目录

一、常用安全设备

1、防火墙

2、IDS入侵检测系统（被动）

3、IPS入侵防御系统（主动）

4、ACG（上网行为管理）

5、WAF（web应用防护系统）

6、蜜罐

二、反制手段

三、日志分析

1、事件查看器

2、常见事件ID

3、Linux系统日志

四、本地组策略编辑器

分三种：包过滤防火墙（网络层）、状态检测防火墙、应用程序代理防火墙（应用层）

我们说的防火墙一般指包过滤防火墙，它可以对不合法的数据访问进行阻拦并丢弃。

按照一定的安全策略对网络、系统的运行进行实时监控，尽可能地发现网络攻击行为。

能监视网络或网络设备的网络数据传输行为，可预先对攻击活动或入侵性网络流量进行拦截，隔离一些不正常或具有伤害性的网络数据传输行为。

这个是深信服的，可进行网页访问过滤、网络应用控制、用户行为分析等。

工作在应用层，通过对http或https的web攻击行为进行分析并拦截来降低网站安全风险，通过特征提取和分块检索进行模式匹配来达到过滤、分析、校检网络请求包的目的，在保证正常网络应用功能的同时，隔绝无效非法的攻击请求。

是一种主动防御技术，通过模拟易受攻击的主机或服务来吸引攻击者，捕获攻击流量，发现网络威胁，提取威胁特征，它的价值在于被探测、攻陷。

蜜罐就是蓝队常用的反制手段之一，利用蜜罐可以获取攻击者的IP、操作系统、设备信息等，还可以结合whois进行域名反查。

在Windows上，使用win+R输入eventvwr.msc进入事件查看器

4624：登陆成功

4625：登录失败

4634：注销成功

4672：使用超级用户（如管理员）进行登录

4720：创建用户

存放在 /var/log目录

系统日志：/var/log/message

cron日志：/var/log/cron

安全日志：/var/log/secure

组策略编辑器包含本地安全策略 的功能，本地安全策略主要是对计算机安全方面和权限的设置，如用户权利的指派等。

可以直接在Windows设置里面搜索组策略即可找到并打开本地组策略编辑器；

在控制面板里将类型换成小图标或大图标，进入管理工具，便可找到本地安全策略。