量并做出相应的动作。

  防火墙的安全策略在进行匹配时，自上而下逐一匹配，匹配成功则不向下进行匹配，末尾隐含拒绝所有规则。

1.包过滤防火墙

 工作范围：网络层，传输层

只能基于5元组对数据包进行判断

五元组：原IP,目标IP,原端口，目标端口，协议

三元组：原IP,原端口，协议

 缺点：无法检测应用层，则无法充分识别安全风险

            需要逐包进行检测，效率比较低，可能成为网络的瓶颈

2.应用代理防火墙

优点：可以检测到应用层流量

缺点：可伸缩性变差，因为每一种应用都需要开发对应的代理功能，否则无法代理。

            效率变低。（就比如http流量，本来客户端到服务端建立一次3次握手就好了，现在需要建立两次，客户到防火墙，防火墙到服务端）

3.状态检测防火墙

缺点：无法检测应用层的流量

优点：首次检查建立会话表，同一特征流量基于会话表转发。提高了效率。

4.UTM(统一威胁管理)

也称多合一安全网关，工作在2-7层，但是不具备web应用防护能力，目的是将多种安全问题通过一台设备解决。

包含功能：FW,IDS，IPS,AV。

优点：功能多合一，有效的降低了硬件设备，人力成本，时间成本

缺点：模块串联检测效率低。

5.下一代防火墙

升级版的UTM

首先是包含功能：FW,IDS，IPS,AV,WAF。比UTM多了WEB应用的防护能力

其次是工作机制：NGFW采用并行处理机制。提高了检测效率

二、IDS(入侵检测系统)  

工作范围：工作在2-7层

目的：为了帮助管理员清晰的了解到网络环境中发生了什么事情。

部署方式：旁路部署，可在多个地方部署。（意味着对原本的网络环境没什么影响）

IDS可以发现风险，可以记录，分析和反馈，但是，并不会直接处理或消除风险。而是一种侧重于风险管理的安全设备，存在一定的滞后性。

交换机通过镜像口与NIP(IDS)相连，将产生的数据流量通过镜像口复制给NIP。

三、IPS(入侵防御系统)

部署方式：串联部署，影响原本的网络环境

工作范围：2-7层

目的：IDS只能对网络进行检测，但无法进行防御，IPS又可以检测，又可以防御。

侧重于风险管理的安全设备。

四、AV(防病毒网关)  ---基于网络测识别病毒文件

工作范围：2-7层

目的：防止病毒文件通过网络进入到内网设备

五、WAF(web应用防火墙) ---专门用来保护web应用

作用：

     1.WAF可以过滤HTTP/HTTPS协议流量，防护Web攻击。

     2.WAF可以对Web应用进行安全审计

    3.WAF可以防止CC攻击

    4.应用交付

什么是CC攻击呢？

CC攻击：通过大量请求对应用程序资源消耗最大的应用，如WEB查询数据库应用，从而导致服务器拒绝服务 ，更详细CC攻击介绍：

​​​​​​https://www.cnblogs.com/wpjamer/p/9030259.html

应用交互：实际上就是指应用交付网络（Application Delivery Networking，简称ADN），它利用相应的网络优化/加速设备，确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群。

WAF的多种部署模式：

WAF一般支持透明代理，反向代理，旁路监控，桥模式部署模式。