1、防火墙

部署方式：主备串接在互联网出口，是内外网流量的必经之路。

安全圈的入门必备款，相当于你家大门的门禁。只给提前授权的流量放行，没登记的一律拦在外面，靠 IP、端口、协议规则把内外网隔离开，挡住最基础的非法访问和端口扫描，不管是小公司还是大厂，都少不了它。

2、入侵检测系统（IDS）

部署方式：纯旁路镜像部署，只看流量不转发，绝对不串入主链路。

门口的高清监控摄像头，不直接拦人，就蹲在旁边全程盯着所有流量。一旦发现有人搞扫描、搞入侵，立刻拉响警报，全程记录行为，方便你事后溯源查账。而且它是旁路部署，完全不影响网络速度，主打一个全程监控、实时告警。

3、入侵防御系统（IPS）

部署方式：串接在主链路，流量必须经过它才能转发，实现实时拦截。

IDS 的 “升级带刀版”，不光能看、能喊警报，还能直接上手把坏人摁住。它串在网络链路里，发现恶意流量和攻击行为，直接在线拦截，不让攻击进内网，弥补了防火墙拦不住应用层攻击的短板。

4、VPN 网关

部署方式：部署在互联网出口，构建公网加密隧道，适配远程办公 + 分支机构互联。

远程办公人的老朋友！它在公网这个大马路上，给你挖了一条加密专属隧道，不管你在家还是出差，都能通过这条隧道安全连进公司内网，不怕传输的数据被窃听、篡改，跨地域分公司互联也基本靠它。

5、安全路由器

部署方式：作为中小网络出口网关，串接在运营商和内网之间，一台搞定路由 + 基础安全。

普通路由器的 “安全加强版”，不光能拨号上网、转发数据，还自带防火墙、VPN、访问控制这些基础安全能力。特别适合中小企业、分支机构，一台设备搞定上网 + 基础安全，省钱又省事儿。

6、抗 DDoS 设备

部署方式：主流旁路引流清洗模式，正常不碰业务流量，攻击时引流清洗回注。

专门对付 “恶意堵车” 的清障车。DDoS 攻击就是用海量流量堵死你公司的大门，让正常用户进不来，业务直接瘫痪，而它能精准过滤掉垃圾流量，只放正常业务流量进来，电商、游戏、金融行业基本是标配。

7、统一威胁管理（UTM）

部署方式：作为中小网络一体化出口网关，串接在互联网出口，替代多台安全设备。

边界安全的 “一体机”，把防火墙、IDS/IPS、VPN、防病毒这些功能全塞进一台设备里。特别适合预算不多、没有专职安全运维的中小企业，一台设备搞定边界基础安全，运维起来也简单。

8、Web 应用防火墙（WAF）

部署方式：串接在 Web 业务服务器前端，用户访问流量先经过 WAF 清洗再到后端服务。

可别把它和防火墙搞混了！普通防火墙管网络层的大门，WAF 管 Web 应用的 “房门”，专门盯着网站、小程序、API 接口，像 SQL 注入、XSS 跨站、文件上传这些针对网站的攻击，防火墙拦不住，WAF 却能精准拿捏。

9、数据防泄露（DLP）

部署方式：管理平台 + 多组件分布式部署，覆盖网络 + 终端 + 应用全场景。

企业数据的 “泄密拦截官”，核心就是防止公司核心数据被偷偷传出去。不管是员工通过邮件、U 盘、云盘还是聊天工具外发，只要里面包含客户资料、商业机密这些敏感信息，它都能识别并拦截，还能全程记录，防内鬼也防外部窃密。

10、数据库审计

部署方式：无侵入旁路镜像部署，只采集数据库访问流量，不影响业务。

企业金库的 “全程记录仪”，数据库里全是核心数据，它会把所有访问、操作数据库的行为全记下来，谁登录了、查了什么、改了什么，一清二楚。一旦有越权访问、违规删改，立刻告警，出了事能精准溯源，还能满足等保审计要求。

11、邮件安全网关

部署方式：串接在互联网和企业邮件服务器之间，所有邮件先经过网关检测再转发。

企业邮箱的 “安检门”，现在 80% 的钓鱼攻击、勒索病毒都是通过邮件进来的。所有进出的邮件都要过它的检查，垃圾邮件、带毒附件、钓鱼链接全拦在外面，还能管控员工通过邮件外发敏感数据，守住邮件这个最常见的攻击入口。

12、加密机

部署方式：部署在业务应用和数据库之间，提供硬件级加密能力，贴近核心数据资产。

给企业数据上 “硬件级国密锁” 的神器，不管是存储在数据库里的敏感数据，还是传输中的业务数据，它都能加密得严严实实，就算数据被偷走，没有密钥也根本解不开，还能做数字签名防篡改，金融、政务行业基本是标配。

13、终端安全管理系统

部署方式：集中管理平台 + 终端 Agent 分布式部署，平台放在服务器区，终端装客户端。

企业所有办公电脑、服务器的 “统一管家”。不用一台台单独管，通过一个平台就能给所有终端统一下发安全策略，自动杀病毒、打补丁、管控 U 盘外设，审计违规操作，防止终端成为攻击突破口。

14、堡垒机

部署方式：旁路部署在运维管理区，所有运维操作必须经过堡垒机跳转，不串业务链路。

运维人的老熟人，运维操作的 “唯一入口 + 全程录屏仪”。以前运维人员直接登服务器、交换机，权限乱、操作乱，出了事找不到人；有了堡垒机，所有运维操作都必须从这里走，统一认证、最小权限分配，高危操作直接拦截，运维行为全程可追溯。

15、无线安全控制器（AC）

部署方式：旁挂在核心交换机，通过隧道统一管理所有分布式无线 AP。

企业无线网络的 “大总管”，能统一管理所有无线 AP，给连 WiFi 的用户做身份认证，加密无线传输，还能实时发现并拉黑非法蹭网的设备，防止无线网络成为内网攻击的入口。

16、移动设备管理（MDM）

部署方式：集中管理平台 + 移动端 APP 部署，平台支持公网 + 内网访问，管控移动终端。

移动办公的安全神器，专门管员工的手机、平板等移动设备。能给手机里的公司数据和个人数据做隔离，管控 APP 安装，设备丢了能远程锁定、擦除公司数据，再也不怕移动办公带来的泄密风险。

17、网络准入控制（NAC）

部署方式：集中认证平台 + 接入层交换机联动，在接入端口实现管控，不合规设备无法入网。

企业内网的 “第二道门禁”，不管什么设备，想连内网先过它这一关。先验证设备身份，再检查有没有装杀毒软件、打补丁，只有合规可信的设备才能接入，不合规的直接拒之门外，从源头挡住非法设备。

18、物联网安全网关

部署方式：串接在物联网区域和核心内网之间，隔离物联网区域，管控设备接入。

专门给摄像头、传感器、工控设备这些物联网设备做防护的网关。物联网设备大多安全能力弱，很容易被攻击成内网跳板，它能适配各种物联网协议，给设备做身份认证，拦截针对物联网的攻击，把物联网区域和核心内网隔离开。

19、安全审计系统

部署方式：集中审计平台 + 全资产日志采集，旁路部署，无业务侵入。

企业全场景的 “黑匣子”，网络设备、服务器、应用、终端的所有操作行为，它全都会记录存档。出了安全事件能翻出来溯源，合规检查时能直接拿出审计日志，是企业安全合规的必备项。

20、漏洞扫描系统

部署方式：旁路部署，和被扫描资产网络可达即可，通过主动扫描检测漏洞。

企业 IT 资产的 “定期体检仪”，能自动扫描服务器、设备、网站、数据库，找出里面的高危漏洞、弱口令、配置问题，还会给你出修复建议，让你在攻击者利用之前，先把漏洞补上。

21、安全信息与事件管理（SIEM）

部署方式：集中大数据平台 + 全资产日志采集，是安全运营的核心分析中枢。

告警的 “集中处理中心”。企业安全设备多了，每天成千上万条告警，根本看不过来，它能把所有日志收过来做关联分析，把零散的告警拼成完整的攻击事件，过滤掉没用的噪声，精准找到真正的攻击，是中大型企业安全运营中心的核心。

22、网络流量分析（NTA）

部署方式：旁路镜像部署，采集全链路网络流量，做深度分析和异常检测。

靠全量流量找威胁的 “侦探”。很多内网横向渗透、加密隧道里的恶意通信，传统设备根本发现不了，它会给正常网络行为建基线，一旦发现异常流量立刻告警，还能回溯全量流量，把攻击的来龙去脉查得一清二楚。

23、蜜罐

部署方式：分布式旁路部署，和真实业务网络隔离，引诱攻击者访问，实现诱捕告警。

给攻击者挖的 “陷阱”。它会模拟一些看起来很值钱的服务器、数据库，故意露破绽引诱攻击者来攻，攻击者一进来就掉进陷阱，我们全程记录它的攻击手段和行为，既延缓了对真实业务的攻击，还能摸清攻击者的套路。

24、安全沙箱

部署方式：旁路部署，和邮件网关、防火墙、终端安全系统联动，隔离检测可疑文件。

可疑文件的 “隔离观察室”。很多未知病毒、勒索软件，靠传统特征库根本拦不住，它会虚拟一个和真实系统一模一样的环境，让可疑文件在里面随便跑，全程盯着它的一举一动，发现恶意行为立刻识别，绝对不让它跑到真实系统里。

25、态势感知平台

部署方式：集中部署在安全运营中心，汇聚全维度安全数据，实现全网态势可视化。

企业全网安全的 “驾驶舱”。它把企业所有的安全数据、资产、威胁、事件全整合起来，用可视化大屏直观展示全网安全状况，哪里有攻击、哪里有风险一目了然，还能提前预警威胁，实现安全事件闭环处置。

26、威胁情报平台

部署方式：集中部署，对接外部情报源，给内部所有安全设备同步分发情报。

安全圈的 “共享敌情通报”。它会汇聚全球最新的攻击信息，比如恶意 IP、恶意域名、攻击团伙套路，同步给你的防火墙、IPS 等设备，让你的防护系统提前知道最新的攻击手段，在攻击者动手之前就把它拦在外面。

27、身份认证系统（IAM）

部署方式：集中部署统一身份平台，对接企业全业务系统，实现统一认证、单点登录。

企业的 “统一身份管理中心”。以前员工入职要给十几个系统挨个开账号，离职了要挨个删，麻烦还容易出漏洞；有了 IAM，一个账号走天下，统一认证、单点登录所有系统，给每个人分最小化权限，支持多因素认证，确保身份绝对可信。

28、云安全代理（CASB）

部署方式：部署在企业和云服务之间，管控 SaaS 服务访问，防止云上数据泄露。

企业和云服务之间的 “中间管家”。现在大家都在用 SaaS 服务，数据都存在云上，管不住怎么办？所有访问云服务的流量都经过它，它能管谁能访问、能传什么数据，防止敏感数据上云泄露，还能审计所有访问行为，让上云的数据也管得住、控得牢。

29、容器安全平台

部署方式：云原生分布式部署，对接 K8s 集群，覆盖容器全生命周期。

容器化业务的 “全生命周期保镖”。现在微服务、K8s 已经是开发标配，但镜像漏洞、容器逃逸、权限问题很多人都没注意到。它从镜像构建就开始扫漏洞，运行时监控容器行为，拦截逃逸和异常提权，还给 K8s 集群做安全审计，适配 DevSecOps 流程。

30、区块链安全

部署方式：多组件联动，覆盖节点防护、合约审计、链上交易监控全场景。

区块链业务和数字资产的 “防护锁”。智能合约漏洞、节点攻击、私钥泄露，随便出个事就是巨额资产损失。它能给智能合约做安全审计，给区块链节点做攻击防护，用加密多签机制保障私钥安全，实时监控链上异常交易，守住数字资产安全。

写到这里，30 类常用的网络安全系统，我就全给大家用大白话说完了！

钉子哥认为其实网络安全体系，从来都不是靠一台设备、一个系统就能搞定的，而是靠这些系统互相配合，形成从边界到终端、从应用到数据、从防护到运营的全流程闭环。