1 安全技术

.入侵检测与管理系统（Intrusion Detection Systems）：特点是不阻断任何网络访问，量化、定位来自内外网络的威胁情况，主要以提供报告和事后监督为主，提供有针对性的指导措施和安全决策依据。一般采用旁路部署方式，只提供检测的功能，不做防护措施，事后报告，IDS一般是旁路接入系统中

.入侵防御系统（Intrusion Prevention System）：以透明模式工作，分析数据包的内容如：溢出攻击、拒绝服务攻击、木马、蠕虫、系统漏洞等进行准确的分析判断，在判定为攻击行为后立即予以阻断，主动而有效的保护网络的安全，一般采用在线部署方式，以透明方式部署，不影响用户的使用，但是有异常的行为，就会进行阻止

.防火墙（FireWall）：隔离功能，工作在网络或主机边缘，对进出网络或主机的数据包基于一定的规则检查，并在匹配某规则时由规则定义的行为进行处理的一组功能的组件，基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略防火墙可以放在路由器前面或者后面，但是一般是放在路由器后面。一般是禁止外部访问内部的网络。

一般目前市面上的设备，都会具备IDS,IPS，防火墙的三个功能，不过可能有侧重点。

2 防火墙的分类

主机防火墙：服务范围为当前主机

网络防火墙：服务范围为防火墙一侧的局域网

硬件防火墙：在专用硬件级别实现部分功能的防火墙；另一个部分功能基于软件实现，Checkpoint,NetScreen，一般是基于linux进行二次开发。

软件防火墙：运行于通用硬件平台之上的防火墙的应用软件

网络层防火墙：OSI下面第三层

应用层防火墙/代理服务器：代理网关，OSI七层

应用级防火墙通常就是所谓的正向代理服务器，功能是代替客户端去访问，也称为代理网关。代理服务器一般会有缓存，提高访问性能。

3 网络型防火墙

.包过滤防火墙

.网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制列表（ACL），通过检查数据流中每个数据的源地址，目的地址，所用端口号和协议状态等因素，或他们的组合来确定是否允许该数据包通过

.优点：对用户来说透明，处理速度快且易于维护

.缺点：无法检查应用层数据，如病毒等

4 应用层防火墙

.应用层防火墙/代理服务型防火墙（Proxy Service）

.将所有跨越防火墙的网络通信链路分为两段

.内外网用户的访问都是通过代理服务器上的“链接”来实现

.优点：在应用层对数据进行检查，比较安全

.缺点：增加防火墙的负载

.现实生产环境中所使用的防火墙一般都是二者结合体。即先检查网络数据，通过之后再送到应用层去检查