1.仅能发现已知漏洞，并给出修复建，在黑客入侵前防御。

1.用户识别

2.应用识别

3.流控管理

4.上网权限划分

负载均衡

1、负载均衡简介

负载均衡分为链路负载和应用负载，建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性，将同一个任务分摊到多个操作单元上进行执行，从而共同完成任务

主要目的是实现资源的有效利用，分担共同压力，避免资源分布不均

2、负载均衡算法

依序Round Robin

比重Weighted Round Robin

流量比例Traffic

3、负载均衡部署

负载均衡有三种部署方式：路由模式、交接模式、服务直接返回模式

（1）路由模式（推荐）

 （2）桥接模式

桥接模式配置简单，不改变现有网络。负载均衡的WAN口和LAN口分别连接上行设备和下行服务器

LAN不需要配置IP（WAN口与LAN口是桥连接），所有的服务器与负载均衡均在同一逻辑网络中

网闸-应用在数据链路层（两块主板）

网闸主要功能：

安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证

防火墙的部署

1.透明模式

2.单臂模式（旁挂模式）

3.路由模式

中国公安部网络和信息安全产品分类：

操作系统安全，数据库安全，网络安全，病毒防护，访问控制，加密，鉴别（7个类）

行业信息安全产品分类：

安全网关类 防火墙、UTM、网闸、抗DDOS防火墙、负载均衡、VPN、上网行为管理

评估工具类 漏洞扫描系统、网络分析系统

威胁管理类 入侵检测系统（IDS）、入侵防御系统（IPS）、WEB应用防火墙（WAF）、网络防毒墙、杀毒软件

应用监管类 堡垒机、审计系统、DB防火墙、终端安全管理系统、Mail防火墙、安全运维平台（SOC）、IT运维管理平台

安全保密类 加密机、三合一、身份认证系统、文件加密系统

安全产品与服务

美国标准分类

鉴别、访问控制、入侵检测、防火墙、公钥基础设施、恶意程序代码防护、漏洞扫描、取证、介质清理或擦除（9类）

中国公安部分类（等级保护）

操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别（7类）

中国军用标准分类

物理安全产品、平台安全产品、网络安全产品、数据安全产品、用户安全产品、管理安全产品（6类）

信息安全产品分类

安全网关类（防火墙、UTM、网闸、抗DDOS墙、负载均衡、VPN、上网行为管理）

评估工具类（漏洞扫描系统、网络分析系统、

威胁管理类（入侵检测系统（IDS）、入侵防御系统（IPS）、WEB应用防火墙（WAF）、网络防毒墙、杀毒软件）

应用监管类（堡垒机、审计系统、DB防火墙、终端安全管理系统、Mail防火墙、安全运维平台（SOC）、IT运维管理平台）

安全保密类（加密机、三合一、身份认证系统、文件加密系统）

网络分析系统

漏洞扫描系统

部署在服务区域或在核心网络区域进行接入。

上网行为管理

对网页访问过滤、网络应用控制、带宽流量管理、信息收发审计、用户行为分析。

部署模式为：网关模式、网桥模式、透明模式，支持双机热备。

虚拟专线网络（VPN）

协议 PPTP、L2TP、IPSEC

常用VPN是SSL VPN和IPSEC VPN

负载均衡

链路负载和应用负载

主要目的是实现资源有限利用，分担共同压力，避免资源分布不均。

抗DDOS防火墙

异常流量清洗

网闸（GAP）全称安全隔离网闸

属于链路层

作用应用数据交换设备

功能：安全隔离、内核防护、协议转化

病毒查杀、数据访问控制（用户的读和写）、安全审计、身份认证

网闸是一种热备份机

网闸是二层 处理比较慢

网闸用于隔离网段之间

数据同步、信息发布

逻辑隔离不是物理隔离

统一威胁管理（UTM）

具备FW、IPS、防病毒、放垃圾邮件等

部署网络边界，具有防火墙的功能

IDS：检测

防火墙由软件和硬件组成

主要用于边界安全防火的权限控制和安全域的划分。

三种模式：旁路 、路由、透明

安全产品

大数据的运维在安全运维平台上

防火墙   防护墙   firewall

工作在网络层  软件和硬件形式

下一代防护墙   用户边界安全防护的权限控制和安全域划分。

信息安全等级保护

信息系统分等级安全保护

信息安全产品按等级管理

信息安全事件分等级响应、处置

地位