网络安全笔记（第一二天）

前言

未来就业岗位

1.安全专家/研究员 --- 薪资待遇最高

偏底层 --- 算法研究

偏上层应用 --- 白帽子

2.安全运维/安全工程师 --- 甲方

windows/linux系统加固、脚本编写、渗透测试；

要求：对主流的安全产品有了解。

3.安全厂商工程师

主要以该厂商的主流产品为主。

售前和售后

4.系统集成安全工程师

每个方向，每个技术都要懂一点。

网络安全事件

木马不是病毒，木马相当于后门 。

后门 --- 是测试人员在目标系统中植入的一种隐蔽的访问途径；可以使其在未经授权的情况下访问系统。

安全防护做了，出了问题是产品防护不到位；但是如果没有做，那么所有的责任都是你的 。

DDoS ---> 分布式拒绝服务攻击 ：通过数千台被入侵后的主机，同时发起一种集团性的攻击行为。一般都是大量的服务请求报文。大量的去消耗的服务器资源。最终导致服务器无法给正常的用户提供服

务。

蠕虫病毒：

1.自我繁殖能力强。

2.具备破坏性

木马本身不具备破坏性。木马操作：1.植入后门；2.控制设备窃取信息著名的网络安全公司

网络安全厂商

思科

不仅仅是网络厂商，思科安全全球出货量NO.1；

网络先驱，路由器发明者，引领互联网时代；

靠收购一步步壮大：交换机收购catalyst，无线和安全均收购，思科将以26亿美元收购Acacia（光通信厂商）

华为

公司大，安全资质全

产品类别相对较少，总体价格偏低

打包销售，让安全厂商很难受

防火墙x86架构，受贸易战影响，大量缺货

华三

新华三借助紫光的国企身份，同时有当年来自华为的一大批研发，整体实力很强，企业网市场占有率前面给大家分析过，比华为还强。目前主要战略：大互联、大安全、大数据、云计算。大互联即基础网络，如交换机、路由器等；大安全即安全设备；大数据即目前华三针对公安、政府等行业推出了大数据一体机，目前还在初级探索阶段；云计算即虚拟化、云平台等产品，华三虚拟化产品在国内市场占有率极高。国产化虚拟化系统常见的厂商：华为、华三、深信服。

薪资高，强度大，业务费多。

锐捷

教育NO.1，后转向医疗，政府，互联网，运营商等行业；

原厂销售转向渠道销售模式，转型中；

迪普

华三分出来的，当年野心很大，做得不大好；

2019年刚刚上市，业绩一般；

产品插卡较多：防火墙插卡、入侵检测、应用控制、负载均衡等；(FW、IPS、ACG、LB)

迈普

迈普通信技术股份有限公司创办于1993年（华为1987年）

路由器为主的公司，重点行业：金融、运营商；

被中电收购后，转型：自主可控；

奇安信

360企业安全，收购网康网神

2019年，360企业安全与360分家，成立奇安信

掌舵人：齐向东高举高打，政法/军队等行业强势，建议去看齐向东写的《漏洞》

深信服

深信服成立于2000年12月25日，英文名Sangfor Technologies Inc.

专注于企业级安全、云计算及IT基础设施的产品和服务，拥有智安全、云计算和新IT三大业务品牌

目前在全球设有50余个分支机构，员工数超过4500

华为体系厂商，风格跟华为类似，加班，异地化，钱多

启明星程

启明星辰成立于1996年，由留美博士严望佳女士创建，是一家拥有自主知识产权的网络安全高科技企业。

2010年6月23日，启明星辰在深交所中小板正式挂牌上市。

全资收购网御星云、杭州合众、书生电子，旗下投资参股公司达到30多家。

成功实现网络安全、数据安全、应用业务安全等多领域的覆盖。

天融信

天融信成立于1995年（北京），英文简称TOPSEC

最主要的产品是防火墙，被很多厂商OEM，其他产品OEM其他厂商

老牌安全厂商，目前发展不好，逐渐被新秀碾压

绿盟

绿盟科技成立于2000年4月，总部位于北京。国内外设有30多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供安全产品及解决方案。

绿盟科技自主研发的异常流量清洗系统、网络入侵检测系统、网络入侵防护系统、远程安全评估系统、Web应用防护系统等产品，不但得到广大用户的认可，而且获得多个行业奖项，同时也在市场上取得了骄人的业绩。

360、腾讯、阿里

依托互联网生态，在威胁情报、大数据安全分析、终端安全等领域具备技术沉淀，产品场景化适配能力强

网络安全产品

一、产品分类与核心系列

安全管理类：安全管理中心（SSM）、安全态势感知系统、漏洞扫描系统（XScan系列）、终端安全管理（EAD）
应用层安全类：IPS产品（T1000/T5000/T9000系列、SecBlade IPS）、堡垒机产品系列、网闸产品系列（Gap2000）、应用控制产品（ACG8800S3、ACG1000系列）
网络层安全类：防火墙/VPN产品（F100/F1000/F5000系列、SecBlade FW/NGFW、vFW1000）、NFV产品系列、负载均衡产品（L1000/L5000系列、Secblade ADE/LB、vLB1000）、M9000多业务网关产品系列（高端安全旗舰）
数据与应用安全类：WAF产品系列、数据库审计产品系列、异常流量清洗产品（AFC2000系列）

二、核心产品功能与部署应用

（一）防火墙/VPN产品

核心定义：在保证数据通讯的基础上，在去尽可能的考虑安全性。
关键特性：

深度安全防护：抵御蠕虫、木马等应用层攻击，支持全球漏洞特征自动升级

虚拟防火墙：实现管理权限、路由表项、安全策略、系统资源的全面虚拟化

多VPN特性：免费支持L2TP、GRE、IPSec、SSL、动态VPN（H3C专利），解决星型组网分支互联问题

智能管理：图形化集中管理平台，支持SNMP和TR069双网管协议，BIMS零配置智能管理

NGFW下一代防火墙优势：基于用户名控制、SCF集群部署（管理简化、性能翻倍、维护便捷）、多因素安全管控、三态合一威胁感知、智能策略调优
高端旗舰M9000系列：控制、交换、业务、接口分离架构，支持高密千兆/万兆/40GE/100GE接口，四代SecBlade硬件单卡最高吞吐200G
部署应用：

边界安全保护：双机负载分担/冗余备份部署于企业互联网出口，隔离内外网

VPN接入部署：大型分支采用IPSec+GRE VPN，中小型分支用IPSec VPN，移动用户通过SSL VPN接入

园区网/广域网部署：园区网出口部署F50X0/F10X0集群，广域网核心节点用F50X0集群，分支用F10X0系列，实现整网安全互联

（二）IPS产品

核心价值：基于CVE标准认证，通过MAPP认证提前获取微软漏洞信息，实现前瞻性防护
关键特性：

三库合一（攻击库、病毒库、协议库），联合卡巴斯基提供综合防御

完全虚拟化：支持SOP业务系统隔离，资源按需分配，独立管理重启

多核并行处理：适配应用层多变特点，保障专业级高性能

高可用性：支持热插拔、双电源，内置掉电保护模块（PFC），掉电时自动切换二层交换模式保障网络畅通

攻防团队支撑：40余人资深安全研究团队，每周更新攻击特征库和病毒特征库

部署应用：

园区网部署：互联网出口防范外网攻击，核心层插卡部署、汇聚层独立部署，实现安全压力下移

数据中心部署：保护系统漏洞，防范信息窃取、拒绝服务等攻击，保障业务连续性

广域网部署：总部与分支节点部署，防范蠕虫垃圾流量扩散，监控全网应用层安全威胁

IPS和防火墙区别：

1、防火墙 --- 更偏向于边界的安全管理

2、IPS --- 对内网的流量进行分析，一般部署在核心交换机上旁挂上网行为管理 --- 帮助互联网用户控制和管理对互联网的使用；对网页访问的过滤、限制、隐私保

护行为；用户行为分析。安全设备

总结：广义上说，行为管理设备也算是流控，但其主要的用途是记录和控制网络中的用户行为，限

制用户使用某个应用，但他流控行为较弱，一般适用于上网人数较少的场景；狭义上，即专用的流控设备主要目的是优化带宽，通过限制带宽占用较强的应用来保护关键应用数据

（三）负载均衡产品

分类：服务器负载均衡、链路负载均衡、全局负载均衡
核心价值：扩展带宽、提升吞吐量、增强网络灵活性和可用性
关键特性：

应用加速：TCP连接复用、HTTP压缩、SSL卸载，减轻服务器压力

虚拟化能力：N:1虚拟化（IRF协议）、1:N虚拟化（最多支持64个虚拟设备）

智能负载策略：基于应用健康度检测（物理内存利用率、CPU利用率等多指标），动态调整服务器权重

高可用性：故障切换时间小于50ms，支持双机热备、双主模式

部署应用：

服务器负载均衡：部署于服务器集群前端，剔除故障服务器，均衡健康服务器负载

出站链路负载均衡：多ISP链路出口部署，实现链路互为备份、负载均衡，优化内网访问体验

入站链路负载均衡：多链路对外发布业务，统一域名匹配多ISP出口，避免跨ISP访问问题

（四）应用控制产品（ACG）

核心定位：面向业务网络全流程，提供应用管控、流量审计、智能调度等功能
关键特性：

精细化管控：DPI/DFI融合识别，支持800余种主流应用分类，单应用12种行为动作控制，近60种URL分类审计

智能分析：深度数据挖掘用户行为，生成日志跟踪轨迹，支持多维度整合分析

便捷部署：极速上线（连线+配置+完成仅需60秒），支持集中管理和本地缓存应用快速下发

特色功能：智能选路（基于运营商、应用类型分配链路）、微信认证营销（简化上网验证，助力商家推广）

部署应用：

园区网部署：防火墙下行透明部署，管理区部署ACG Manager平台，联动Radius实现基于用户的流量管理

广域网部署：总部与分支出口透明部署，集中管理平台实现全网可视化流量监管，保障关键应用带宽

金融网点/教育城域网部署：金融网点通过ACG1000实现业务交互与互联网访问管控；教育城域网出口用SecBlade ACG，中小学校采用网关或二层串接部署

（五）WAF产品

核心定义：部署于网站服务器群前端，防护注入攻击、跨站脚本、Webshell、会话劫持等Web攻击
核心价值：防范数据泄露与网页篡改、确保网站业务可用性、优化业务资源
关键特性：

双引擎架构：白名单与特征库匹配结合，高效防护0day攻击

全流程防护：事前安全策略自学习、事中拦截攻击与CC防护、事后安全事件追溯

精准检测：5秒内定位攻击者，支持SSL解密、应用交付功能，us级延时转发

部署应用：透明代理模式部署于WEB服务器前端，无需配置IP地址，不影响现有网络业务和服务器性能

（六）数据库审计产品

核心功能：记录数据库访问行为，识别越权操作，检测漏洞并提供报告，支持违规事件追溯
关键特性：

广泛协议支持：兼容Oracle、SQL Server等六大主流数据库，国产数据库及HTTP、FTP等协议

强大报表能力：50多个维度分析，生成等级保护、SOX法案等合规报表，支持二次开发定制

高性能处理：最高5万条TPS/s，检索性能达1000万条/s，审计数据压缩比6.2:1

部署应用：管理中心+采集器旁路部署模式，无需更改现有网络和应用配置，不影响数据库服务器性能

（七）异常流量清洗产品（AFC2000）

核心定义：识别和过滤垃圾流量，转发正常业务报文，保障服务器在攻击场景下正常服务
关键特性：

精细化防护：支持100万主机颗粒化防护，99% DDoS攻击类型防御，全面兼容IPv6

高性能：全系列小包线速处理，单机最高性能40G

智能处理：通过黑白名单、基础规则匹配、真实源校验、基线分析、插件防护等多层机制清洗流量

部署应用：

inline部署：透明/路由模式，适用于规模小、性能要求不高的场景，部署简易成本低

旁路联动部署：路由模式+动态联动牵引，适用于规模大、性能及可靠性要求高的场景

典型场景：企业园区出口、数据中心出口、运营商城域网出口，实现外部DDoS攻击清洗和内部僵尸网络检测预警

（八）堡垒机（运维审计系统）

核心定位：提供4A（身份管理、访问认证、权限控制、操作审计）统一安全管理方案
关键功能：

统一运维入口：封杀非授权访问通道，集中管理各类运维协议（telnet、ssh、RDP等）

账户与认证管理：支持本地、AD域、LDAP、Radius、短信等认证方式，实现用户与资产账户关联

风险控制：通过ACL、命令阻断、手工切断会话、告警通知等方式管控运维风险

全审计追溯：记录并回放字符命令和图形操作，生成详细操作日志

部署应用：旁路方式连接核心交换机，不改变用户网络结构，集中管控IT运维人员和终端业务用户的运维操作

（九）安全管理与态势感知

SSM安全管理中心：作为安全核心大脑，提供拓扑化设备管理、安全威胁溯源、日志收集审计、策略统一配置、安全资源整合调度等功能
安全态势感知系统：

核心能力：全局风险状态评价、攻击趋势分析预测、多维度可视化呈现、协同联动与溯源取证

技术特点：适配400+日志类型，5种安全业务分析引擎，200+类关键设备边界防御，5维可视化呈现

行业化定制：支持政府、企业、教育、运营商等多行业版本，提供个性化驾驶舱

部署应用：作为整网安全管控核心，集中管理各类安全设备，实现日志汇总、威胁分析、策略下发和安全可视化

（十）网闸产品（Gap2000）

核心原理：通过专用隔离硬件和数据摆渡技术，实现内外网物理与逻辑隔离，在安全隔离前提下支持信息交换
功能模块：包含受控通道、HTTP应用、文件访问、数据库访问、安全邮件、文件同步、数据库同步、日志审计等模块
部署应用：用于不同区域网络隔离（如核心内网与DMZ区、一般业务网与重要服务器区），保障非共享主机安全隔离