一.防火墻

定義 : 相信大家都知道防火墻是干什么用的， 防火墻抵御的是外部的攻擊，并不能對(duì)內(nèi)部的病毒 ( 如ARP病毒 ) 或攻擊沒什么太大作用。

功能 : 防火墻的功能主要是兩個(gè)網(wǎng)絡(luò)之間做邊界防護(hù)， 企業(yè)中更多使用的是企業(yè)內(nèi)網(wǎng)與互聯(lián)網(wǎng)的 NAT、包過濾規(guī)則、端口映射等功能。生產(chǎn)網(wǎng)與辦公網(wǎng)中做邏輯隔離使用， 主要功能是包過濾規(guī)則的使用。

部署方式 : 網(wǎng)關(guān)模式、透明模式 :

網(wǎng)關(guān)模式是現(xiàn)在用的最多的模式， 可以替代路由器并提供更多的功能，適用于各種類型企業(yè)透明部署是在不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)的情況下，將防火墻以透明網(wǎng)橋的模式串聯(lián)到企業(yè)的網(wǎng)絡(luò)中間， 通過包過濾規(guī)則進(jìn)行訪問控制，做安全域的劃分。至于什么時(shí)候使用網(wǎng)關(guān)模式或者使用透明模式， 需要根據(jù)自身需要決定， 沒有絕對(duì)的部署方式。需不需要將服務(wù)器部署在 DMZ區(qū)，取決于服務(wù)器的數(shù)量、 重要性。

總之怎么部署都是用戶自己的選擇!

高可用性 : 為了保證網(wǎng)絡(luò)可靠性， 現(xiàn)在設(shè)備都支持主 - 主、主- 備，等各種部署

二.防毒墻

定義 : 相對(duì)于防火墻來說，一般都具有防火墻的功能， 防御的對(duì)象更具有針對(duì)性，那就是病毒。

功能 : 同防火墻， 并增加病毒特征庫， 對(duì)數(shù)據(jù)進(jìn)行與病毒特征庫進(jìn)行比對(duì)，進(jìn)行查殺病毒。

部署方式 : 同防火墻，大多數(shù)時(shí)候使用透明模式部署在防火墻或路由器后或部署在服務(wù)器之前，進(jìn)行病毒防范與查殺

三.入侵防御 (IPS)

定義 : 相對(duì)于防火墻來說，一般都具有防火墻的功能，防御的對(duì)象更具有針對(duì)性， 那就是攻擊。防火墻是通過對(duì)五元組進(jìn)行控制，達(dá)到包過濾的效果， 而入侵防御 IPS，則是將數(shù)據(jù)包進(jìn)行檢測 (深度包檢測 DPI)對(duì)蠕蟲、病毒、木馬、拒絕服務(wù)等攻擊進(jìn)行查殺。

功能 : 同防火墻，并增加 IPS 特征庫，對(duì)攻擊行為進(jìn)行防御。

部署方式 : 同防毒墻。

特別說明一下 : 防火墻允許符合規(guī)則的數(shù)據(jù)包進(jìn)行傳輸，對(duì)數(shù)據(jù)包中是否有病毒代碼或攻擊代碼并不進(jìn)行檢查， 而防毒墻和入侵防御則通過更深的對(duì)數(shù)據(jù)包的檢查彌補(bǔ)了這一點(diǎn)。

四.統(tǒng)一威脅安全網(wǎng)關(guān) (UTM)

定義 : 簡單的理解， 把威脅都統(tǒng)一了，其實(shí)就是把上面三個(gè)設(shè)備整合到一起了。

功能 : 同時(shí)具備防火墻、 防毒墻、入侵防護(hù)三個(gè)設(shè)備的功能。

部署方式 : 因?yàn)榭梢源娣阑饓δ埽?所以部署方式同防火墻

現(xiàn)在大多數(shù)廠商，防病毒和入侵防護(hù)已經(jīng)作為防火墻的模塊來用，在不考慮硬件性能以及費(fèi)用的情況下， 開啟了防病毒模塊和入侵防護(hù)模塊的防火墻，和UTM其實(shí)是一樣的。至于為什么網(wǎng)絡(luò)中同時(shí)會(huì)出現(xiàn) UTM和防火墻、防病毒、入侵檢測同時(shí)出現(xiàn)。

第一，實(shí)際需要，在服務(wù)器區(qū)前部署防毒墻， 防護(hù)外網(wǎng)病毒的同時(shí)， 也可以檢測和防護(hù)內(nèi)網(wǎng)用戶對(duì)服務(wù)器的攻擊。第二，花錢，大家都懂的。總之還是那句話，設(shè)備部署還是看用戶。