主流网络安全产品（FW/IDS/IPS/WAF等安全设备部署方式及优缺点）

主流网络安全产品（FW/IDS/IPS/WAF等安全设备部署方式及优缺点）

主流网络安全产品（FW/IDS/IPS/WAF等安全设备部署方式及优缺点）
（1）基础防火墙FW/NGFW类
主要是可实现基本包过滤策略的防火墙，这类是有硬件处理、软件处理等，其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略。FW可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。
FW部署位置一般为外联出口或者区域性出口位置，对内外流量进行安全隔离。
（2）IDS类
此类产品基本上以旁路为主，特点是不阻断任何网络访问，主要以提供报告和事后监督为主，少量的类似产品还提供TCP阻断等功能，但少有使用。
一般旁路部署，由核心交换机上镜像流量过来。
（3）IPS类
解决了IDS无法阻断的问题，基本上以在线模式为主，系统提供多个端口，以透明模式工作。
在一些传统防火墙的新产品中也提供了类似功能，其特点是可以分析到数据包的内容，解决传统防火墙只能工作在4层以下的问题。
和IDS一样，IPS也要像防病毒系统定义N种已知的攻击模式，并主要通过模式匹配去阻断非法访问,致命缺点在于不能主动的学习攻击方式，对于模式库中不能识别出来的攻击，默认策略是允许
访问的！
IPS类设备，常被串接在主干路上，如在核心交换机与出口防火墙之间，对内外网异常流量进行监控处理。
（4）WAF部署位置
Web应用防护系统(也称：网站应用级入侵防御系统 。英文：Web Application Firewall，简称： WAF)。
利用国际上公认的一种说法：Web应用 防火墙 是通过执行一系列针对HTTP/HTTPS的 安全策略 来专门为Web应用提供保护的一款产品。  
通常情况下，WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域，也可以与防火墙或IPS等网关设备串联在一起（这种情况较少）。
总之，决定WAF部署位置的是WEB服务器的位置。因为WEB服务器是WAF所保护的对象。部署时当然要使WAF尽量靠近WEB服务器。