统一威胁管理（UTM）

包括防病毒、入侵检测和防火墙安全设备划归统一威胁管理，具有防火墙、IPS、防病毒、防垃圾邮件等综合功能

UTM部署于网络边界，除具有防火墙的功能外还能够起IDS、IPS、VPN、流量控制、身份认证和应用层防护

一般用路由模式和透明模式，有了VPN,就不用防火墙了，一般会布置在内网和外网的边界处，不用于安全域的划分

IPS就是防攻击入侵的

IDS就是检测的

VPN就是专用的VPN设备比较好

ssh是远程登录，console是串口直连web是通过浏览器

协同是一个厂家的UTM和防火墙或其他产品之间的协同防护

pppoe拨号

防火墙Firewall

 网路层的防护设备，由软件和硬件设备组合而成，在内网和外网之间、专用网和公共网之间的界面上构造的保护屏障

下一代防火墙，即Next Generation Firewall,简称NG Firewalls，是一款可以全面应对应用层威胁的高性能防火墙，提供网络层应用层一体化安全防护。带宽很高

防火墙主要用于边界安全防护的权限控制和安全域的划分，是指一种将内部网和公众防问网分开的方法，他实际上是一种隔离技术。

最小授权原则调整，不仅要设置IP，还要调整防火墙里面的策略

防火墙的三个部署模式：

透明模式有一进一出

单臂模式（网关模式）所有数据经过他才能访问

路由模式：外网和内网之间，动态拨号，静态IP配置，安全域划分都可以

VPN有三种，分别是IPSec VPN（所有资源都能访问到，但是需要下载一个客户端远程访问），SSLVPN（只能访问WEB的资源，）

L2TP VPN三种，常用的是前两种

《入侵检测系统》

是一种对网络传输进行即时监控，发现可疑传输时发出警报或采取主动反应措施的网络安全设备。是一种积极主动的安全防护技术。主动拆包抓包，但没有阻断能力。

慢慢发展成硬件。没有界面，BS+CS：控制台进行策略下发。硬件负责处理包，策略等在控制台实现。

入侵检测系统：事件产生器（Eg），目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件；

抓包，把爆提供给其他的模块。

事件分析器（），它经过分析得到数据，并产生分析结果。

进行拆包和匹配。

响应单元：它是对分析结果作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。

对主机的入侵检测可以切断，一般来说对网络类的安全产品只能是简单的报警，（等级制报警）

事件数据库：它是存放各种中间的最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。

源ip,目的ip，触发频率等

 》》IDS异常检测方法

1、基于贝叶斯推理检测法：在任何给定时刻，测量变量值，推理判断系统是否发生入侵事件；曾用于判断是否为垃圾邮件

2、基于特征选择检测法：指从一组度量中挑选出能检测入侵的度量，用它来对入侵行为进行预测或分类。

基于某种特征

3、基于贝叶斯网络检测法：用图形方式表示随机变量之间的关系。通过指定的与邻接节点相关一个小的概率集来计算随机变量的联接概率分布。按给定全部节点组合，所有根节点的先验概率和非根节点概率构成这个集。贝叶斯网络是一个有向图，弧表示父、子结点之间的依赖关系。当随机变量的值变为已知时，就允许将它吸收为证据，为其他的剩余随机变量条件值判断提供计算框架。

图工具

4、基于模式预测的检测法：事件序列不是随机发生的而是遵循某种可辨别的模式是基于模式预测的异常检测法的假设条件，其特点是事件序列及相互联系被考虑到了，只关心少数相关安全事件是该检测法的最大优点。

木马的包头？模式的包头？

5、基于统计的异常检测法：是根据用户对象的活动为每个用户都建立一个特征轮廓表，通过对当前特征与以前已经建立的特征进行比较，来判断当前行为的异常性。用户特征轮廓表要根据审计记录情况不断更新，其保护去多衡量指标，这些指标值要根据经验值或一段时间内的统计而得到。

6、基于机器学习检测法：是根据离散数据临时序列学习获得网络、系统和个体的行为特征，并提出了一个实例学习法IBL，IBL是基于相似度，该方法通过新的序列相似度计算将原始数据（如离散事件流和无序的记录）转化成可度量的空间。然后，应用IBL学习技术和一种新的基于序列的分类方法，发现异常类型事件，从而检测入侵行为。其中，成员分类的概率由阈值的选取来决定。

基于学习的。
7、数据挖掘检测法：数据挖掘的目的是要从海量的数据中提取出有用的数据信息。网络中会有大量的审计记录存在，审计记录大多都是以文件形式存放的。如果靠手工方法来发现记录中的异常现象是远远不够的，所以将数据挖掘技术应用于入侵检测中，可以从审计数据中提取有用的知识，然后用这些知识区检测异常入侵和已知的入侵。采用的方法有KDD算法，其优点是善于处理大量数据的能力与数据关联分析的能力，但是实时性较差。

（类似与网络审计的设备）

8、基于应用模式的异常检测法：该方法是根据服务请求类型、服务请求长度、服务请求包大小分布计算网络服务的异常值。通过实时计算的异常值和所训练的阈值比较，从而发现异常行为。
9、基于文本分类的异常检测法：该方法是将系统产生的进程调用集合转换为“文档”。利用K邻聚类文本分类算法，计算文档的相似性。

类似轮廓对比

误用入侵检测系统中的常用方法：

1、模式匹配法：是常常被用于入侵检测技术中。它是通过把收集到的信息与网络入侵和系统误用模式数据库中的已知信息进行比较，从而对违背安全策略的行为进行发现。模式匹配法可以显著地减少系统负担，有较高的检测率和准确率。

2、专家系统法：这个方法的思想是把安全专家的知识表示成规则知识库，再用推理算法检测入侵。主要是针对有特征的入侵行为。

3、基于状态转移分析的检测法：该方法的基本思想是将攻击看成一个连续的、分步骤的并且各个步骤之间有一定的关联的过程。在网络中发生入侵时及时阻断入侵行为，防止可能还会进一步发生的类似攻击行为。在状态转移分析方法中，一个渗透过程可以看作是由攻击者做出的一系列的行为而导致系统从某个初始状态变为最终某个被危害的状态。

》》入侵检测系统部署

旁路模式部署

探测器（硬件，linux系统）

控制台（软件）

显示中心（本机的一个模块）

控制中心（本机）

IDS引擎（抓包模块，上级类型为控制中心）：分析和把内容传递给控制中心，并最终在显示中心显示出来

《防火墙》

（Firewall）是一个由软件和硬件设备组合而成（纯软件或软硬件组合），在内部网和外部网之间、专用网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。（网络层）

（与网闸工作层面不一样）

（下一代防火墙）：高性能，不止针对网络层（3）还提供应用层（7）的防护。

主要用于边界安全的防护实际上一种隔离技术。功能有限，易被穿透。对外不对内。还可以隔离内网中各个专用网，有效控制病毒传播。

透明模式

单臂模式

路由模式：代替路由器进行工作

原理：对网络数据包进行拆包，看IP是否在白名单中，决定是否通行。

NAT:把内网IP地址映射到外网（为什么？？）

VPN:IPSec（所有资源可访问）,SSL(WEB)

负载均衡

重在策略：协议行为策略，

状态：启用或禁用。阻止方式：允许或拒绝

若要某两个安全域不通信，通过策略配置实现。

还有攻击防护功能。

ARP防护：ARP和MAC绑定

会话限制、URL过滤、拒绝含某些关键字的网站、拒绝外发信息、查看外发信息等

还可以查看日志……

《信息安全产品分类》

共有二十几个产品大类

》》美国标准分类

鉴别、访问控制、入侵检测、防火墙、公钥基础设施、恶意程序代码防护、漏洞扫描、取证、介质清理或擦除

》》中国公安部分类

操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别

（并未对应技术措施）

》》中国军用标准分类

物理安全产品、平台安全产品、网络安全产品、数据安全产品、用户安全产品、管理安全产品

》》信息安全产品分类（按用途和位置分）

安全网关类：防火墙、UTM、网闸等

评估工具类：（针对网络层漏洞，可以针对某些工具的有力武器）漏洞扫描系统、网络分析系统。

威胁管理类：入侵检测系统（IDS），入侵防御系统IPS，WAB应用防火墙WAF，网络防毒墙、杀毒软件，（特点）统一管控。

应用监管类：（特点）监控管理、（审计）可以还原取证，溯源、DB（数据库）防火墙（目前比较欠缺，易误判）、MAIL(垃圾邮件)防火墙（注意隐私问题）、（SOC）类似最早的大数据分析平台、IT（监控存活状态等）。

安全保密类：三合一（保密单位必须），身份认证（方式：数字证书类等、动态：随时间变化）