震惊！网络安全入门攻略，看完感觉自己能拯救世界！

网络安全_入门教程

已于 2025-03-12 10:39:28 修改

阅读量1k

点赞数 18

文章标签： web安全网络 php 开发语言 java 数据库安全

于 2025-03-12 10:03:49 首次发布

本文链接：https://blog.csdn.net/Python84310366/article/details/146197524

版权

一、防火墙：网络世界的“门神”

1.1 防火墙是啥？

定义： 大家都知道防火墙是用来防 বাইরের 坏蛋的，但它对付不了屋子里的“熊孩子”（比如ARP病毒之类的内部攻击）。

1.2 防火墙能干啥？

功能： 防火墙就像是两个网络之间的“保安”，主要负责企业内网和互联网之间的NAT转换、数据包过滤、端口映射等等。在生产网和办公网之间，它主要用来做逻辑隔离，核心功能就是数据包过滤。

1.3 防火墙咋部署？

部署方式： 有网关模式和透明模式两种。

网关模式

：现在最流行的模式，能代替路由器，功能更多，适合各种企业。
透明模式

：不改变现有网络结构，把防火墙像“隐形眼镜”一样串联到网络里，通过数据包过滤规则来控制访问，划分安全区域。

至于用哪种模式，完全看你家网络咋样，没有最好的，只有最合适的！服务器要不要放进“DMZ区”（非军事区）？看服务器数量和重要性再决定。

总之，部署方式你说了算！

1.4 防火墙的高级玩法

高可用性： 为了保证网络7x24小时不掉线，现在的设备都支持主-主、主-备等各种高级部署方式，简直是“双保险”！

二、防毒墙：专治各种“网络病毒”

2.1 防毒墙又是啥？

定义： 跟防火墙比，它更“专一”，专门对付病毒。

2.2 防毒墙有啥本事？

功能： 除了防火墙的功能，它还有个“病毒特征库”，能把数据跟病毒特征库里的信息比对，查杀病毒。

2.3 防毒墙咋用？

部署方式： 跟防火墙差不多，大多数时候用透明模式部署在防火墙或路由器后面，或者服务器前面，专门负责病毒防范和查杀。

三、入侵防御（IPS）：网络攻击的“克星”

3.1 入侵防御是啥？

定义： 跟防火墙比，它也更“专一”，专门对付各种网络攻击。防火墙通过控制“五元组”（源IP、目的IP、源端口、目的端口、协议）来过滤数据包，而入侵防御IPS则会深入检查数据包（深度包检测DPI），查杀蠕虫、病毒、木马、拒绝服务等攻击。

3.2 入侵防御有啥用？

功能： 除了防火墙的功能，它还有个“IPS特征库”，专门防御各种攻击行为。

3.3 入侵防御咋部署？

部署方式： 跟防毒墙一样。

特别说明： 防火墙只管让符合规则的数据包通过，不管数据包里有没有病毒或攻击代码。防毒墙和入侵防御则会更深入地检查数据包，弥补了防火墙的不足。

四、统一威胁安全网关（UTM）：网络安全的“全能选手”

4.1 UTM是啥？

定义： 简单来说，就是把上面的防火墙、防毒墙、入侵防御三种设备的功能都整合到一起了，简直是“三合一”！

4.2 UTM有啥功能？

功能： 同时具备防火墙、防毒墙、入侵防御三个设备的功能。

4.3 UTM咋部署？

部署方式： 因为它可以代替防火墙，所以部署方式跟防火墙一样。

现在很多厂商都把防病毒和入侵防御作为防火墙的模块来卖。如果不考虑硬件性能和价格，开了防病毒模块和入侵防御模块的防火墙，其实就跟UTM一样。至于为什么网络里会同时出现UTM、防火墙、防毒墙、入侵检测，原因有二：

实际需要

：在服务器区前面部署防毒墙，既能防范外网病毒，也能检测和防护内网用户对服务器的攻击。
预算

：你懂的。

总之，设备部署还是看用户需求！

五、IPSEC VPN：加密隧道的“魔术师”

把IPSEC VPN放到网络安全防护里，是因为大多数情况下，IPSEC VPN都是通过上面的设备来实现的。而且，通过加密隧道访问网络，本身也是对网络的一种安全防护。

5.1 IPSEC VPN是啥？

定义： 采用IPSec协议来实现远程接入的一种VPN技术。至于什么是IPSec，什么是VPN，小伙伴们请自行百度！

5.2 IPSEC VPN有啥用？

功能： 通过IPSEC VPN，可以让客户端或一个网络连接到另一个网络，主要用在分支机构和总部的连接。

5.3 IPSEC VPN咋部署？

部署方式： 有网关模式和旁路模式两种。

因为网关类设备基本都有IPSEC VPN功能，所以很多时候都是直接在网关设备上启用IPSEC VPN功能。也有个别情况会新买IPSEC VPN设备，在不影响现有网络的情况下进行旁路部署，部署后需要对IPSEC VPN设备放通安全规则，做端口映射等等。

也可以用Windows Server部署VPN，需要的同学也请自行百度！相比硬件设备，自己部署不用花钱，但IPSEC VPN受操作系统影响，稳定性会比硬件设备差一些。

常见厂商（排名不分先后）：

Juniper、Check Point、Fortinet（飞塔）、思科、天融信、山石网科、启明星辰、深信服、绿盟、网御星云、网御神州、华赛、梭子鱼、迪普、H3C

六、网闸：网络隔离的“终极武器”

6.1 网闸是啥？

定义： 全称是“安全隔离网闸”。它是一种用专用硬件在电路上切断网络之间的链路层连接，同时又能在网络间进行安全适度的数据交换的网络安全设备。

6.2 网闸有啥用？

功能： 主要用在两个网络之间做隔离，同时又需要数据交换。网闸是具有中国特色的产品。

6.3 网闸咋部署？

部署方式： 部署在两套网络之间。

防火墙一般在两套网络之间做逻辑隔离，而网闸符合相关要求，可以做物理隔离，阻断网络中的TCP等协议，使用私有协议进行数据交换。一般企业用得比较少，在对网络要求比较高的单位会用到网闸。

七、SSL VPN：移动办公的“好帮手”

7.1 SSL VPN是啥？

定义： 采用SSL协议的一种VPN技术，比IPSEC VPN用起来更方便，毕竟SSL VPN用浏览器就能用。

7.2 SSL VPN有啥用？

功能： 随着移动办公的快速发展，SSL VPN用得越来越多。除了移动办公，通过浏览器登录SSL VPN连接到其他网络也很方便。IPSEC VPN更倾向于网络接入，而SSL VPN更倾向于应用发布。

7.3 SSL VPN咋部署？

部署方式： 一般采用旁路部署方式，在不改变用户网络的情况下实现移动办公等功能。

八、WAF（Web应用防火墙）：网站安全的“守护神”

8.1 WAF是啥？

定义： 从名字就能看出来，WAF的防护对象是Web应用，说白了就是网站和各种B/S结构的系统。

8.2 WAF有啥用？

功能： 针对HTTP/HTTPS协议进行分析，防御SQL注入攻击、XSS攻击等Web攻击，还有基于URL的访问控制、HTTP协议合规、Web敏感信息防护、文件上传下载控制、Web表单关键字过滤、网页挂马防护、Webshell防护以及Web应用交付等功能。

8.3 WAF咋部署？

部署方式： 通常部署在Web应用服务器前面进行防护。

IPS也能检测出部分Web攻击，但没有WAF那么专业。所以，根据防护对象不同，选择不同的设备，效果更好！

九、网络安全审计：网络行为的“监察官”

9.1 网络安全审计是啥？

定义： 就是审计网络方面的相关内容。

9.2 网络安全审计有啥用？

功能： 提供有效的互联网行为审计、内容审计、行为报警、行为控制及相关审计功能。满足用户对互联网行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、系统安全管理和风险防范。

9.3 网络安全审计咋部署？

部署方式： 采用旁路部署模式，在核心交换机上设置镜像口，把镜像数据发送到审计设备。

十、数据库安全审计：数据库操作的“记录员”

10.1 数据库安全审计是啥？

定义： 主要用来监视并记录对数据库服务器的各种操作行为。

10.2 数据库安全审计有啥用？

功能： 审计对数据库的各种操作，精确到每一条SQL命令，还有强大的报表功能。

10.3 数据库安全审计咋部署？

部署方式： 采用旁路部署模式，在核心交换机上设置镜像口，把镜像数据发送到审计设备。

十一、日志审计：信息系统的“日记本”

11.1 日志审计是啥？

定义： 集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各种信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理。结合丰富的日志统计汇总及关联分析功能，实现对信息系统日志的全面审计。

11.2 日志审计有啥用？

功能： 通过对网络设备、安全设备、主机和应用系统日志进行全面的标准化处理，及时发现各种安全威胁、异常行为事件，为管理人员提供全局的视角，确保客户业务的不间断运营安全。

11.3 日志审计咋部署？

部署方式： 旁路模式部署。通常由设备发送日志到审计设备，或者在服务器中安装代理，由代理发送日志到审计设备。

十二、运维安全审计（堡垒机）：运维操作的“监控室”

12.1 堡垒机是啥？

定义： 在一个特定的网络环境下，为了保障网络和数据不受来自内部合法用户的不合规操作带来的系统损坏和数据泄露，而运用各种技术手段实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，以便集中报警、记录、分析、处理的一种技术手段。

12.2 堡垒机有啥用？

功能： 主要针对运维人员维护过程进行全面跟踪、控制、记录、回放，帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放。

12.3 堡垒机咋部署？

部署方式： 旁路模式部署。使用防火墙对服务器访问权限进行限制，只能通过堡垒机对网络设备、服务器、数据库等系统进行操作。

可以看出，审计产品的最终目的都是审计，只是审计的内容不同。根据不同需求选择不同的审计产品，一旦出现攻击、非法操作、违规操作、误操作等行为，就能为事后处理提供有利证据。

十三、入侵检测（IDS）：攻击行为的“警报器”

13.1 入侵检测是啥？

定义： 对入侵攻击行为进行检测。

13.2 入侵检测有啥用？

功能： 通过对计算机网络或计算机系统中若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

13.3 入侵检测咋部署？

部署方式： 采用旁路部署模式，在核心交换机上设置镜像口，把镜像数据发送到入侵检测设备。

入侵检测虽然是入侵攻击行为检测，但监控的同时也对攻击和异常数据进行了审计，所以把入侵检测系统也放到了审计里一起介绍。入侵检测系统是等保三级中必备的设备。

十四、上网行为管理：员工上网的“管家”

14.1 上网行为管理是啥？

定义： 顾名思义，就是对上网行为进行管理。

14.2 上网行为管理有啥用？

功能： 对上网用户进行流量管理、上网行为日志进行审计、对应用软件或站点进行阻止或流量限制、关键字过滤等。

14.3 上网行为管理咋部署？

部署方式： 有网关部署、透明部署、旁路部署三种。

网关部署：

中小型企业网络比较简单，可以使用上网行为管理作为网关，代替路由器或防火墙，同时具备上网行为管理功能。
透明部署：

大多数情况下，企业会选择透明部署模式，把设备部署在网关和核心交换机之间，对上网数据进行管理。
旁路部署：

只需要上网行为管理审计功能时，也可以选择旁路部署模式，在核心交换机上配置镜像口，把数据发送给上网行为管理设备。

个人觉得上网行为管理应该属于网络优化类产品，流量控制功能是最重要的。随着技术的发展，微信认证、防便携式WiFi等功能不断完善，让它成为了网络管理员的最爱！

十五、负载均衡：网络流量的“调度员”

15.1 负载均衡是啥？

定义： 把网络或应用的工作分摊给多个设备同时完成，一般分为链路负载和应用负载（服务器负载）。

15.2 负载均衡有啥用？

功能： 确保用户的业务应用能够快速、安全、可靠地交付给内部员工和外部服务群，扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。

15.3 负载均衡咋部署？

部署方式： 有旁路模式、网关模式、代理模式三种。

旁路模式：

通常使用负载均衡进行应用负载时，旁路部署在相关应用服务器交换机上，进行应用负载。
网关模式：

通常使用链路负载时，使用网关模式部署。

随着各种业务的增加，负载均衡用得也越来越广泛，Web应用负载、数据库负载都是比较常见的服务器负载。鉴于国内运营商比较“坑”，互联互通问题比较严重，使用链路负载的用户也越来越多。

十六、漏洞扫描：系统漏洞的“体检医生”

16.1 漏洞扫描是啥？

定义： 基于漏洞数据库，通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测，发现可利用的漏洞的一种安全检测（渗透攻击）行为。

16.2 漏洞扫描有啥用？

功能： 根据自己的漏洞库对目标进行脆弱性检测，生成相关报告，提供漏洞修复意见等。一般企业用漏洞扫描比较少，主要是大型网络及等保、分保检测机构用得比较多。

16.3 漏洞扫描咋部署？

部署方式： 旁路部署，通常旁路部署在核心交换机上，与检测目标网络可达即可。

十七、异常流量清洗：网络流量的“清洁工”

17.1 异常流量清洗是啥？

定义： 看名字就知道了！

17.2 异常流量清洗有啥用？

功能： 对异常流量进行牵引、DDoS流量清洗、P2P带宽控制、流量回注，也是现有针对DDoS攻击防护的主要设备。

17.3 异常流量清洗咋部署？

部署方式： 旁路部署。

十八、VPN：虚拟专用网络的“任意门”

18.1 VPN是啥？

定义： VPN（Virtual Private Network）虚拟专用网络，简单来说就是因为一些特殊的需求，在网络与网络之间，或终端与网络之间建立虚拟的专用网络，通过加密隧道进行数据传输（当然也有不加密的）。因为它部署方便，而且有一定的安全保障，所以被广泛应用到各种网络环境中。

18.2 VPN有哪些种类？

常见VPN： L2TP VPN、PPTP VPN、IPSEC VPN、SSL VPN以及MPLS VPN。

MPLS VPN：

运营商用得比较多，使用场景多为总部与分支机构之间。其他VPN因为部署方便、成本低，成为现在用得最广泛的VPN。
L2TP VPN和PPTP VPN：

使用的隧道协议都属于二层协议，所以也称为二层VPN。
IPSEC VPN:

则采用IPSec协议，属于三层VPN。
SSL VPN:

是以HTTPS协议为基础的VPN技术，使用维护简单安全，成为VPN技术中的佼佼者。

18.3 VPN的部署、实现方式和应用场景

18.3.1 部署模式

主要采用网关模式和旁路模式部署两种。使用专业VPN硬件设备建立VPN时多为旁路部署模式，对现有网络不需要改动，即使VPN设备出现问题也不会影响现有网络。使用防火墙/路由器自带VPN功能建立VPN时，随其硬件部署模式部署。

18.3.2 实现方式

通过使用专业VPN软件来建立VPN
优点：

投入少，部署灵活。
缺点：

稳定性受服务器硬件、操作系统等因素影响。
通过使用服务器自行架设VPN服务器建立VPN（Windows服务器为主）
优点：

投入少，部署灵活，Windows系统自带。
缺点：

稳定性受服务器硬件、操作系统等因素影响，需要自行配置。
通过使用防火墙/路由器设备自带VPN功能建立VPN
优点：

投入少，稳定性好。
缺点：

因为使用现有设备自带VPN模块，对VPN访问量较大的需求不建议使用，以免出现设备性能不足影响防火墙/路由器使用。作为现有设备的自带模块，无法满足用户特殊要求。部署方式相对固定。
通过使用专业的VPN硬件设备建立VPN
优点：

产品成熟，适用于各种VPN场景应用，功能强大，性能稳定。
缺点：

比较费钱！硬件设备要钱，用户授权要钱，反正啥都要钱！

18.3.3 常见VPN应用场景

场景一：总部与分支机构互联

大型企业总部与分支机构通常使用MPLS VPN进行互联，相对于大型企业，中小型企业则选择使用投入较低的IPSEC VPN进行互联。

举个栗子： 某大型超市配送企业，总部与自营大型超市之间使用MPLS VPN进行数据传输，总部与自营小型超市则使用IPSEC VPN进行数据传输。根据各超市数据传输需要选择不同的VPN技术相结合使用，节约投入成本的同时最大限度地满足与总部的数据传输。
场景二：移动办公

网管远程维护设备、员工访问内网资源、老总出差电子签批等移动办公已成为企业信息化建设的重要组成部分，同时也为VPN市场带来了巨大商机。SSL VPN因为使用维护方便，成为了移动办公的不二之选，打开浏览器就能用。在没有SSL VPN的条件下，网管进行设备远程维护则通常使用L2TP VPN或PPTP VPN。
场景三：远程应用发布

SSL VPN中的功能，主要针对需要安装客户端的C/S服务访问需求，手机和平板因为屏幕大小、鼠标、键盘使用等因素体验感欠佳。特定场景下，PC访问效果较好。

举个栗子： 某公司财务部门对使用的财务软件做远程应用发布，其他用户无需安装财务软件客户端也可以方便使用。
场景四：手机APP与VPN结合

随着手机的普及，大家都希望通过手机能解决很多工作中的问题。手机APP解决了远程应用发布中存在的一些使用问题，但考虑到安全方面的问题，用户希望通过手机APP与VPN技术相结合，方便使用的同时也降低了安全风险。

举个栗子： 某集团OA手机APP，直接通过互联网地址映射访问存在一定安全隐患，配合VPN技术使用，先将手机与集团建立VPN隧道，再通过APP访问集团内部OA APP服务器。