名词解释

IDS：

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。
专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，
尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。
做一个形象的比喻：
假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

IPS

入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙(Packet Filter, Application Gateway)的补充。 入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

UTM

UTM是对传统防护手段的整合和升华，是建立在原有安全网关设备基础之上的，拥有防火墙、入侵防御(IPS)、防病毒(AV)、VPN、内容过滤、反垃圾邮件等多种功能，这些技术处理方式仍然是UTM的基础，但这些处理方式不再各自为战，需要在统一的安全策略下相互配合，协同工作。
对于众多的功能，有必备功能和增值功能之分。一般而言，防火墙、VPN、入侵防御、防病毒是必备的功能模块，缺少任何一个不能称之为UTM。其余是增值功能，用户可以根据自身需求进行选择。

web威胁感知

识别Web应用攻击，能够深度挖掘黑客针对Web的拖库、远程命令执行、敏感文件泄露、Webshell后门等攻击事件并发出准确的报警

常见的防御体系

边界防护

1
2
3
4
5
6
7
8
9
10
11
12

"在网络边界解决问题，强调御敌于国门之外"

主要措施：
a. WAF
b. 内外网隔离


优点：
部署简单

缺点：
内网突破后，黑客就控制了一切。

纵深防御体系

1
2
3
4
5
6
7
8
9
10
11
12
13

"纵深防御本质为多层防御，增加攻击成本。"

纵深防御分为四部分：
a. 网络边界：WAF，防火墙，IPS，UTM，流量清洗设备等等
b. 网络层：IDS，web威胁感知，web审计
c. 服务器端：主机IDS，服务器杀毒，内核假哭，主机WAF等
d. 数据库：数据库审计，数据库防火墙等

优点：
防护的定位清晰，攻击成本提高，安全性提高

缺点：
各个部分缺乏协同性，检测手段多基于黑名单和规则，对于专业的黑客而言，也是可以突破的。

河防体系

在隔离的基础上，严格控制办公网络对生产网络的访问，同时在生产网络的内部进行隔离的基础上，进行边界防护和检测。适用于数据中心用户

塔防体系

纵深防御的一种，加上了云的管控能力和威胁情报数据。

参考

https://anquan.baidu.com/pages/threat.html

https://searchsecurity.techtarget.com.cn/11-17666/

https://baike.baidu.com/item/IPS/2131631

https://zh.wikipedia.org/wiki/入侵检测系统

https://baike.baidu.com/item/IDS/22042