基本的网络产品

一、VPN

1. 定义：

虚拟专用网络——在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用，VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。

2. 背景：

一个技术的出现都是由于某种需求触发的，那么为什么会出现VPN技术呢？VPN技术解决了什么问题？

在没有VPN之前，企业的总部和分部之间的互通都是采用运营商的internet进行通信，那么Internet中往往是不安全的，通信的内容可能被窃取、修改等，从而造成安全事件。

那么有没有一种技术既能实现总部和分部间的互通，也能够保证数据传输的安全性呢？答案是当然有。

一开始大家想到的是专线，在总部和分部拉条专线，只传输自己的业务，但是这个专线的费用却不是一般公司能够承受的。而且维护也很困难。

那么有没有成本也比较低的方案呢？有，那就是VPN。VPN通过在现有的Internet网中构建专用的虚拟网络，实现企业总部和分部的通信，解决了互通、安全、成本的问题。

3. 技术介绍：

VPN即虚拟专用网，指通过VPN技术在公有网络中构建专用的虚拟网络。用户在此虚拟网络中传输流量，从而在Internet网络中实现安全、可靠的连接。

（1）专用：VPN虚拟网络是专门给VPN用户使用的网络，对于用户而言，使用VPN和Internet，用户是不感知的，是由VPN虚拟网络提供安全保证。

（2）虚拟：相对于公有网络而言，VPN网络是虚拟的，是逻辑意义上的一个专网。

4. 技术优势：

安全：在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接，保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。

成本低：利用公共网络进行信息通讯，企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。

支持移动业务：支持出差VPN用户在任何时间、任何地点的移动接入，能够满足不断增长的移动业务需求。

可扩展性：由于VPN为逻辑上的网络，物理网络中增加或修改节点，不影响VPN的部署。

二、防火墙

1. 定义：

通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

2. 工作原理：

防火墙可以监控进出网络的通信量，从而完成看似不可能的任务，仅让安全、核准了的信息进入，同时又抵制对企业构成威胁的数据，说白了，它就像一个守城队，这个城处于紧张状态，只能让外界的良民进城，对城里的坏人进行盘点，不放走一个坏人。

入城盘点：入侵者想要进入一座城，它有多种方式，打扮成各种方式入城，例如，假口令、假令牌，伪装等。所以守城队是防上这种可疑的人员入城的，另外对于城内百姓，也是禁止百姓靠近城内的主要防御设施。

出城监视：同时为了更好地保护城内百姓，守城队当然还需要打探城外的动向，了解到那些地方安全，那些地方有危险，然后规定普通百姓想要出城，有一些地方能去，有些地方有危险不能去。

因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的：

1：可以限制他人进入内部网络，过滤掉不安全服务和非法用户；

2：防止入侵者接近你的防御设施；

3：限定用户访问特殊站点。

4：为监视Internet安全提供方便。

3. 架构和工作方式：

一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。

1、屏蔽路由器：

是一个多端口的IP路由器，它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项，对IP包进行过滤。

example：一堆人来到一个快要开盘楼盘售楼部买房，售楼小姐先需要对你们进行大概的登记和了解，你是否有正规工作，是否是本市户口，是否能正常贷款，首付多少,当进行这一系列的问题后，售楼小姐会对来买房的人员进行一个过滤。

2、代理服务器：

是防火墙中的一个服务器进程，它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关，它就是一个关口。

一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用，比如Telnet或者FTP，同代理服务器打交道，代理服务器要求用户提供其要访问的远程主机名。

当用户答复并提供了正确的用户身份及认证信息后，代理服务器连通远程主机，为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。

4. 功能：

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

三、IPS

互联网协议群（Internet Protocol Suite ，IPS）的简写，主要包括TCP/IP协议。防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。IPS是对防火墙的补充。入侵防御系统

流行的攻击程序和有害代码如 DoS （Denial of Service 拒绝服务)，DDoS(Distributed DoS分布式拒绝服务)，暴力猜解(Brut-Force-Attack)，端口扫描(Portscan)，嗅探，病毒，蠕虫，垃圾邮件，木马，SQL注入、跨站脚本。

1. 网络威胁现状：现在大多数病毒等网络威胁不再单纯地攻击电脑系统，而是被黑客攻击和不法分子利用，成为他们获取利益的工具。因此，传统的电脑病毒等网络威胁，正在向由利益驱动的、全面的网络威胁发展变化。
2. 入侵：指未经授权而尝试访问信息系统资源、篡改信息系统中的数据，使信息系统不可靠或不能使用的行为;入侵企图破坏信息系统的完整性、机密性、可用性以及可控性。典型的入侵行为有：

   篡改Web网页;

   破解系统密码;
   复制/查看敏感数据;
   使用网络嗅探工具获取用户密码;

   访问未经允许的服务器;
   其他特殊硬件获得原始网络包;

   向主机植入特洛伊木马程序。

四、IDS

入侵检测系统，用于入侵检测的所有软硬件系统;发现有违反安全策略的行为或系统存在被攻击的痕迹,立即启动有关安全机制进行应对。

IDS的主要作用是监控网络状况，侧重于风险管理。
IPS的主要作用是实时阻断入侵行为，侧重于风险控制。

五、交换机

六、路由器

路由器在网络层，路由器根据IP地址寻址，路由器可以处理TCP/IP协议，交换机不可以，交换机根据MAC地址寻址。交换机在数据链路层。

路由器可以把一个IP分配给很多个主机使用，这些主机对外只表现出一个IP。交换机可以把很多主机连起来，这些主机对外各有各的IP。

七、WAF

web应用防火墙，也称网站应用级入侵防御系统，WAF是一款专门针对web应用攻击的防护产品。相比传统的防火墙，WAF属于检测型及纠正型防御控制措施，它主要是通过执行一系列

针对http/https的安全策略来专门为web应用提供保护的一款产品。

分类：

• 硬件waf
• 软件waf