设备搭建（waf、蜜罐、ids和ips）

防火墙

DMZ区域叫非军事化区减，DMZ有web服务或者MySQL服务，从互联网到dmz的流量一般不拦截（因为需要互联网用户访问web服务），如果dmz沦陷，攻击者想要继续横向移动到内网，那么dmz就会拦截所有的TCP数据包，保证了内网的安全，内网中有办公网，办公网用来监控本公司的物联网设备，十分重要。dmz是四层防火墙。dmz具有类似黑名单的功能

waf

waf全称web application firewall，web应用防火墙，waf分为硬件waf和软件waf，软件waf，有安全狗，硬件waf有绿盟，雷池；waf会拦截通过三层交换机的所有流量，waf在web服务前面，如果waf出现故障，web服务器也就不能访问。waf是五层防火墙。

优点:减轻的服务器防御恶意流量的压力，提前拦截攻击流量

缺点:容易被各种变形的流量绕过，本身出现问题以后，影响web服务的运行

网闸

通信观方只有一方可以和设备链接，无法同时链接网闸

蜜罐

蜜罐的交互程度是指攻击者与蜜罐相互作用的程度，高交互蜜罐提供给入侵者一个真实的可进行交互的系统。

****相反，低交互蜜罐只可以模拟部分系统的功能。****高交互蜜罐和真实系统一样可以被完全攻陷，允许入侵者获得系统完全的访问权限，并可以以此为跳板实施进一步的网络攻击。相反的，低交互蜜罐只能模拟部分服务、端口、响应，入侵者不能通过攻击这些服务获得完全的访问权限。

高交互、低交互、jsonp

ids

入侵检测系统，它和waf不同的地方在于它能监测全网流量，ids分为基于主机的ids和基于网络的ids。基于主机的ids会主动寻找主机要求主机发送日志给自己，基于网络的ids会寻找所有的流量

ips

入侵防御系统，ids和ips可以联动，ids将可疑IP给ips查封，但是因为误报太多，所以这个联动功能一般不用。