计算机网络-网络安全设备
防火墙做边界访问控制,IDS旁路检测报警,IPS串联实时阻断,网闸强物理隔离,VPN实现安全远程通信,蜜罐用于诱捕攻击者。
一、核心网络安全设备知识点梳理
1. 防火墙(Firewall)
- 定义:软硬件组成的系统,部署在安全与不安全网络之间(如内网与外网),根据规则过滤数据流。
- 核心局限:无法阻止内部发起的攻击。
- 工作模式:
- 串联模式:作为网络链路的一部分,直接控制流量。
- 旁路模式:不影响网络结构,仅监控状态。
- 本质:相当于路由器的访问控制列表(ACL),是安全策略的载体。
2. IDS(入侵检测系统)
- 定义:被动防御设备,主动监视网络/系统活动,发现可疑行为并发出警报,与防火墙等协同形成全面防护。
- 部署:旁路部署,不阻断流量,仅做检测与分析。
- 分类:基于主机的IDS(HIDS)、基于网络的IDS(NIDS)。
- 特点:侧重事后分析,无法实时阻断攻击。
3. IPS(入侵防御系统)
- 定义:在IDS基础上升级,主动防御设备,可实时中断、调整或隔离恶意流量。
- 部署:串联部署,在数据包转发前进行检查。
- 局限:对穿透防火墙的深层攻击行为(如应用层攻击)仍无法完全实时阻断。
- 对比IDS:IDS仅报警,IPS可实时防护与阻断。
4. 网闸(物理隔离网闸)
- 作用:用于政府、电力、金融等领域,在网络隔离级别上高于防火墙。
- 原理:通过物理手段断开网络连接,实现不同安全级别的网络隔离,仅提供可控的数据交换。
5. 漏洞扫描设备
- 作用:基于漏洞数据库,扫描远程/本地系统的安全脆弱性,发现可利用漏洞(渗透攻击行为)。
- 功能:识别网站、系统、数据库等的漏洞,提示修复并自动审计修复效率。
6. 流量探针
- 作用:对网络流量进行采集、分析与信息提取的工具。
7. VPN设备
- 定义:在公用网络上建立虚拟专用网络,节点间无物理链路,为逻辑连接。
- 核心原理:隧道技术、加密技术、身份验证。
- 主要功能:数据安全、远程访问、隐藏身份、绕过封锁。
- 协议分类:
- 二层隧道协议:PPTP、L2TP。
- 三层隧道协议:IPSec(最常用)。
- 其他:MPLS VPN、SSL VPN。
- 应用分类:
- Access VPN:客户端到网关,远程接入。
- Intranet VPN:网关到网关,连接公司内部资源。
- Extranet VPN:网关到网关,与合作伙伴企业互联。
- 设备类型分类:路由器式、交换机式、防火墙式(最常见)。
二、典型题目解析
题目1:关于IPS与IDS的说法错误的是?
选项分析:
- A:IPS能主动阻断攻击,IDS仅报警 ✅
- B:IDS通常旁路部署,IPS多旁路部署 ❌(IPS为串联部署,需实时处理流量)
- C:IPS会引入延迟,IDS需在数据包转发前检查 ❌(IDS旁路部署,无需转发前检查)
- D:IDS侧重事后分析,IPS侧重实时防护 ✅
答案:B、C(错误选项)
题目2:哪种设备通过模拟环境引诱攻击者,保护实际网络?
- A. 蜜罐系统 ✅
- B. 防火墙
- C. IDS
- D. 代理服务器
解析:蜜罐系统是专门设计的诱饵系统,用于诱捕攻击者,记录攻击行为,同时保护真实业务网络。
三、网络隔离技术对比
| 技术类型 | 核心原理 | 隔离强度 | 适用场景 |
|---|---|---|---|
| 物理隔离 | 物理断开网络连接 | 最高 | 高密级网络(如政务内网) |
| 逻辑隔离 | 防火墙/ACL控制流量 | 中 | 企业内网与外网边界 |
| 网闸 | 专用硬件实现链路断开与可控交换 | 极高 | 金融、电力等关键行业 |
四、设备防御能力对比
| 设备 | 防御阶段 | 核心能力 | 部署方式 |
|---|---|---|---|
| 防火墙 | 边界防护 | 访问控制、流量过滤 | 串联 |
| IDS | 检测告警 | 异常发现、事后分析 | 旁路 |
| IPS | 实时防御 | 攻击阻断、流量清洗 | 串联 |
| 蜜罐 | 诱捕防御 | 引诱攻击、行为分析 | 旁路 |