通过特征提取和分块检索技术进行模式匹配来达到过滤，分析，校验网络请求包的目的，在保障正常网络应用功能的同时，隔绝或者阻断无效或者非法的攻击请求

  区别与传统防火墙，可以防护特定的应用程序，传统防火墙只能在服务器之间作用

  1） 特定的防护手段可以被绕过或者无效化，必须同攻击手段一起升级进步，否则将失去效用。

  2） 需要和入侵检测系统等安全设备联合使用，且防护程度和网络的性能成反相关。

  积极主动的保护措施，按照一定的安全策略，通过软件，硬件对网络，系统的运行进行实时的监控，尽可能地发现网络攻击行为，积极主动的处理攻击，保证网络资源的机密性，完整性和可用性。

  4） 部署位置尽可能靠近攻击源或者受保护资源（服务器区域交换机，互联网接入路由后第一个交换机，重点保护源交换机）

  作用：（实时监控网络行为，中断或者调整隔离网络非法行为，比IDS具有防御能力）

  是计算机网络安全设施，是对防病毒软件和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。

  传统防火墙作用在2-4层，对4层以上的防护作用很小（4层以上需要拆数据包，而拆数据包会影响速率），病毒软件工作在5-7层，这样中间4-5层属于空挡，所以IPS是作为病毒软件和防火墙的补充，作用在4-5层

  IPS的防护方式一般以阻断受保护源和外界的联系为主，这样带来的一个弊端就是，网络资源被保护了，但是同时该网络资源的对外提供的服务也被阻断了或者削弱了，这就导致了一种敌我两伤的局面，而有些服务一旦停止，对运营者来说将是一笔不小的损失。

  SOC，全称是Security Operations Center，是一个以IT资产为基础，以业务信息系统为核心，以客户体验为指引，从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台，使得各种用户能对业务信息系统来进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化，最终实现业务信息系统的持续安全运营

  既有产品又有服务，需要运营，流程以及人工的有机结合，是一个综合的技术上的支持平台。他将安全看成一个动态的过程（敌人的攻击手段在变，漏洞在更新，我方的防火手段，业务产品，人员调度等都在变动，没有一个系统能一劳永逸的抵御所有攻击，只有“魔”，“道”维持一个相对的平衡才是安全）态势感知的根基就是安全运营中心

  态势感知是一种基于环境的、动态、整体地洞悉安全风险的能力，是以安全大数据为基础，从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式，最终是为了决策与行动，是安全能力的落地。

  检测：提供网络安全持续监控能力，及时有效地发现各种攻击威胁与异常，特别是针对性攻击。

  分析、响应：建立威胁可视化及分析能力，对威胁的影响区域、攻击路径、目的、手段进行快速研判，目的是有效的安全决策和响应。

  预测、预防：建立风险通报和威胁预警机制，全面掌握攻击者目的、技战术、攻击工具等信息。

  SIEM技术最早是从日志管理发展起来的。它将安全事件管理(SEM)——实时分析日志和事件数据以提供威胁监视、事件关联和事件响应，与安全信息管理(SIM)——收集、分析并报告日志数据，结合了起来。（从各种安全设备，主机日志等收集数据，然后分析这些数据）

  SIEM目前被视为是SOC安全运营中心的基础（大数据—SIEM审计分析—驱动安全运营中心）

  检查计算机或者网络上有几率存在的漏洞点，脆弱点等。它是一类自动检验测试本地或远程主机安全弱点的程序，能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。

  根据漏洞库，发送数据包检测目标有没有漏洞库中的漏洞，通过对方的反馈来判断漏洞，系统，端口和服务等等

  统一威胁管理（UTM，Unified Threat Management），顾名思义，就是在单个硬件或软件上，提供多种安全功能。这跟传统的安全设备不一样，传统的安全设备一般只解决一种问题。

  1） 统一的威胁管理，可以集中做安全防护，不需要拥有很多单一的安全设备，不需要每种设备都去考虑

  CDN的全称是Content Delivery Network，即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。

  防火墙是位于两个(或多个)网络间，实行网络间访问或控制的一组组件集合之硬件或软件。隔离网络，制定出不一样的区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。

  防火墙是根据合法网址和服务端口过滤数据包的，但是对合法的但是具有破坏性的数据包没有防护效能。防火墙必须部署在流量的必经之路上，防火墙的效能会影响网络的效能。

  是一种常用于连接中、大规模的公司或团体与团体间的私人网络的通讯方法。（使不安全的网络可以发送安全的消息，采用加密的虚拟通道协议工作，加密方式可控可协商）

  上网行为管理，是通过软件或硬件，控制用户访问网络的权限。功能包括行为管理、应用控制、流量管控、信息管控、非法热点管控、行为分析、无线网络管理等。

  “云安全（Cloud Security）”技术是网络时代信息安全的最新体现，它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念，通过网状的大量客户端对网络中软件行为的异常监测，获取互联网中木马、恶意程序的最新信息，推送到服务器端进行自动分析和处理，再把病毒和木马的解决方案分发到每一个客户端。

  主机安全（Cloud Workload Protection，CWP）基于海量威胁数据，利用机器学习为用户更好的提供黑客入侵检测和漏洞风险预警等安全防护服务，最重要的包含密码破解拦截、异常登录提醒、木马文件查杀、高危漏洞检测等安全功能，解决当前服务器面临的主要网络安全风险，帮企业构建服务器安全防护体系，防止数据泄露。

  数据库审计服务，是为了能够更好的保证单位或个人核心数据的安全，可针对数据库SQL注入、风险操作等数据库风险操作行为进行记录与告警。

  整理下来方便以后查阅，后期有时间会促进完善，设想各个现阶段防护设备都能和SDN结合一下，后面会整理这方面的论文。