防火墙：
单向，只管进不管出。
内部网和外部网之间、专用网与公共网之间
部署于内、外网边界和各个区域之间，用于权限访问控制和安全域划分

网闸
链路层
不存在依据协议的信息包转发，只有数据文件的无协议"摆渡"
物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接
安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证
数据交换速度慢

抗ddos防火墙
部署于外网边界前端，或将数据引流至过滤引擎，最终回流

负载均衡
分为链路负载和应用负载
负载均衡有三种部署方式：路由模式、桥接模式、服务直接返回模式。
路由模式部署灵活，约60%的用户采用这种方式部署；
桥接模式不改变现有的网络架构；
服务直接返回（DSR）比较适合吞吐量大特别是内容分发的网络应用。
约30%的用户采用这种模式。

vpn
VPN有多种分类方式，主要是按协议进行分类。
VPN的隧道协议主要有三种：PPTP、L2TP和IPSec。
常用VPN类型有SSL VPN(以HTTPS为基础的VPN技术)和IPSec VPN(基于IPSec协
议的VPN技术，由IPSec协议提供隧道安全保障)。
部署在网络、应用、服务器前端。
部署模式有单臂模式、路由模式、透明模式。

小旋风一键搭建网站

ctrl_+u 清空到行首
     + k 清空到行尾
   +L 清屏

IDS
网络层，积极主动的安全防护技术。软硬件。
入侵检测系统部署模式为旁路模式部署，在核心交换设备上开放镜像端口，分析镜像
流量中的数据，判别攻击行为。

IPS
位于防火墙和网络的设备之间，依靠对数据包的检测进行防御（检查入网的数据包，确定数据包的
真正用途，然后决定是否允许其进入内网。
能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔
离一些不正常或是具有伤害性的网络资料传输行为。
防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。IPS是对防火墙的补充。
在ISO/OSI网络层次模型(见OSI模型) 中，防火墙主要在第二到第四层起作用，它的作用
在第四到第七层一般很微弱。而防病毒软件主要在第五到第七层起作用。
为了弥补防火墙和防病毒软件二者在第四到第五层之间留下的空档，几年前，工业界已经
有入侵检测系统(IDS: Intrusion Detection System）投入使用。入侵检测系统在发现异常情况
后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然，亡羊
补牢，尤未为晚，但是，防卫机制最好应该是在危害形成之前先期起作用。
随后应运而生的入侵响应系统(IRS: Intrusion Response Systems) 作为对入侵检测系统
的补充能够在发现入侵时，迅速作出反应，并自动采取阻止措施。而入侵预防系统则作为二者
的进一步发展，汲取了二者的长处
入侵检测系统部署在服务器区域前端
部署模式通常为网桥模式、透明模式，也有部署为路由模式

waf
工作在应用层
Web应用防火墙部署在服务器区域前端，专门针对web应用进行防护

运维审计系统（堡垒机)
主要用于服务器、网络设备、安全设备的权限分离和安全管控
堡垒机部署的前提是必须切断用户直接访问资源的路径，否则部署将没有意义，一般
部署在所有用户都能访问资源的核心网络端口下。

审计系统
一般部署在核心交换机的镜像端口下，用于整体流量分析和日志审计分析。
不改变原有网络结构，不会对网络产生任何影响

数据库防火墙
一般串行部署在数据库服务器前端