網(wǎng)絡(luò)就像一座城市，安全措施就像城墻、護(hù)照和警察：

• 防火墻 像城墻和關(guān)卡，控制誰能進(jìn)出；
• VPN 像通關(guān)密道，保障通信安全；
• 入侵檢測(cè)系統(tǒng)（IDS） 像城里的警察，監(jiān)聽是否有人作怪。

一、防火墻

防火墻是 網(wǎng)絡(luò)邊界的第一道防線 , 它部署在網(wǎng)絡(luò)邊界上的設(shè)備或功能，用來控制網(wǎng)絡(luò)訪問、攔截非法通信。它可以是一個(gè)獨(dú)立設(shè)備，也可以內(nèi)嵌在路由器或操作系統(tǒng)中。

工作方式：

• 包過濾（Packet Filtering）：根據(jù)源/目的 IP、端口、協(xié)議等字段控制通過或拒絕。
• 狀態(tài)檢測(cè)（Stateful Inspection）：跟蹤連接狀態(tài)，只允許已建立連接的返回流量通過。
• 代理服務(wù)（Application Proxy）：攔截應(yīng)用層通信，提供更細(xì)粒度的控制。

eNSP 配置示例,通過ACl訪問控制去攔截：

[Huawei] acl 3000
[Huawei-acl-adv-3000] rule deny ip source 192.168.10.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
[Huawei-acl-adv-3000] rule permit ip

[Huawei] interface GigabitEthernet0/0/0
[Huawei-GigabitEthernet0/0/0] packet-filter 3000 outbound

此配置禁止某網(wǎng)段訪問另一個(gè)內(nèi)部網(wǎng)段，起到了基本的防火墻作用。

二、VPN

VPN（虛擬專用網(wǎng)絡(luò)）是通過加密手段，在不安全的公網(wǎng)中構(gòu)建安全通道的技術(shù)。使用 VPN，遠(yuǎn)程用戶就像直接接入公司內(nèi)網(wǎng)一樣，既能訪問資源，又保障了通信機(jī)密性。

常見 VPN 類型：

三、入侵檢測(cè)系統(tǒng)（IDS）

IDS（Intrusion Detection System）是網(wǎng)內(nèi)的安全哨兵 , 它主要是檢測(cè)網(wǎng)絡(luò)中異常行為的系統(tǒng)，用來發(fā)現(xiàn)攻擊者的入侵行為，如掃描、爆破、蠕蟲傳播等。

IDS 的兩種類型：

• 基于主機(jī)的 IDS（HIDS）：部署在終端或服務(wù)器上，監(jiān)控操作系統(tǒng)行為。
• 基于網(wǎng)絡(luò)的 IDS（NIDS）：部署在網(wǎng)絡(luò)節(jié)點(diǎn)，監(jiān)聽通過的數(shù)據(jù)流。

檢測(cè)技術(shù)：

• 特征匹配（Signature-Based）：比對(duì)已知攻擊特征（類似殺毒軟件）。
• 異常檢測(cè)（Anomaly-Based）：基于統(tǒng)計(jì)與機(jī)器學(xué)習(xí)發(fā)現(xiàn)異常流量。
• 行為分析（Behavior-Based）：識(shí)別用戶或主機(jī)的異常行為模式。

四、防火墻、VPN 與 IDS 的組合應(yīng)用

這三者通常協(xié)同使用：

• 防火墻 攔截非法訪問；
• VPN 加密通信；
• IDS 監(jiān)測(cè)內(nèi)部威脅。

典型部署架構(gòu)如下：