FW的选择与部署
FW在TCP/IP 协议的过滤方面表现出色,而在大多数情况下,可以提供网络地址转换,服务代理,流量统计等功能。通常部署于网络出口处,由于我们的企业级客户,以LAN网络建设为主,99%的项目都需要推荐配置FW。
IDS的选择与部署
IDS注重的是网络安全状况的监控。其核心价值在于通过对全网信息的监控和分析,了解信息系统安全建设方向以及安全策略的确立和调整,所以,若用户关注的是网络安全状况的监控,则可以给用户推荐IDS,并部署在网络内部的中心点,保证能够观测到所有网段的数据,如果网段太多,则需要实施分布式部署策略。
IPS的选择和部署
IPS关注的是对入侵行为的控制,其核心价值在于安全策略的实施以及对黑客攻击行为的阻击,尤其是它的应用层,安全防御策略,即可以在应用层检测出攻击并予以阻断。这是FW做不到的,所以右用户关注的是应用层网络安全策略的实施,则给用户推荐IPS。因此,必须部署在网络边界,串接在FW与交换机之间(对于DCN的多核USG而言,是直接在FW购买IPS升级许可),抵御来自外部入侵。
简单的包过滤防火墙
状态检测包过滤防火墙
应用代理防火墙
包过滤与应用代理复合型防火墙