学网络安全，千万别棋差这一招

下午好，我的网工朋友

总感觉今年云计算的热度比网安高上不少，但网络安全在我心里依然是比较有意思的技术方向。

想学的人很多，想入门的人也很多。但找对方向和方法的人，很少很少。

网络安全到底怎么学？

其实入门这东西并不一定代表要学的特别透彻，你看，搞弱电的总想着多学点网络，学网络的总想着多看点开发，搞开发的又觉得安全不错……这就是个轮回啊。

这个行业要是深入学习，真的可以学上个几百年，没有容易学的东西，沉下心+坚持才是拿下一切的根本之道。

很多想了解网络安全的打工人，大多数都没学过安全技术和产品，编程可能从未接触过，也不必谈经手过几个项目了。

学习网络安全，第一步并不是要把安全学的多深入，而是要把基础稳固，学习之后的内容才能有效率。

如果完全没有接触过相关工作，只是零散的看了点资料和视频，老杨总一定会用那句口头禅轰炸你：

“还是先打好基础吧，老弟！”

今天，我就和你分享一篇关于网络安全的基础知识，希望能帮助到你。

今日文章阅读福利：《网络安全知识图谱》

私信我，发送暗号“网络安全”，即可领取此份网络安全知识图谱，对小白学习有不少帮助，由杨总亲自整理哦。

01 防火墙（Firewall）

定义：都知道防火墙是干什么用的，但我觉得需要特别提醒一下，防火墙抵御的是外部的攻击，并不能对内部的病毒 ( 如ARP病毒 ) 或攻击没什么太大作用。

功能 :

防火墙的功能主要是两个网络之间做边界防护，企业中更多使用的是企业内网与互联网的 NAT、包过滤规则、端口映射等功能。生产网与办公网中做逻辑隔离使用，主要功能是包过滤规则的使用。

部署方式 : 网关模式、透明模式

网关模式是现在用的最多的模式，可以替代路由器并提供更多的功能，适用于各种类型企业透明部署是在不改变现有网络结构的情况下，将防火墙以透明网桥的模式串联到企业的网络中间，通过包过滤规则进行访问控制，做安全域的划分。

至于什么时候使用网关模式或者使用透明模式，需要根据自身需要决定，没有绝对的部署方式。需不需要将服务器部署在 DMZ区，取决于服务器的数量、重要性，总之怎么部署都是用户自己的选择。

高可用性 : 为了保证网络可靠性，现在设备都支持主-主、主- 备等各种部署。

02 防毒墙

定义 : 相对于防火墙来说，一般都具有防火墙的功能，防御的对象更具有针对性，那就是病毒。

功能 : 同防火墙，并增加病毒特征库，对数据进行与病毒特征库进行比对，进行查杀病毒。

部署方式 : 同防火墙，大多数时候使用透明模式部署在防火墙或路由器后或部署在服务器之前，进行病毒防范与查杀

03 入侵防御 (IPS)

定义 : 相对于防火墙来说，一般都具有防火墙的功能，防御的对象更具有针对性，那就是攻击。防火墙是通过对五元组进行控制，达到包过滤的效果，而入侵防御 IPS，则是将数据包进行检测（深度包检测 DPI）对蠕虫、病毒、木马、拒绝服务等攻击进行查杀。

功能 : 同防火墙，并增加 IPS 特征库，对攻击行为进行防御。

部署方式 : 同防毒墙。

特别说明一下 : 防火墙允许符合规则的数据包进行传输，对数据包中是否有病毒代码或攻击代码并不进行检查，而防毒墙和入侵防御则通过更深的对数据包的检查弥补了这一点。

04 统一威胁安全网关 (UTM)

定义 : 简单的理解，把威胁都统一了，其实就是把上面三个设备整合到一起了。

功能 : 同时具备防火墙、防毒墙、入侵防护三个设备的功能。

部署方式 : 因为可以代替防火墙功能，所以部署方式同防火墙。

现在大多数厂商，防病毒和入侵防护已经作为防火墙的模块来用，在不考虑硬件性能以及费用的情况下，开启了防病毒模块和入侵防护模块的防火墙，和UTM其实是一样的。

至于为什么网络中同时会出现 UTM和防火墙、防病毒、入侵检测同时出现。

第一，实际需要，在服务器区前部署防毒墙，防护外网病毒的同时，也可以检测和防护内网用户对服务器的攻击。

第二，花钱，大家都懂的。总之还是那句话，设备部署还是看用户。

05 IPSEC VPN

把 IPSEC VPN放到网络安全防护里，其实是因为大多数情况下， IPSEC VPN的使用都是通过上述设备来做的，而且通过加密隧道访问网络，本身也是对网络的一种安全防护。

定义 : 采用 IPSec 协议来实现远程接入的一种 VPN技术。

功能 : 通过使用 IPSEC VPN使客户端或一个网络与另外一个网络连接起来，多数用在分支机构与总部连接。

部署方式 : 网关模式、旁路模式

鉴于网关类设备基本都具备 IPSEC VPN功能，所以很多情况下都是直接在网关设备上启用 IPSEC VPN功能，也有个别情况新购买IPSEC VPN设备，在对现有网络没有影响的情况下进行旁路部署，部署后需要对 IPSEC VPN设备放通安全规则，做端口映射等等。

也可以使用 windows server 部署 VPN。相比硬件设备，自己部署没有什么花费，但 IPSEC VPN受操作系统影响，相比硬件设备稳定性会差一些。

以上设备常见厂家：

Juniper Check Point Fortinet （飞塔）思科天融信山石网科启明星辰深信服绿盟网御星云网御神州华赛梭子鱼迪普 H3C

06 网闸

定义 : 全称安全隔离网闸。安全隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。

功能 : 主要是在两个网络之间做隔离并需要数据交换，网闸是具有中国特色的产品。

部署方式 : 两套网络之间

防火一般在两套网络之间做逻辑隔离，而网闸符合相关要求，可以做物理隔离，阻断网络中 tcp 等协议，使用私有协议进行数据交换，一般企业用的比较少，在对网络要求稍微高一些的单位会用到网闸 .

07 SSL VPN

定义 : 采用 SSL协议的一种 VPN技术，相比 IPSEC VPN使用起来要更加方便，毕竟 SSL VPN使用浏览器即可使用。

功能 : 随着移动办公的快速发展，SSL VPN的使用也越来越多，除了移动办公使用，通过浏览器登录SSL VPN连接到其他网络也十分方便， IPSEC VPN更倾向网络接入，而 SSL VPN更倾向对应用发布

部署 : SSL VPN的部署一般采用旁路部署方式，在不改变用户网络的状况下实现移动办公等功能。

08 WAF (Web Application Firewall) web 应用防护系统

定义 : 名称就可以看出， WAF的防护方面是 web应用，说白了防护的对象是网站及 B/S 结构的各类系统。

功能 : 针对 HTTP/HTTPS协议进行分析，对 SQL注入攻击、XSS攻击 Web攻击进行防护，并具备基于 URL 的访问控制；HTTP协议合规；Web敏感信息防护；文件上传下载控制；Web 表单关键字过滤。网页挂马防护， Webshell 防护以及 web应用交付等功能。

部署 : 通常部署在 web应用服务器前进行防护

IPS 也能检测出部分web攻击，但没有WAF针对性强，所以根据防护对象不同选用不同设备，效果更好。

09 网络安全审计

定义 : 审计网络方面的相关内容

功能 : 针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。满足用户对互联网行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。

部署 : 采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到审计设备。

10 数据库安全审计

定义 : 数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为。

功能 : 审计对数据库的各类操作，精确到每一条 SQL命令，并有强大的报表功能。

部署 : 采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到审计设备。

11 日志审计

定义 : 集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。

功能 : 通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不间断运营安全部署 : 旁路模式部署。通常由设备发送日志到审计设备，或在服务器中安装代理，由代理发送日志到审计设备。

12 运维安全审计 ( 堡垒机 )

定义 : 在一个特定的网络环境下，为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、记录、分析、处理的一种技术手段。

功能 : 主要是针对运维人员维护过程的全面跟踪、控制、记录、回放，以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放

部署 : 旁路模式部署。使用防火墙对服务器访问权限进行限制，只能通过堡垒机对网络设备 / 服务器 / 数据库等系统操作。

可以看出审计产品最终的目的都是审计，只不过是审计的内容不同而已，根据不同需求选择不同的审计产品，一旦出现攻击、非法操作、违规操作、误操作等行为，对事后处理提供有利证据。

13 入侵检测（ IDS）

定义 : 对入侵攻击行为进行检测

功能 : 通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

部署 : 采用旁路部署模式，通过在核心交换机上设置镜像口，将镜像数据发送到入侵检测设备。

入侵检测虽然是入侵攻击行为检测，但监控的同时也对攻击和异常数据进行了审计，所以把入侵检测系统也放到了审计里一起介绍。入侵检测系统是等保三级中必配设备。

14 上网行为管理

定义 : 顾名思义，就是对上网行为进行管理

功能 : 对上网用户进行流量管理、上网行为日志进行审计、对应用软件或站点进行阻止或流量限制、关键字过滤等

部署 : 网关部署、透明部署、旁路部署

网关部署 : 中小型企业网络较为简单，可使用上网行为管理作为网关，代替路由器或防火墙并同时具备上网行为管理功能

透明部署 : 大多数情况下，企业会选择透明部署模式，将设备部署在网关与核心交换之间，对上网数据进行管理

旁路部署 : 仅需要上网行为管理审计功能时，也可选择旁路部署模式，在核心交换机上配置镜像口将数据发送给上网行为管理

个人觉得上网行为管理应该属于网络优化类产品，流控功能是最重要的功能，随着技术的发展，微信认证、防便携式 wifi 等功能不断完善使之成为了网工的最爱。

15 负载均衡

定义 : 将网络或应用多个工作分摊进行并同时完成，一般分为链路负载和应用负载 ( 服务器负载 )

功能 : 确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群 , 扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性

部署 : 旁路模式、网关模式、代理模式

旁路模式 : 通常使用负载均衡进行应用负载时，旁路部署在相关应用服务器交换机上，进行应用负载

网关模式 : 通常使用链路负载时，使用网关模式部署

随着各种业务的增加，负载均衡的使用也变得广泛， web应用负载，数据库负载都是比较常见的服务器负载。鉴于国内运营商比较恶心，互联互通问题较为严重，使用链路负载的用户也比越来越多。

16 漏洞扫描

定义 : 漏洞扫描是指基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。

功能 : 根据自身漏洞库对目标进行脆弱性检测，并生产相关报告，提供漏洞修复意见等。一般企业使用漏洞扫描较少，主要是大型网络及等分保检测机构使用较多。

部署 : 旁路部署，通常旁路部署在核心交换机上，与检测目标网络可达即可。

17 异常流量清洗

对异常流量的牵引、 DDoS流量清洗、 P2P带宽控制、流量回注，也是现有针对 DDOS攻击防护的主要设备。

部署 : 旁路部署

18 VPN

定义：VPN （ Virtual Private Network ）虚拟专用网络 ,简单的讲就是因为一些特定的需求，在网络与网络之间，或终端与网络之间建立虚拟的专用网络，通过加密隧道进行数据传输 ( 当然也有不加密的 ) ，因其部署方便且具有一定的安全保障，被广泛运用到各个网络环境中。

分类：常见的 VPN有 L2TP VPN 、PPTP、VPN、IPSEC、VPN、SSL、VPN以及 MPLS VPN。

部署：主要采用网关模式和旁路模式部署两种。

使用专业VPN硬件设备建立VPN时多为旁路部署模式，对现有网络不需要改动，即使 VPN设备出现问题也不会影响现有网络。使用防火墙 / 路由器自带VPN功能建立 VPN时, 随其硬件部署模式部署。

实现方式：

1. 通过使用专业 VPN软件来建立 VPN

优点 : 投入较少，部署比较灵活

缺点 : 稳定性受服务器硬件、操作系统等因素影响

2. 通过使用服务器自行架设 VPN服务器建立 VPN，windows 服务器为主

优点 : 投入较少，部署比较灵活， windows 系统自带

缺点 : 稳定性受服务器硬件、操作系统等因素影响，需自行配置

3. 通过使用防火墙 / 路由器设备自带 VPN功能建立 VPN

优点 : 投入较少，稳定性好

缺点 : 因使用现有设备自带 VPN模块，对 VPN访问量较大的需求不建议使用，以免出现设备性能不足影响防火墙 / 路由器使用。作为现有设备的自带模块，无法满足用户特殊要求。部署方式相对固定

4. 通过使用专业的 VPN硬件设备建立 VPN

优点 : 产品成熟适用于各种 VPN场景应用，功能强大，性能稳定。

缺点 : 比较花钱，硬件设备需要花钱，用户授权需要花钱，反正啥都需要花钱

19 MPLS

VPN 运营商使用较多，使用场景多为总部与分支机构之间。

其他 VPN因部署方便，成本较低成为现在使用最为广泛的 VPN。

L2TP VPN与 PPTP VPN因使用的隧道协议都属于二层协议，所以也称为二层 VPN。IPSEC VPN则采用 IPSec 协议，属于三层 VPN。

SSL VPN是以 HTTPS协议为基础 VPN技术，使用维护简单安全，成为 VPN技术中的佼佼者

整理：老杨丨10年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部