網(wǎng)絡安全到底怎么學？

其實入門這東西并不一定代表要學的特別透徹，你看，搞弱電的總想著多學點網(wǎng)絡，學網(wǎng)絡的總想著多看點開發(fā)，搞開發(fā)的又覺得安全不錯……這就是個輪回啊。

這個行業(yè)要是深入學習，真的可以學上個幾百年，沒有容易學的東西，沉下心+堅持才是拿下一切的根本之道。

很多想了解網(wǎng)絡安全的打工人，大多數(shù)都沒學過安全技術和產(chǎn)品，編程可能從未接觸過，也不必談經(jīng)手過幾個項目了。

學習網(wǎng)絡安全，第一步并不是要把安全學的多深入，而是要把基礎穩(wěn)固，學習之后的內容才能有效率。

“還是先打好基礎吧，老弟！”

今天，我就和你分享一篇關于網(wǎng)絡安全的基礎知識，希望能幫助到你。

01 防火墻（Firewall）

定義：都知道防火墻是干什么用的，但我覺得需要特別提醒一下，防火墻抵御的是外部的攻擊，并不能對內部的病毒 ( 如ARP病毒 ) 或攻擊沒什么太大作用。

功能 : 

防火墻的功能主要是兩個網(wǎng)絡之間做邊界防護， 企業(yè)中更多使用的是企業(yè)內網(wǎng)與互聯(lián)網(wǎng)的 NAT、包過濾規(guī)則、端口映射等功能。生產(chǎn)網(wǎng)與辦公網(wǎng)中做邏輯隔離使用， 主要功能是包過濾規(guī)則的使用。

部署方式 : 網(wǎng)關模式、透明模式

網(wǎng)關模式是現(xiàn)在用的最多的模式， 可以替代路由器并提供更多的功能，適用于各種類型企業(yè)透明部署是在不改變現(xiàn)有網(wǎng)絡結構的情況下，將防火墻以透明網(wǎng)橋的模式串聯(lián)到企業(yè)的網(wǎng)絡中間， 通過包過濾規(guī)則進行訪問控制，做安全域的劃分。

至于什么時候使用網(wǎng)關模式或者使用透明模式， 需要根據(jù)自身需要決定， 沒有絕對的部署方式。需不需要將服務器部署在 DMZ區(qū)，取決于服務器的數(shù)量、 重要性，總之怎么部署都是用戶自己的選擇。

高可用性 : 為了保證網(wǎng)絡可靠性，現(xiàn)在設備都支持主-主、主- 備等各種部署。

02 防毒墻

定義 : 相對于防火墻來說，一般都具有防火墻的功能， 防御的對象更具有針對性，那就是病毒。

功能 : 同防火墻， 并增加病毒特征庫， 對數(shù)據(jù)進行與病毒特征庫進行比對，進行查殺病毒。

部署方式 : 同防火墻，大多數(shù)時候使用透明模式部署在防火墻或路由器后或部署在服務器之前，進行病毒防范與查殺

03 入侵防御 (IPS)

定義 : 相對于防火墻來說，一般都具有防火墻的功能，防御的對象更具有針對性， 那就是攻擊。防火墻是通過對五元組進行控制，達到包過濾的效果， 而入侵防御 IPS，則是將數(shù)據(jù)包進行檢測 （深度包檢測 DPI）對蠕蟲、病毒、木馬、拒絕服務等攻擊進行查殺。

功能 : 同防火墻，并增加 IPS 特征庫，對攻擊行為進行防御。

部署方式 : 同防毒墻。

特別說明一下 : 防火墻允許符合規(guī)則的數(shù)據(jù)包進行傳輸，對數(shù)據(jù)包中是否有病毒代碼或攻擊代碼并不進行檢查， 而防毒墻和入侵防御則通過更深的對數(shù)據(jù)包的檢查彌補了這一點。

04 統(tǒng)一威脅安全網(wǎng)關 (UTM)

定義 : 簡單的理解， 把威脅都統(tǒng)一了，其實就是把上面三個設備整合到一起了。

功能 : 同時具備防火墻、 防毒墻、入侵防護三個設備的功能。

部署方式 : 因為可以代替防火墻功能， 所以部署方式同防火墻。

現(xiàn)在大多數(shù)廠商，防病毒和入侵防護已經(jīng)作為防火墻的模塊來用，在不考慮硬件性能以及費用的情況下， 開啟了防病毒模塊和入侵防護模塊的防火墻，和UTM其實是一樣的。

至于為什么網(wǎng)絡中同時會出現(xiàn) UTM和防火墻、防病毒、入侵檢測同時出現(xiàn)。

第一，實際需要，在服務器區(qū)前部署防毒墻， 防護外網(wǎng)病毒的同時， 也可以檢測和防護內網(wǎng)用戶對服務器的攻擊。

第二，花錢，大家都懂的?？傊€是那句話，設備部署還是看用戶。

05 IPSEC VPN

把 IPSEC VPN放到網(wǎng)絡安全防護里，其實是因為大多數(shù)情況下， IPSEC VPN的使用都是通過上述設備來做的，而且通過加密隧道訪問網(wǎng)絡，本身也是對網(wǎng)絡的一種安全防護。

定義 : 采用 IPSec 協(xié)議來實現(xiàn)遠程接入的一種 VPN技術。

功能 : 通過使用 IPSEC VPN使客戶端或一個網(wǎng)絡與另外一個網(wǎng)絡連接起來，多數(shù)用在分支機構與總部連接。

部署方式 : 網(wǎng)關模式、旁路模式

鑒于網(wǎng)關類設備基本都具備 IPSEC VPN功能，所以很多情況下都是直接在網(wǎng)關設備上啟用 IPSEC VPN功能，也有個別情況新購買IPSEC VPN設備，在對現(xiàn)有網(wǎng)絡沒有影響的情況下進行旁路部署，部署后需要對 IPSEC VPN設備放通安全規(guī)則，做端口映射等等。

也可以使用 windows server 部署 VPN。相比硬件設備，自己部署沒有什么花費，但 IPSEC VPN受操作系統(tǒng)影響，相比硬件設備穩(wěn)定性會差一些。

以上設備常見廠家：

Juniper Check Point Fortinet （飛塔）思科 天融信 山石網(wǎng)科 啟明星辰 深信服 綠盟 網(wǎng)御星云 網(wǎng)御神州 華賽 梭子魚 迪普 H3C

06 網(wǎng)閘

定義 : 全稱安全隔離網(wǎng)閘。安全隔離網(wǎng)閘是一種由帶有多種控制功能專用硬件在電路上切斷網(wǎng)絡之間的鏈路層連接， 并能夠在網(wǎng)絡間進行安全適度的應用數(shù)據(jù)交換的網(wǎng)絡安全設備。

功能 : 主要是在兩個網(wǎng)絡之間做隔離并需要數(shù)據(jù)交換，網(wǎng)閘是具有中國特色的產(chǎn)品。

部署方式 : 兩套網(wǎng)絡之間

防火一般在兩套網(wǎng)絡之間做邏輯隔離， 而網(wǎng)閘符合相關要求，可以做物理隔離，阻斷網(wǎng)絡中 tcp 等協(xié)議，使用私有協(xié)議進行數(shù)據(jù)交換，一般企業(yè)用的比較少， 在對網(wǎng)絡要求稍微高一些的單位會用到網(wǎng)閘 .

07  SSL VPN

定義 : 采用 SSL協(xié)議的一種 VPN技術，相比 IPSEC VPN使用起來要更加方便，畢竟 SSL VPN使用瀏覽器即可使用。

功能 : 隨著移動辦公的快速發(fā)展，SSL VPN的使用也越來越多，除了移動辦公使用，通過瀏覽器登錄SSL VPN連接到其他網(wǎng)絡也十分方便， IPSEC VPN更傾向網(wǎng)絡接入，而 SSL VPN更傾向對應用發(fā)布

部署 : SSL VPN的部署一般采用旁路部署方式，在不改變用戶網(wǎng)絡的狀況下實現(xiàn)移動辦公等功能。

08 WAF (Web Application Firewall) web 應用防護系統(tǒng)

定義 : 名稱就可以看出， WAF的防護方面是 web應用，說白了防護的對象是網(wǎng)站及 B/S 結構的各類系統(tǒng)。

功能 : 針對 HTTP/HTTPS協(xié)議進行分析，對 SQL注入攻擊、XSS攻擊 Web攻擊進行防護，并具備基于 URL 的訪問控制；HTTP協(xié)議合規(guī)；Web敏感信息防護；文件上傳下載控制；Web 表單關鍵字過濾。網(wǎng)頁掛馬防護， Webshell 防護以及 web應用交付等功能。

部署 : 通常部署在 web應用服務器前進行防護

IPS 也能檢測出部分web攻擊，但沒有WAF針對性強，所以根據(jù)防護對象不同選用不同設備，效果更好 。

09 網(wǎng)絡安全審計

定義 : 審計網(wǎng)絡方面的相關內容

功能 : 針對互聯(lián)網(wǎng)行為提供有效的行為審計、 內容審計、 行為報警、行為控制及相關審計功能。滿足用戶對互聯(lián)網(wǎng)行為審計備案及安全保護措施的要求，提供完整的上網(wǎng)記錄，便于信息追蹤、系統(tǒng)安全管理和風險防范。

部署 : 采用旁路部署模式，通過在核心交換機上設置鏡像口，將鏡像數(shù)據(jù)發(fā)送到審計設備。

10 數(shù)據(jù)庫安全審計

定義 : 數(shù)據(jù)庫安全審計系統(tǒng)主要用于監(jiān)視并記錄對數(shù)據(jù)庫服務器的各類操作行為。

功能 : 審計對數(shù)據(jù)庫的各類操作，精確到每一條 SQL命令，并有強大的報表功能。

部署 : 采用旁路部署模式，通過在核心交換機上設置鏡像口，將鏡像數(shù)據(jù)發(fā)送到審計設備。

11 日志審計

定義 : 集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問記錄、系統(tǒng)運行日志、系統(tǒng)運行狀態(tài)等各類信息，經(jīng)過規(guī)范化、過濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進行集中存儲和管理，結合豐富的日志統(tǒng)計匯總及關聯(lián)分析功能， 實現(xiàn)對信息系統(tǒng)日志的全面審計。

功能 : 通過對網(wǎng)絡設備、安全設備、主機和應用系統(tǒng)日志進行全面的標準化處理，及時發(fā)現(xiàn)各種安全威脅、異常行為事件，為管理人員提供全局的視角，確保客戶業(yè)務的不間斷運營安全部署 : 旁路模式部署。通常由設備發(fā)送日志到審計設備， 或在服務器中安裝代理，由代理發(fā)送日志到審計設備。

12 運維安全審計 ( 堡壘機 )

定義 : 在一個特定的網(wǎng)絡環(huán)境下，為了保障網(wǎng)絡和數(shù)據(jù)不受來自內部合法用戶的不合規(guī)操作帶來的系統(tǒng)損壞和數(shù)據(jù)泄露， 而運用各種技術手段實時收集和監(jiān)控網(wǎng)絡環(huán)境中每一個組成部分的系統(tǒng)狀態(tài)、安全事件、網(wǎng)絡活動，以便集中報警、記錄、分析、處理的一種技術手段。

功能 : 主要是針對運維人員維護過程的全面跟蹤、 控制、記錄、回放，以幫助內控工作事前規(guī)劃預防、事中實時監(jiān)控、違規(guī)行為響應、事后合規(guī)報告、事故追蹤回放。

部署 : 旁路模式部署。使用防火墻對服務器訪問權限進行限制，只能通過堡壘機對網(wǎng)絡設備 / 服務器 / 數(shù)據(jù)庫等系統(tǒng)操作。

可以看出審計產(chǎn)品最終的目的都是審計，只不過是審計的內容不同而已， 根據(jù)不同需求選擇不同的審計產(chǎn)品， 一旦出現(xiàn)攻擊、非法操作、違規(guī)操作、誤操作等行為，對事后處理提供有利證據(jù)。

13 入侵檢測（ IDS）

定義 : 對入侵攻擊行為進行檢測

功能 : 通過對計算機網(wǎng)絡或計算機系統(tǒng)中若干關鍵點收集信息并對其進行分析， 從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象

部署 : 采用旁路部署模式，通過在核心交換機上設置鏡像口，將鏡像數(shù)據(jù)發(fā)送到入侵檢測設備。

入侵檢測雖然是入侵攻擊行為檢測， 但監(jiān)控的同時也對攻擊和異常數(shù)據(jù)進行了審計，所以把入侵檢測系統(tǒng)也放到了審計里一起介紹。入侵檢測系統(tǒng)是等保三級中必配設備。

14 上網(wǎng)行為管理

定義 : 顧名思義，就是對上網(wǎng)行為進行管理

功能 : 對上網(wǎng)用戶進行流量管理、上網(wǎng)行為日志進行審計、對應用軟件或站點進行阻止或流量限制、關鍵字過濾等

部署 : 網(wǎng)關部署、透明部署、旁路部署

網(wǎng)關部署 : 中小型企業(yè)網(wǎng)絡較為簡單，可使用上網(wǎng)行為管理作為網(wǎng)關， 代替路由器或防火墻并同時具備上網(wǎng)行為管理功能

透明部署 : 大多數(shù)情況下，企業(yè)會選擇透明部署模式，將設備部署在網(wǎng)關與核心交換之間，對上網(wǎng)數(shù)據(jù)進行管理

旁路部署 : 僅需要上網(wǎng)行為管理審計功能時，也可選擇旁路部署模式， 在核心交換機上配置鏡像口將數(shù)據(jù)發(fā)送給上網(wǎng)行為管理

個人覺得上網(wǎng)行為管理應該屬于網(wǎng)絡優(yōu)化類產(chǎn)品， 流控功能是最重要的功能，隨著技術的發(fā)展，微信認證、防便攜式 wifi 等功能不斷完善使之成為了網(wǎng)工的最愛。

15 負載均衡

定義 : 將網(wǎng)絡或應用多個工作分攤進行并同時完成， 一般分為鏈路負載和應用負載 ( 服務器負載 ) 

功能 : 確保用戶的業(yè)務應用能夠快速、 安全、可靠地交付給內部員工和外部服務群 , 擴展網(wǎng)絡設備和服務器的帶寬、 增加吞吐量、加強網(wǎng)絡數(shù)據(jù)處理能力、提高網(wǎng)絡的靈活性和可用性

部署 : 旁路模式、網(wǎng)關模式、代理模式

旁路模式 : 通常使用負載均衡進行應用負載時，旁路部署在相關應用服務器交換機上，進行應用負載

網(wǎng)關模式 : 通常使用鏈路負載時，使用網(wǎng)關模式部署

隨著各種業(yè)務的增加，負載均衡的使用也變得廣泛， web應用負載，數(shù)據(jù)庫負載都是比較常見的服務器負載。鑒于國內運營商比較惡心，互聯(lián)互通問題較為嚴重，使用鏈路負載的用戶也比越來越多。

16 漏洞掃描

定義 : 漏洞掃描是指基于漏洞數(shù)據(jù)庫， 通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的安全脆弱性進行檢測， 發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊）行為。

功能 : 根據(jù)自身漏洞庫對目標進行脆弱性檢測， 并生產(chǎn)相關報告，提供漏洞修復意見等。一般企業(yè)使用漏洞掃描較少，主要是大型網(wǎng)絡及等、分保檢測機構使用較多。

部署 : 旁路部署， 通常旁路部署在核心交換機上， 與檢測目標網(wǎng)絡可達即可。

17 異常流量清洗

對異常流量的牽引、 DDoS流量清洗、 P2P帶寬控制、流量回注，也是現(xiàn)有針對 DDOS攻擊防護的主要設備。

部署 : 旁路部署

18 VPN

定義：VPN （ Virtual Private Network ）虛擬專用網(wǎng)絡 ,簡單的講就是因為一些特定的需求， 在網(wǎng)絡與網(wǎng)絡之間， 或終端與網(wǎng)絡之間建立虛擬的專用網(wǎng)絡，通過加密隧道進行數(shù)據(jù)傳輸 ( 當然也有不加密的 ) ，因其部署方便且具有一定的安全保障，被廣泛運用到各個網(wǎng)絡環(huán)境中。

分類：常見的 VPN有 L2TP VPN 、PPTP、VPN、IPSEC、VPN、SSL、VPN以及 MPLS VPN。

部署：主要采用網(wǎng)關模式和旁路模式部署兩種。

使用專業(yè)VPN硬件設備建立VPN時多為旁路部署模式， 對現(xiàn)有網(wǎng)絡不需要改動， 即使 VPN設備出現(xiàn)問題也不會影響現(xiàn)有網(wǎng)絡。使用防火墻 / 路由器自帶VPN功能建立 VPN時, 隨其硬件部署模式部署。

實現(xiàn)方式：

1. 通過使用專業(yè) VPN軟件來建立 VPN 

優(yōu)點 : 投入較少，部署比較靈活

缺點 : 穩(wěn)定性受服務器硬件、操作系統(tǒng)等因素影響

2. 通過使用服務器自行架設 VPN服務器建立 VPN，windows 服務器為主

優(yōu)點 : 投入較少，部署比較靈活， windows 系統(tǒng)自帶

缺點 : 穩(wěn)定性受服務器硬件、操作系統(tǒng)等因素影響，需自行配置

3. 通過使用防火墻 / 路由器設備自帶 VPN功能建立 VPN

優(yōu)點 : 投入較少，穩(wěn)定性好

缺點 : 因使用現(xiàn)有設備自帶 VPN模塊，對 VPN訪問量較大的需求不建議使用，以免出現(xiàn)設備性能不足影響防火墻 / 路由器使用。作為現(xiàn)有設備的自帶模塊，無法滿足用戶特殊要求。部署方式相對固定

4. 通過使用專業(yè)的 VPN硬件設備建立 VPN

優(yōu)點 : 產(chǎn)品成熟適用于各種 VPN場景應用，功能強大，性能穩(wěn)定。

缺點 : 比較花錢，硬件設備需要花錢， 用戶授權需要花錢， 反正啥都需要花錢

19 MPLS 

VPN 運營商使用較多，使用場景多為總部與分支機構之間。

其他 VPN因部署方便，成本較低成為現(xiàn)在使用最為廣泛的 VPN。

L2TP VPN與 PPTP VPN因使用的隧道協(xié)議都屬于二層協(xié)議，所以也稱為二層 VPN。IPSEC VPN則采用 IPSec 協(xié)議，屬于三層 VPN。

SSL VPN是以 HTTPS協(xié)議為基礎 VPN技術，使用維護簡單安全，成為 VPN技術中的佼佼者。