做网络和安全项目时,经常会碰到一长串设备名称:IDS、IPS、上网行为管理、网闸、漏扫、日志审计、数据库审计、堡垒机。
名字听着都和“安全”有关,但真正到了选型、部署和排障阶段,很多人还是容易混淆:IDS和IPS有什么区别?网闸能不能替代防火墙?日志审计和数据库审计是不是一回事?有了VPN为什么还要堡垒机?今天直接从部署位置、工作原理和使用场景出发,把这8类设备讲清楚。

这8类设备,大致可以分成几组:
IDS和IPS负责网络威胁检测与防护;上网行为管理负责用户、应用和带宽管控;网闸负责不同安全区域之间的隔离交换;漏扫负责发现资产漏洞;日志审计和数据库审计负责记录、分析与追溯;堡垒机则负责集中管理运维入口。

IDS是入侵检测系统,通常采用旁路部署,通过交换机镜像流量进行分析。它发现异常后,会生成告警、日志或分析报告,但不会直接改变业务流量。
IPS是入侵防御系统,通常串联在业务链路中。流量需要经过IPS检查,当设备识别到攻击行为时,可以直接执行拦截、丢弃或限流。

上网行为管理设备通常部署在互联网出口或内网关键路径上,主要管理员工、部门和终端的网络访问行为。

除了访问控制,它还可以进行带宽分配、限速、应用优先级设置和访问记录审计。
网闸通常部署在两个安全等级不同的网络之间,例如办公网与生产网、互联网与敏感内网、工业控制网与管理网。
它的核心作用不是简单过滤流量,而是通过物理隔离或逻辑隔离,切断两个网络之间的直接连接。需要交换的数据,会经过协议代理、数据摆渡、内容检查和受控通道后,再传递到另一侧。

漏洞扫描设备会先发现网络中的主机、端口、操作系统、应用和服务,再结合漏洞规则库,对资产进行安全检测。
扫描结束后,系统通常会输出漏洞名称、风险等级、受影响资产和修复建议。但扫描结果并不能直接等同于真实风险,部分漏洞还需要结合资产环境、暴露范围和利用条件进一步验证。
真正有效的漏扫流程应该是:资产发现、漏洞扫描、结果验证、风险排序、修复整改、再次复测。
需要注意的是,主动扫描可能会产生一定网络负载,部分老旧设备或脆弱业务甚至可能受到影响。因此,正式扫描前要确认授权范围,并尽量避开业务高峰期。

防火墙、交换机、服务器、终端和业务系统每天都会产生大量日志。如果这些日志分散存放,真正发生安全事件时,很难快速找到完整线索。
日志审计平台会把不同设备和系统的日志集中采集,再进行格式统一、字段解析、存储留痕、条件检索、异常告警和报表输出。它可以帮助运维和安全人员回答几个关键问题:异常是什么时候发生的?涉及哪些设备?哪个账号执行了操作?攻击路径经过了哪些节点?
日志审计更偏向合规留痕和事件追溯,也可以与SIEM、SOC等平台配合使用。没有完整日志,很多安全事件最后只能看到结果,却无法还原过程。

数据库审计关注的重点,是应用程序、管理员和数据库账号的访问行为。
它会记录访问账号、来源IP、访问时间、SQL语句、目标数据库或数据表、执行结果,以及批量导出、删除数据、访问敏感字段等异常操作。

堡垒机一般部署在运维人员和服务器、网络设备、数据库之间。
运维人员不能直接登录目标设备,而是先通过堡垒机完成身份认证、授权审批和账号映射,再访问对应资产。整个操作过程可以被记录,包括登录时间、执行命令、文件传输和屏幕录像。

选择网络安全设备时,不能只看产品名称,更要看它部署在哪里、保护什么对象、解决什么问题。

很多网工刚接触网络安全时,最容易卡住的并不是命令,而是不知道这些设备到底放在哪里、彼此怎么配合。
网络工程关注的是“网络能不能正常运行”,安全工程还要继续追问:谁在访问、访问了什么、有没有异常、能不能阻断、出了问题能不能追溯。
把这8类设备的职责和部署逻辑弄明白,才算真正迈过了从传统网络运维走向网络安全的第一道门槛。