什么是防火墙？

        对我们来说，这个就是一个普通的概念，在实际应用中，由于公网地址的不足，我们多数是

在企业网中使用局部私网也就是局域网，所以整个局域网的安全最重要的就是在私网和公网交界的

地方，也就是网络出口出的设备上。因此我们一般在网络出口安放防火墙来保护整个局域网的边界

安全。

防火墙功能

        访问控制，地址转换，网络环境支持，带宽管理，入侵检测和攻击防御，用户认证，可用性

安全策略

定义：

        安全策略是按定规则， 控制设备对流量转发以及对流量进行内容安全一体化检测的策略。规

则的本质是包过滤。

主要应用：

对跨防火墙的网络互访进行控制对设备本身的访问进行控制

分类

传统防火墙

        (包过滤防火墙) 一个严格的规则表判断信息:数据包的源IP地址、目的IP地址、协议类型、源

端口、目的端口(五元组)

工作范围：网络层、传输层(3-4层)

和路由器的区别:普通的路由器只检查数据包的目标地址，并选择-个达到目的地址的最佳路径。

防火墙除了要决定目的路径以外还需要根据经设定的规则进行判断“是与否”。

技术应用:包过滤技术

优势:对于小型站点容易实现，处理速度快，价格便宜

劣势:规则表很快会变得庞大复杂难运维，只能基于五元组

入侵检测系统(IDS) 一网络摄像头

部署方式:旁路部署，可多点部署

工作范围: 2-7层

工作特点:根据部署位置监控到的流量进行攻击事件监控，属于-个事后呈现的系统，相当于网络上

的监控摄像头

目的:传统防火墙只能基于规则执行”是"或“否”的策略，IDS主要是为了帮助管理员清晰的了解到网

络环境中发生了什么事情。

入侵防御系统(IPS) 一抵御2-7层已知威胁

部署方式:串联部署

工作范围: 2-7层

工作特点:根据已知的安全威胁生成对应的过滤器(规则)， 对于识别为流量的阻断，对于未识别的

放通
目的: IDS只能对网络环境进行检测，但却无法进行防御，IPS主 要是针对已知威胁进行防御

防病毒网关(AV)一基于网络侧识别病毒文件

判断信息:数据包

工作范围: 2-7层

目的:防止病毒文件通过外网络进入到内网环境

总结

服务器安全检测和防御常用

        IPS    入侵防御系统，串联部署，通过交换机镜像引流，属于主动检测，防御服务器和客户

端，服务器的协议有FTP

        弱口令，中间件，客户端有蠕虫病毒，还有自身的永恒之蓝等

        IDS    入侵检测系统，旁路部署，通过交换机的监听口进行网络报文采样，属于被动检测，对

网络系统运行状况进行监视记录攻击行为，保存日志

        AV    防御阻止外网的病毒文件进入内网

        APT    僵尸网络，使攻击目标瘫痪并拒接服务，防御属于事后检测机制，通过异常流量，规

则库展示，DNS场景误判排除

        DOS    拒绝服务攻击，可以使服务器或者网络瘫痪

                目的：消耗带宽，消耗服务器性能

                类型：icmp洪水攻击，UDP洪水攻击，DNS洪水攻击，SYN洪水攻击

漏洞攻击——攻击手段：暴力破解，后门，木马，间谍软件

保护对象——客户端（针对web浏览器，控件漏洞）和服务器（web,ftp,tenlet,后门，木马，蠕

虫）

信息泄露攻击——常见：应用错误信息泄露，目录信息泄露，web服务器缺省页面，
                            原因：web服务器存在问题，web网站脚本漏洞，自身问题