n 常见网络安全设备 介绍 Safety training eguipment program 69 防火墙/IPS/IDS 2、WEB应用防火墙 3、准入控制 4、 网闸 5、堡垒机 6、数据库审计 7、 日志审计 PART 01 防火墙/PS/DS 防火墙/IPS/IDS 网络区域划分 人企业园区总部 对互联互通的网络进行区域划分，最小化安 B全业产区 全域，控制安全事件的影响范围。 区域边界隔离 企业内网管控用尚 联隔边界防市 防火墙部署在区域之间，阻断区域之间的互 联互通，防范跨区域安全事件的发生。 Internet 企业分支 数中心网流 边界访问控制 业业丽发区 @我的世界百科全书的 通过配置访问控制策略，灵活控制可通过边 Baidx 界的对象身份和权限，满足正常业务需求。 防火墙/IPS/IDS 1、路由模式 2、透明模式 3、混合模式 公网运营商 公网运营商 公网运营商 1.2.1.5/24 ETHI 路由器 ETH2透明口 透明口 LAN:192.168.1.254/24 VLAN2:192.168.2.1/24 VLAN2:1.2.1.2/24 ETH2:access VLAN3:192.168.3.1/24 GW:1.2.1.1 ETH2:TRUNK NGAF设备 ETH3路由口 1.2.1.6/24 NGAF设备 IP:192.168.1.1/24 ETHI:access ETHI:TRUNK VLAN2:192.168.1.254/24 三层交换机 VLAN3:192.168.2.254/24 192.168.1.1/24 192.168.2.1/24 交换机 192.168.3.1/24 192.168.2.0/24 192.168.2.0/24VLAN3: VLAN2: 192.168.3.0/24 192.168.3.0/24 192.168.2.0/24 GW: GW: 192.168.3.1 192.168.2.1 防火墙/IPS/IDS 4、旁路模式 现在大部分下一代防火墙都集成了IPS的功能， 运营商 IPS能够依据已知漏洞特征库，对被明确判断为攻击 行为、会对网络和数据造成危害的恶意行为进行检测 和防御。IPS依赖已知漏洞进行攻击防御的特点。 VLAN99,192.168.1.1/24 旁路镜像口：ETH1 VLAN100;172.16.1.1/24 糖像口 VLAN101,192.168.2.1/24 旁路部署方式可以理解为把防火墙当IDS用 ETHO IP：192.168.1.12/24 GW:192.168.1.1 VLAN101 172.16.1.0/24 192.168.2.0/24 服务器群 内网用户 防火墙/IPS/IDS 配置接口和区域 导航菜单 接口/区域 运行状态 物理接口子接口VLAN#口服合接口 GRE财道 区城接口联动 监控 网口快态 口 接口名标 WAN PING 接口类型 区域 连 口etho 香 允许 未选择区城 路由 换口/区 静 未择区城 口eth1 香 路 拒造 路由 静 虚拟网线 口eth2 香 - 透明 高级网络配量 TH 口eth3 振明 光口bypassi设责 untrust IPSecVPN 国 拒池 未选择区城 路由 静 口eths 香 拒绝 路由 朱选泽区城9 静 ·对象