跳到主要内容

首页博客 AI提示词 GitHub精选代理工具

网络安全核心设备与技术原理详解 | 极客日志

目录

💰 8折买阿里云服务器限时8折了解详情

编程语言算法

网络安全核心设备与技术原理详解

本文详细阐述了网络安全中的核心防护设备与技术架构。涵盖防火墙、IPS、UTM、VPN、WAF、审计系统及负载均衡等关键组件的定义、功能及部署模式。深入解析了 IPSEC 与 SSL VPN 的协议差异，探讨了 Web 应用防护策略及数据库安全审计机制。同时补充了漏洞扫描、流量清洗及运维安全审计（堡垒机）的实施要点，并结合等保合规要求分析了安全架构设计原则。旨在为网络管理员及安全工程师提供全面的基础知识参考与实战指导。

宁静发布于 2025/2/60 浏览

网络安全核心设备与技术原理详解

网络安全基础知识点汇总

1. 防火墙（Firewall）

1.1 定义与定位

防火墙是位于内部网络与外部网络之间的网络安全系统。它依照特定的规则，允许或是限制传输的数据通过。需要特别注意的是，传统防火墙主要抵御外部攻击，对于内部病毒（如 ARP 病毒）或内部横向移动的攻击防护能力有限。

1.2 核心功能

防火墙的核心功能主要集中在两个网络之间做边界防护。在企业环境中，更多使用的是企业内网与互联网之间的 NAT（网络地址转换）、包过滤规则、端口映射等功能。在生产网与办公网之间，防火墙用于做逻辑隔离，主要依赖包过滤规则进行访问控制。

1.3 部署模式

网关模式：这是目前应用最广泛的模式。防火墙可以替代路由器并提供更多的安全功能，适用于各种类型的企业网络环境。在此模式下，防火墙作为默认网关，所有流量经过其处理。
透明模式：在不改变现有网络结构的情况下，将防火墙以透明网桥的模式串联到企业的网络中间。通过包过滤规则进行访问控制，实现安全域的划分。这种模式对网络拓扑无感知，适合无缝接入。

关于何时使用网关模式或透明模式，需根据实际业务需求决定，没有绝对的标准。是否需要将服务器部署在 DMZ（非军事化区），取决于服务器的数量、重要性及暴露风险。

1.4 高可用性

为了保证网络可靠性，现代防火墙设备都支持主 - 主（Active-Active）、主 - 备（Active-Standby）等高可用部署方式，确保单点故障不会导致网络中断。

2. 防毒墙（Anti-Virus Wall）

2.1 定义与功能

相对于防火墙来说，防毒墙一般都具有防火墙的基础功能，但防御的对象更具有针对性，即恶意代码和病毒。其功能是在防火墙的基础上增加病毒特征库，对数据进行实时比对，进行查杀病毒。

2.2 部署方式

部署方式同防火墙，大多数时候使用透明模式部署在防火墙或路由器之后，或者部署在服务器之前，专门进行病毒防范与查杀，防止带毒文件进入内网。

3. 入侵防御系统（IPS）

3.1 定义与区别

相对于防火墙，IPS 的防御对象更具针对性，即攻击行为。防火墙主要是通过对五元组（源 IP、目的 IP、源端口、目的端口、协议）进行控制，达到包过滤的效果；而入侵防御 IPS，则是将数据包进行检测（深度包检测 DPI），对蠕虫、病毒、木马、拒绝服务（DoS）等攻击进行实时查杀和阻断。

3.2 核心功能

IPS 具备防火墙的所有功能，并增加了 IPS 特征库。它能够识别攻击签名，对异常流量进行分析，并在攻击发生前或发生时进行拦截。

3.3 特别说明

防火墙通常允许符合规则的数据包进行传输，对数据包中是否有病毒代码或攻击代码并不进行检查。而防毒墙和入侵防御则通过更深的对数据包的检查弥补了这一点，提供了更深层次的安全防护。

4. 统一威胁安全网关（UTM）

4.1 定义与整合

简单的理解，UTM 就是把威胁都统一了，其实就是把防火墙、防毒墙、入侵防护三个设备的功能整合到一起。它同时具备防火墙、防毒墙、入侵防护三个设备的功能。

4.2 部署与现状

因为可以代替防火墙功能，所以部署方式同防火墙。现在大多数厂商，防病毒和入侵防护已经作为防火墙的模块来用。在不考虑硬件性能以及费用的情况下，开启了防病毒模块和入侵防护模块的防火墙，和 UTM 其实是一样的。

4.3 混合部署场景

至于为什么网络中同时会出现 UTM 和防火墙、防病毒、入侵检测同时出现，主要原因有两点：第一是实际需要，例如在服务器区前部署专用防毒墙，防护外网病毒的同时，也可以检测和防护内网用户对服务器的攻击；第二是成本与性能考量，高端防火墙可能集成度不如专用设备。

5. VPN 技术详解

5.1 IPSEC VPN

IPSEC VPN 放到网络安全防护里，是因为大多数情况下，IPSEC VPN 的使用都是通过上述设备来做的，而且通过加密隧道访问网络，本身也是对网络的一种安全防护。

定义：采用 IPSec 协议来实现远程接入的一种 VPN 技术。
功能：通过使用 IPSEC VPN 使客户端或一个网络与另外一个网络连接起来，多数用在分支机构与总部连接，保障数据传输的机密性和完整性。
部署方式：网关模式、旁路模式。鉴于网关类设备基本都具备 IPSEC VPN 功能，很多情况下都是直接在网关设备上启用 IPSEC VPN 功能。也有个别情况新购买 IPSEC VPN 设备，在对现有网络没有影响的情况下进行旁路部署。部署后需要对 IPSEC VPN 设备放通安全规则，做端口映射等等。

5.2 SSL VPN

SSL VPN 是采用 SSL 协议的一种 VPN 技术，相比 IPSEC VPN 使用起来要更加方便，毕竟 SSL VPN 使用浏览器即可使用，无需安装专用客户端。

功能：随着移动办公的快速发展，SSL VPN 的使用也越来越多。除了移动办公使用，通过浏览器登录 SSL VPN 连接到其他网络也十分方便。IPSEC VPN 更倾向网络接入，而 SSL VPN 更倾向对应用发布。
部署：SSL VPN 的部署一般采用旁路部署方式，在不改变用户网络的状况下实现移动办公等功能。

5.3 VPN 分类与应用场景

常见的 VPN 有 L2TP VPN、PPTP VPN、IPSEC VPN、SSL VPN 以及 MPLS VPN。

MPLS VPN：运营商使用较多，使用场景多为总部与分支机构之间。
L2TP/PPTP：属于二层 VPN，因使用的隧道协议都属于二层协议。
IPSEC：属于三层 VPN，采用 IPSec 协议。
SSL：是以 HTTPS 协议为基础 VPN 技术，使用维护简单安全。

应用场景

总部与分支机构互联：大型企业总部与分支结构通常使用 MPLS VPN 进行互联，中小型企业则选择使用投入较低的 IPSEC VPN 进行互联。
移动办公：SSL VPN 因其使用维护方便成为移动办公的不二之选，打开浏览器即可使用。在没有 SSL VPN 条件下，网管进行设备远程维护则通常使用 L2TP VPN 或 PPTP VPN。
远程应用发布：针对需要安装客户端的 C/S 服务访问需求，手机和平板体验欠佳，特定场景下 PC 访问效果较好。
手机 APP 与 VPN 结合：考虑到安全方面的问题，用户希望通过手机 APP 与 VPN 技术相结合，先将手机与集团建立 VPN 隧道，再通过 APP 访问集团内部 OA 服务器。

6. 高级安全设备

6.1 安全隔离网闸（GAP）

定义：全称安全隔离网闸。是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。
功能：主要是在两个网络之间做隔离并需要数据交换，网闸是具有中国特色的产品。
部署：两套网络之间。防火一般在两套网络之间做逻辑隔离，而网闸符合相关要求，可以做物理隔离，阻断网络中 TCP 等协议，使用私有协议进行数据交换。一般企业用的比较少，在对网络要求稍微高一些的单位会用到网闸。

6.2 WAF（Web Application Firewall）

定义：WAF 的防护方面是 Web 应用，说白了防护的对象是网站及 B/S 结构的各类系统。
功能：针对 HTTP/HTTPS 协议进行分析，对 SQL 注入攻击、XSS 攻击、Web 攻击进行防护，并具备基于 URL 的访问控制、HTTP 协议合规、Web 敏感信息防护、文件上传下载控制、Web 表单关键字过滤、网页挂马防护、Webshell 防护以及 Web 应用交付等功能。
部署：通常部署在 Web 应用服务器前进行防护。IPS 也能检测出部分 Web 攻击，但没有 WAF 针对性强，所以根据防护对象不同选用不同设备，效果更好。

6.3 审计系统

网络安全审计

定义：审计网络方面的相关内容。
功能：针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。满足用户对互联网行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。
部署：采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到审计设备。

数据库安全审计

定义：主要用于监视并记录对数据库服务器的各类操作行为。
功能：审计对数据库的各类操作，精确到每一条 SQL 命令，并有强大的报表功能。
部署：采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到审计设备。

日志审计

定义：集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息。
功能：通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不间断运营。
部署：旁路模式部署。通常由设备发送日志到审计设备，或在服务器中安装代理，由代理发送日志到审计设备。

运维安全审计（堡垒机）

定义：在一个特定的网络环境下，为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动。
功能：主要是针对运维人员维护过程的全面跟踪、控制、记录、回放，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。
部署：旁路模式部署。使用防火墙对服务器访问权限进行限制，只能通过堡垒机对网络设备/服务器/数据库等系统操作。

可以看出审计产品最终的目的都是审计，只不过是审计的内容不同而已。根据不同需求选择不同的审计产品，一旦出现攻击、非法操作、违规操作、误操作等行为，对事后处理提供有利证据。

6.4 入侵检测（IDS）

定义：对入侵攻击行为进行检测。
功能：通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。
部署：采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到入侵检测设备。
说明：入侵检测虽然是入侵攻击行为检测，但监控的同时也对攻击和异常数据进行了审计，所以把入侵检测系统也放到了审计里一起介绍。入侵检测系统是等保三级中必配设备。

7. 网络优化与管理

7.1 上网行为管理

定义：顾名思义，就是对上网行为进行管理。
功能：对上网用户进行流量管理、上网行为日志进行审计、对应用软件或站点进行阻止或流量限制、关键字过滤等。
部署：网关部署、透明部署、旁路部署。网关部署适用于中小型企业网络较为简单，可使用上网行为管理作为网关，代替路由器或防火墙并同时具备上网行为管理功能。透明部署大多数情况下，企业会选择透明部署模式，将设备部署在网关与核心交换之间，对上网数据进行管理。旁路部署仅需要上网行为管理审计功能时，也可选择旁路部署模式，在核心交换机上配置镜像口将数据发送给上网行为管理。

7.2 负载均衡

定义：将网络或应用多个工作分摊进行并同时完成，一般分为链路负载和应用负载（服务器负载）。
功能：确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群，扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
部署：旁路模式、网关模式、代理模式。旁路模式通常使用负载均衡进行应用负载时，旁路部署在相关应用服务器交换机上，进行应用负载。网关模式通常使用链路负载时，使用网关模式部署。

7.3 漏洞扫描

定义：漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。
功能：根据自身漏洞库对目标进行脆弱性检测，并生产相关报告，提供漏洞修复意见等。一般企业使用漏洞扫描较少，主要是大型网络及等保、分保检测机构使用较多。
部署：旁路部署，通常旁路部署在核心交换机上，与检测目标网络可达即可。

7.4 异常流量清洗

定义：看名字吧，主要针对异常流量。
功能：对异常流量的牵引、DDoS 流量清洗、P2P 带宽控制、流量回注，也是现有针对 DDoS 攻击防护的主要设备。
部署：旁路部署。

8. 总结与展望

究竟使用哪一种技术来满足用户的需求，还是要根据用户业务需求来考虑。网络安全是一个动态的过程，需要结合物理安全、网络安全、主机安全、应用安全和数据安全等多个层面进行综合防护。随着技术的发展，云安全、零信任架构（Zero Trust）等概念正在逐渐融入传统的网络安全体系中，未来的安全防护将更加智能化、自动化。建议企业在建设安全体系时，遵循'木桶理论'，补齐短板，定期进行安全评估与演练，确保业务连续性。

💰 8折买阿里云服务器限时8折购买
🦞 5分钟部署阿里云小龙虾了解详情
🤖 一键搭建Deepseek满血版了解详情
一键打造专属AI 智能体了解详情

极客日志微信公众号二维码

微信扫一扫，关注极客日志

微信公众号「极客日志」，在微信中扫描左侧二维码关注。展示文案：极客日志 zeeklog

更多推荐文章

使用 LLaMA-Factory 训练和微调 LLaMA3 模型指南
基于 XTuner 微调 LLaVA-Llama-3-8B 多模态模型教程
网络安全自学路线：从基础到进阶的核心技能体系
网络安全零基础入门指南：学习误区、路线与自学利弊分析
LLM 大模型技术实战：入门大模型开发框架 LangChain
网络安全行业入门指南：岗位方向与学习路径
零基础入门网络安全与 Web 安全学习路线指南
零基础入门网络安全：3 个月学习路线与资源指南
开源大模型重塑企业 AI 应用：16 个落地案例与部署挑战
网络安全基础与黑客技术入门知识详解
2024 北京养老服务行业发展四季青论坛举办，发布养老行业千亿大模型
从空乘转行网络安全：零基础入门经验与面试技巧分享
大模型微调的 7 种主流方法详解
网络安全入门指南：Web 渗透学习路线与核心技能详解
网络安全十大热门岗位盘点及职业发展建议
零基础网络安全入门学习路线与技术指南
渗透测试新手入门思路与实战方法论
职业安全研究人员核心技能体系与成长路径
网络安全入门与进阶学习路线指南
零基础入门网络安全学习指南

相关免费在线工具

加密/解密文本
使用加密算法（如AES、TripleDES、Rabbit或RC4）加密和解密文本明文。在线工具，加密/解密文本在线工具，online
Base64 字符串编码/解码
将字符串编码和解码为其 Base64 格式表示形式即可。在线工具，Base64 字符串编码/解码在线工具，online
Base64 文件转换器
将字符串、文件或图像转换为其 Base64 表示形式。在线工具，Base64 文件转换器在线工具，online
Markdown转HTML
将 Markdown（GFM）转为 HTML 片段，浏览器内 marked 解析；与 HTML转Markdown 互为补充。在线工具，Markdown转HTML在线工具，online
HTML转Markdown
将 HTML 片段转为 GitHub Flavored Markdown，支持标题、列表、链接、代码块与表格等；浏览器内处理，可链接预填。在线工具，HTML转Markdown在线工具，online
JSON 压缩
通过删除不必要的空白来缩小和压缩JSON。在线工具，JSON 压缩在线工具，online