常见安全设备总结

一、网络安全设备

网络安全设备是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网 之间的界面上构造的保护屏障，针对不同的应用场景有不同的作用，常见的安全设备有防火墙，态势感知，IDS，IPS，全流量分析，漏洞扫描，蜜罐 ，安全邮件，EDR等等。

网络结构

首先，绘制了最简易三层网络拓扑结构(含内外网)。现无任何安全设备，介绍每一类设备，常用功能、部署方式，同时绘入现有拓扑中，展示种产品在网络中最常规位置。

部署方式尤其重要，通常需对网络进行控制设备串行、审计类设备旁挂，串行时设备故障可能产生网络故障；而旁挂设备只影响自身功能

https://blog.csdn.net/weixin_46444606/article/details/114528599

1.防火墙

串行设备
网络边界间的隔离和对网络中数据交互的控制。在典型的网络环境中的主要作用是防范外部网络（如internet）对内部网络（如内部办公局域网）的非法访问行为和恶意攻击行为等安全威胁，防火墙最基础的功能是策略控制流入流出IP及端口、nat、端口映射。防火墙定义也较为模糊，多带有集成功能，目前，世面上购买的防火墙大多也带有IPS功能或服务（兼顾功能）
防火墙的“串行设备”特性让它成为网络边界的唯一关卡，通过策略、NAT、端口映射三大基础功能，加上现代集成的IPS等高级能力，实现了“外防入侵、内控风险”的效果。不过，它也不是万能的——就像门卫可能漏掉伪装成快递的黑客，防火墙也需要配合其他设备（如IDS、日志审计）才能更安全

2.IPS（入侵防御系统）

串行设备
防御网络中的攻击和入侵等行为的网关型安全设备，在安全功能上是对防火墙的一个补充， 它能够比防火墙更深入的对数据进行检测和控制，进而提升网络对于入侵攻击等威胁的防范水平。本质是增强入侵行为库，检测出后自动进行防御

如何补充防火墙

防火墙像小区的门卫，只检查“快递单”（IP 地址、端口号），比如：

门卫的局限：能拦住没工牌的外人，但如果坏人伪造了工牌（比如通过合法端口发送攻击数据），门卫就放行了

IPS 的升级：IPS 会拆开快递包裹检查内容，比如

发现包裹里藏了刀片（SQL 注入代码）或炸弹（病毒文件），直接拦截

甚至能识别新型攻击手段，比如伪装成正常文件的勒索软件

态势感知

态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动， 是安全能力的落地

态势感知就像给网络装了一个“智能雷达+预言家”的组合，它能 实时监控整个网络环境，把各种零散的信息拼成一张“安全地图”，然后告诉你：“现在哪儿有问题？接下来可能要出什么事？咱们该怎么防？”
简单说就是：看清现状、预测风险、提前动手，让网络从“被动挨打”变成“主动防

态势感知 = 实时监控 + 智能分析 + 风险预言。它让网络安全从“头痛医头”变成“治未病”，核心就一句话：“别等黑客动手，咱先堵死他的路！

蜜罐

蜜罐这个词，最早是被猎人使用的，对，就是进山打猎的人。猎人把罐子装上 蜂蜜，然后放个陷阱，专门用来捕捉喜欢甜食的熊。后来在网络安全领域里， 人们就把欺骗攻击者的诱饵称为“蜜罐”

蜜罐就像网络世界里的 “钓鱼陷阱”，专门用来忽悠黑客。它的核心逻辑就是：假装自己是个“软柿子”，吸引坏人过来捏，然后偷偷记下他们的作案手法。
说白了，蜜罐就是一个 “假目标”，故意露出破绽让黑客攻击，实际目的是为了摸清对方的路数，保护真正的系统。

威胁情报

威胁情报是指在网络安全领域中，通过对恶意活动进行收集、分析和处理，形成有关网络威胁的情报信息，以便及时采取措施保障网络安全。威胁情报主要包括恶意软件、网络攻击、网络犯罪等方面的情报信息。

威胁情报可以帮助网络安全人员了解当前的威胁形势，及时发现和识别安全威胁，以便采取相应的应对措施。威胁情报的来源包括自主收集、共享交流等多种形式，其分析和处理过程则需要依靠各种技术手段，如威胁情报分析工具、情报交换平台等。威胁情报的重要性逐渐受到广泛关注，成为网络安全工作中不可或缺的一环

威胁情报就像网络世界的 “敌情报告”，专门用来帮企业和机构 提前看清坏人要干啥、怎么干，然后堵死他们的路。简单来说，就是通过 收集坏人的作案工具、分析他们的套路、预测他们的目标，让网络安全从 “被黑客打完了再哭” 变成 “提前把门焊死”

常见威胁情报平台

https://x.threatbook.cn/

https://redqueen.tj-un.com/

https://ti.360.net/

沙箱

沙箱是指一种在安全测试和开发过程中使用的虚拟环境，可以模拟真实的操作系统和应用程序环境，以便进行安全测试、恶意软件分析、漏洞挖掘等操作，同时不会对真实环境造成影响。

在沙箱中，可以运行不受信任的应用程序和代码，同时监控其行为和影响，以便及时发现和处理安全问题。沙箱通常具有隔离、快照、还原、调试等功能，可以帮助研究人员深入分析恶意代码的行为和特征，发现潜在的漏洞和安全风险。

沙箱广泛应用于恶意软件分析、漏洞挖掘、网络安全测试、应用程序开发和测试等领域，可以帮助提高安全性和可靠性，减少安全风险和损失。

沙箱就像网络世界的 “儿童沙盘游戏区”——在这个隔离的小空间里，程序可以随便“玩”（运行），但无论怎么折腾都 不会影响到外面的真实世界。简单来说，它是一个 安全的隔离环境，专门用来测试可疑文件、运行未知程序，或者处理敏感数据，既能满足功能需求，又能避免搞砸整个系统

终端防护（EDR）

终端检测和响应 (EDR) 是一款软件，旨在自动保护组织的最终用户、终端设备和 IT 资产免受那些突破防病毒软件和其他传统终端安全工具安全防线的网络威胁。 EDR 将从网络上的所有终端（台式机和笔记本电脑、服务器、移动设备、IoT（物联网）设备等） 中连续收集数据。 它将实时分析这些数据以查找已知或疑似网络威胁的证据，并且可以自动作出响应以防止或尽可能减少所识别威胁造成的损失。

你电脑里有个文件突然开始疯狂删东西，传统杀毒软件可能不认识它，但EDR会立刻发现这文件“行为异常”，直接把它关进小黑屋，然后通知管理员：“抓到一个搞破坏的！”

NDR

NDR（网络威胁检测与响应）就像是网络的“智能监控系统”，专门盯着你家网络里的“车流”（数据流动），一旦发现可疑车辆（比如黑客攻击、病毒传播），它能立刻报警，甚至自动拦下这些危险分子。
NDR就像全网摄像头+自动警报器，保护客户数据不被黑客窃取

IDS

旁挂设备
在网络中部署IDS设备可以对整个网络系统进行实时监视，它抓取网络中指定的数据包，对其分析和统计，并能够展示全面的网络监控报表。对于分析发现的具有威胁的网络数据或者行为产生告警。IDS的使用给网络管理人员提供了非常好的辅助管理工具和运维依据。

常见厂商设备

奇安信“天眼（NDR）”

奇安信“天眼”是一款高级威胁检测与响应系统，主要用于监测和分析网络中的高级威胁（如APT攻击、勒索软件、木马等），通过流量分析、威胁情报匹配、攻击链还原等技术，实现全流程威胁感知与处置。其核心功能包括：

APT攻击检测：通过流量镜像采集、文件虚拟执行（沙箱）、威胁情报匹配等技术，精准识别隐蔽性强的定向攻击

网络流量深度解析：还原HTTP、SMTP等协议流量，提取网络层到应用层的日志数据，并加密传输至分析平台存储

威胁情报整合：结合奇安信自有的海量威胁情报库（如恶意IP、域名、文件哈希值），实时匹配攻击行为

攻击链可视化与溯源：基于ATT&CK模型，将告警事件关联成攻击链，展示攻击路径、受感染资产及信息泄露情况，支持全包取证分析（类似Wireshark）

自动化响应处置：与防火墙、终端EDR等设备联动，实现告警自动封堵、隔离受感染主机等操作

系统组成

天眼系统主要由以下模块构成：

分析平台（硬件）：存储流量日志和告警数据，提供威胁分析、态势感知大屏展示，支持分布式存储和快速检索

流量传感器（探针）：部署在网络镜像口，实时采集并解析流量，还原协议内容，生成日志和告警

文件威胁鉴定器（沙箱）：对可疑文件（如邮件附件、下载文件）进行虚拟执行，检测恶意行为

威胁情报（软件）：集成恶意样本特征、攻击者TTPs（战术、技术、过程）等数据，支撑威胁匹配