什麼安全設備防爬蟲

① 在計算機網路中什麼是用於防止非法訪問的安全設備

在計算機網路中常見的阻止訪問的設備是核心防火牆和防病毒網管。核心防火牆部署在網路安全域的邊界處，對網路數據流進行細粒度（IP地址、TCP/UDP埠、ICMP類型等）的控制，允許合法的網路數據傳遞，拒絕非法網路通信；可以根據會話狀態信息為數據流提供明確的允許/拒絕訪問；控制埠以及對會處於非活躍一定時間內或會話結束後終止連接；限制某個IP的連接數和並發數；可以阻止非法探測和訪問；屏蔽內部埠，防止來自外部網路的掃描探測和非法攻擊。防病毒網關部署在網路安全域的邊界處，對網路數據流進行細粒度（IP地址、TCP/UDP埠、ICMP類型等）的控制，允許合法的網路數據傳遞，拒絕非法網路通信；可以根據會話狀態信息為數據流提供明確的允許/拒絕訪問；控制埠以及對會處於非活躍一定時間內或會話結束後終止連接；屏蔽內部埠，防止來自外部網路的掃描探測和非法攻擊；攔截病毒攻擊事件，對事件的源、目的信息逐條記錄，可視化技術協助用戶了解病毒攻擊詳情。

② 防火牆、IDS和IPS之間有什麼區別

二者區別主要有以下幾點：

一、概念不同

1、IDS是英文「Intrusion Detection Systems」的縮寫，中文意思是「入侵檢測系統」。專業上講就是依照一定的安全策略，通過軟、硬體，對網路、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網路系統資源的機密性、完整性和可用性。

2、入侵防禦系統(Intrusion-prevention system)是一部能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。

二、系統類型劃分不同

1、IDS按入侵檢測的技術基礎可分為兩類：

一種基於標志的入侵檢測（signature-based），另一種是基於異常情況的入侵檢測（anomaly-based）。

2、IPS按其用途劃分為單機入侵預防系統(HIPS)和網路入侵預防系統(NIPS: Network Intrusion Prevension System）兩種類型。

三、防禦技術不完全相同

1、IDS實時入侵檢測在網路連接過程中進行，系統根據用戶的歷史行為模型、存儲在計算機中的專家知識以及神經網路模型對用戶當前的操作進行判斷，一旦發現入侵跡象立即斷開入侵者與主機的連接，並收集證據和實施數據恢復。

2、IPS入侵預防系統知道正常數據以及數據之間關系的通常的樣子，可以對照識別異常。有些入侵預防系統結合協議異常、傳輸異常和特徵偵查，對通過網關或防火牆進入網路內部的有害代碼實行有效阻止。

③ 網路安全設備有哪些有什麼用途遇到這種問題該如何解決

網路安全設備包括路由器：可做埠屏蔽，帶寬管理qos，防洪水flood攻擊等；防火牆：專有普通屬防火牆和UTM等，可以做網路三層埠管理、IPS（入侵檢測）、IDP（入侵檢測防禦）、安全審計認證、防病毒、防垃圾和病毒郵件、流量監控（QOS）等；行為管理器：可做UTM的所有功能、還有一些完全審計，網路記錄等等功能；核心交換機：可以劃分vlan、屏蔽廣播、以及基本的acl列表；安全的網路連接方式：現在流行的有 MPLS VPN ，SDH專線、VPN等，其中VPN常見的包括（SSL VPN \ipsec VPN\ PPTP VPN等），面對這種問題現在有許多應用交付廠商的解決方案都可以解決，比如F5，F5的解決方案就全面，比如F5應用防火牆解決方案、F5 SSL VPN解決方案、F5身份認證和管理解決方案，都不錯。

④ WAF是什麼設備

Web應用防護系統（也稱：網站應用級入侵防禦系統。英文：Web Application Firewall，簡稱： WAF）。利用國際上公認的一種說法：Web應用防火牆是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。

應用功能
審計設備
對於系統自身安全相關的下列事件產生審計記錄：
（1）管理員登陸後進行的操作行為。
（2） 對安全策略進行添加、修改、刪除等操作行為。
（3） 對管理角色進行增加、刪除和屬性修改等操作行為。
（4） 對其他安全功能配置參數的設置或更新等行為。
訪問控制設備
用來控制對Web應用的訪問，既包括主動安全模式也包括被動安全模式。
架構/網路設計工具
當運行在反向代理模式，他們被用來分配職能，集中控制，虛擬基礎結構等。
WEB應用加固工具
這些功能增強被保護Web應用的安全性，它不僅能夠屏蔽WEB應用固有弱點，而且 能夠保護WEB應用編程錯誤導致的安全隱患。
需要指出的是，並非每種被稱為Web應用防火牆的設備都同時具有以上四種功能。
同時WEB應用防火牆還具有多面性的特點。比如從網路入侵檢測的角度來看可以把WAF看成運行在HTTP層上的IDS設備;從防火牆角度來看，WAF是一種防火牆的功能模塊;還有人把WAF看作「深度檢測防火牆」的增強。（深度檢測防火牆通常工作在的網路的第三層以及更高的層次，而Web應用防火牆則在第七層處理HTTP服務並且更好地支持它。）

特點
異常檢測協議
Web應用防火牆會對HTTP的請求進行異常檢測，拒絕不符合HTTP標準的請求。並且，它也可以只允許HTTP協議的部分選項通過，從而減少攻擊的影響范圍。甚至，一些Web應用防火牆還可以嚴格限定HTTP協議中那些過於鬆散或未被完全制定的選項。

增強的輸入驗證
增強輸入驗證，可以有效防止網頁篡改、信息泄露、木馬植入等惡意網路入侵行為。從而減小Web伺服器被攻擊的可能性。

及時補丁
修補Web安全漏洞，是Web應用開發者最頭痛的問題，沒人會知道下一秒有什麼樣的漏洞出現，會為Web應用帶來什麼樣的危害。WAF可以為我們做這項工作了——只要有全面的漏洞信息WAF能在不到一個小時的時間內屏蔽掉這個漏洞。當然，這種屏蔽掉漏洞的方式不是非常完美的，並且沒有安裝對應的補丁本身就是一種安全威脅，但我們在沒有選擇的情況下，任何保護措施都比沒有保護措施更好。
（附註：及時補丁的原理可以更好的適用於基於XML的應用中，因為這些應用的通信協議都具規范性。）

基於規則的保護和基於異常的保護
基於規則的保護可以提供各種Web應用的安全規則，WAF生產商會維護這個規則庫，並時時為其更新。用戶可以按照這些規則對應用進行全方面檢測。還有的產品可以基於合法應用數據建立模型，並以此為依據判斷應用數據的異常。但這需要對用戶企業的應用具有十分透徹的了解才可能做到，可現實中這是十分困難的一件事情。
狀態管理
WAF能夠判斷用戶是否是第一次訪問並且將請求重定向到默認登錄頁面並且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態管理模式還能檢測出異常事件（比如登陸失敗），並且在達到極限值時進行處理。這對暴力攻擊的識別和響應是十分有利的。
其他防護技術
WAF還有一些安全增強的功能，可以用來解決WEB程序員過分信任輸入數據帶來的問題。比如：隱藏表單域保護、抗入侵規避技術、響應監視和信息泄露保護。

⑤ 網路安全設備有哪些

網路來安全設備有如下三種：
1、防火自牆：它是一種位於內部網路與外部網路之間的網路安全系統。一項信息安全的防護系統，依照特定的規則，允許或是限制傳輸的數據通過。
2、VPN：是我們平常所說的虛擬專用網路，VPN是指通過一個公用網路來搭建一個臨時的、安全的連接。通常VPN都用到企業內網管理上，它可以通過特殊的加密的通訊協議在連接在Internet上的位於不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路。
3、殺毒軟體：也稱反病毒軟體或防毒軟體，是用於消除電腦病毒、特洛伊木馬和惡意軟體等計算機威脅的一類軟體。殺毒軟體通常集成監控識別、病毒掃描和清除和自動升級等功能，有的殺毒軟體還帶有數據恢復等功能，是計算機防禦系統(包含殺毒軟體，防火牆，特洛伊木馬和其他惡意軟體的查殺程序，入侵預防系統等)的重要組成部分。

⑥ 入侵防護系統(IPS)的原理

IPS原理

防火牆是實施訪問控制策略的系統，對流經的網路流量進行檢查，攔截不符合安全策略的數據包。入侵檢測技術(IDS)通過監視網路或系統資源，尋找違反安全策略的行為或攻擊跡象，並發出報警。傳統的防火牆旨在拒絕那些明顯可疑的網路流量，但仍然允許某些流量通過，因此防火牆對於很多入侵攻擊仍然無計可施。絕大多數 IDS 系統都是被動的，而不是主動的。也就是說，在攻擊實際發生之前，它們往往無法預先發出警報。而IPS則傾向於提供主動防護，其設計宗旨是預先對入侵活動和攻擊性網路流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送後才發出警報。IPS 是通過直接嵌入到網路流量中實現這一功能的，即通過一個網路埠接收來自外部系統的流量，經過檢查確認其中不包含異常活動或可疑內容後，再通過另外一個埠將它傳送到內部系統中。這樣一來，有問題的數據包，以及所有來自同一數據流的後續數據包，都能在IPS設備中被清除掉。

IPS工作原理

IPS實現實時檢查和阻止入侵的原理在於IPS擁有數目眾多的過濾器，能夠防止各種攻擊。當新的攻擊手段被發現之後，IPS就會創建一個新的過濾器。IPS數據包處理引擎是專業化定製的集成電路，可以深層檢查數據包的內容。如果有攻擊者利用Layer 2(介質訪問控制)至Layer 7(應用)的漏洞發起攻擊，IPS能夠從數據流中檢查出這些攻擊並加以阻止。傳統的防火牆只能對Layer 3或Layer 4進行檢查，不能檢測應用層的內容。防火牆的包過濾技術不會針對每一位元組進行檢查，因而也就無法發現攻擊活動，而IPS可以做到逐一位元組地檢查數據包。所有流經IPS的數據包都被分類，分類的依據是數據包中的報頭信息，如源IP地址和目的IP地址、埠號和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續前進，包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。

針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設有相應的過濾規則，為了確保准確性，這些規則的定義非常廣泛。在對傳輸內容進行分類時，過濾引擎還需要參照數據包的信息參數，並將其解析至一個有意義的域中進行上下文分析，以提高過濾准確性。

過濾器引擎集合了流水和大規模並行處理硬體，能夠同時執行數千次的數據包過濾檢查。並行過濾處理可以確保數據包能夠不間斷地快速通過系統，不會對速度造成影響。這種硬體加速技術對於IPS具有重要意義，因為傳統的軟體解決方案必須串列進行過濾檢查，會導致系統性能大打折扣。

IPS的種類

* 基於主機的入侵防護(HIPS)

HIPS通過在主機/伺服器上安裝軟體代理程序，防止網路攻擊入侵操作系統以及應用程序。基於主機的入侵防護能夠保護伺服器的安全弱點不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龍淵伺服器核心防護都屬於這類產品，因此它們在防範紅色代碼和Nimda的攻擊中，起到了很好的防護作用。基於主機的入侵防護技術可以根據自定義的安全策略以及分析學習機制來阻斷對伺服器、主機發起的惡意入侵。HIPS可以阻斷緩沖區溢出、改變登錄口令、改寫動態鏈接庫以及其他試圖從操作系統奪取控制權的入侵行為，整體提升主機的安全水平。

在技術上，HIPS採用獨特的伺服器保護途徑，利用由包過濾、狀態包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護伺服器的敏感內容，既可以以軟體形式嵌入到應用程序對操作系統的調用當中，通過攔截針對操作系統的可疑調用，提供對主機的安全防護;也可以以更改操作系統內核程序的方式，提供比操作系統更加嚴謹的安全控制機制。

由於HIPS工作在受保護的主機/伺服器上，它不但能夠利用特徵和行為規則檢測，阻止諸如緩沖區溢出之類的已知攻擊，還能夠防範未知攻擊，防止針對Web頁面、應用和資源的未授權的任何非法訪問。HIPS與具體的主機/伺服器操作系統平台緊密相關，不同的平台需要不同的軟體代理程序。

* 基於網路的入侵防護(NIPS)

NIPS通過檢測流經的網路流量，提供對網路系統的安全保護。由於它採用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網路會話，而不僅僅是復位會話。同樣由於實時在線，NIPS需要具備很高的性能，以免成為網路的瓶頸，因此NIPS通常被設計成類似於交換機的網路設備，提供線速吞吐速率以及多個網路埠。

NIPS必須基於特定的硬體平台，才能實現千兆級網路流量的深度數據包檢測和阻斷功能。這種特定的硬體平台通常可以分為三類：一類是網路處理器(網路晶元)，一類是專用的FPGA編程晶元，第三類是專用的ASIC晶元。

在技術上，NIPS吸取了目前NIDS所有的成熟技術，包括特徵匹配、協議分析和異常檢測。特徵匹配是最廣泛應用的技術，具有準確率高、速度快的特點。基於狀態的特徵匹配不但檢測攻擊行為的特徵，還要檢查當前網路的會話狀態，避免受到欺騙攻擊。

協議分析是一種較新的入侵檢測技術，它充分利用網路協議的高度有序性，並結合高速數據包捕捉和協議分析，來快速檢測某種攻擊特徵。協議分析正在逐漸進入成熟應用階段。協議分析能夠理解不同協議的工作原理，以此分析這些協議的數據包，來尋找可疑或不正常的訪問行為。協議分析不僅僅基於協議標准(如RFC)，還基於協議的具體實現，這是因為很多協議的實現偏離了協議標准。通過協議分析，IPS能夠針對插入(Insertion)與規避(Evasion)攻擊進行檢測。異常檢測的誤報率比較高，NIPS不將其作為主要技術。

* 應用入侵防護(AIP)

NIPS產品有一個特例，即應用入侵防護(Application Intrusion Prevention，AIP)，它把基於主機的入侵防護擴展成為位於應用伺服器之前的網路設備。AIP被設計成一種高性能的設備，配置在應用數據的網路鏈路上，以確保用戶遵守設定好的安全策略，保護伺服器的安全。NIPS工作在網路上，直接對數據包進行檢測和阻斷，與具體的主機/伺服器操作系統平台無關。

NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。隨著處理器性能的提高，每一層次的交換機都有可能集成入侵防護功能。

IPS技術特徵

嵌入式運行：只有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護，實時阻攔所有可疑的數據包，並對該數據流的剩餘部分進行攔截。

深入分析和控制：IPS必須具有深入分析能力，以確定哪些惡意流量已經被攔截，根據攻擊類型、策略等來確定哪些流量應該被攔截。

入侵特徵庫：高質量的入侵特徵庫是IPS高效運行的必要條件，IPS還應該定期升級入侵特徵庫，並快速應用到所有感測器。

高效處理能力：IPS必須具有高效處理數據包的能力，對整個網路性能的影響保持在最低水平。

IPS面臨的挑戰

IPS 技術需要面對很多挑戰，其中主要有三點：一是單點故障，二是性能瓶頸，三是誤報和漏報。設計要求IPS必須以嵌入模式工作在網路中，而這就可能造成瓶頸問題或單點故障。如果IDS 出現故障，最壞的情況也就是造成某些攻擊無法被檢測到，而嵌入式的IPS設備出現問題，就會嚴重影響網路的正常運轉。如果IPS出現故障而關閉，用戶就會面對一個由IPS造成的拒絕服務問題，所有客戶都將無法訪問企業網路提供的應用。

即使 IPS 設備不出現故障，它仍然是一個潛在的網路瓶頸，不僅會增加滯後時間，而且會降低網路的效率，IPS必須與數千兆或者更大容量的網路流量保持同步，尤其是當載入了數量龐大的檢測特徵庫時，設計不夠完善的 IPS 嵌入設備無法支持這種響應速度。絕大多數高端 IPS 產品供應商都通過使用自定義硬體(FPGA、網路處理器和ASIC晶元)來提高IPS的運行效率。

誤報率和漏報率也需要IPS認真面對。在繁忙的網路當中，如果以每秒需要處理十條警報信息來計算，IPS每小時至少需要處理 36,000 條警報，一天就是 864,000 條。一旦生成了警報，最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特徵編寫得不是十分完善，那麼"誤報"就有了可乘之機，導致合法流量也有可能被意外攔截。對於實時在線的IPS來說，一旦攔截了"攻擊性"數據包，就會對來自可疑攻擊者的所有數據流進行攔截。如果觸發了誤報警報的流量恰好是某個客戶訂單的一部分，其結果可想而知，這個客戶整個會話就會被關閉，而且此後該客戶所有重新連接到企業網路的合法訪問都會被"盡職盡責"的IPS攔截。

IPS廠商採用各種方式加以解決。一是綜合採用多種檢測技術，二是採用專用硬體加速系統來提高IPS的運行效率。盡管如此，為了避免IPS重蹈IDS覆轍，廠商對IPS的態度還是十分謹慎的。例如，NAI提供的基於網路的入侵防護設備提供多種接入模式，其中包括旁路接入方式，在這種模式下運行的IPS實際上就是一台純粹的IDS設備，NAI希望提供可選擇的接入方式來幫助用戶實現從旁路監聽向實時阻止攻擊的自然過渡。

IPS的不足並不會成為阻止人們使用IPS的理由，因為安全功能的融合是大勢所趨，入侵防護順應了這一潮流。對於用戶而言，在廠商提供技術支持的條件下，有選擇地採用IPS，仍不失為一種應對攻擊的理想選擇。

⑦ 網路安全設備分為哪些，作用各是什麼

主要有
防火牆、垃圾郵件過濾、網頁過濾、防病毒等形式
具體作用分別是
防止病毒侵入你的計算機
過濾垃圾郵件
過濾網頁避免不良信息
防止各類病毒的攻擊