网络设备功能对照表

一、网络安全设备功能对照表

​设备类型​	​代表设备​	​核心作用​	​形象比喻​	​典型应用场景​
​防火墙​	Palo Alto PA-7000	• 网络边界访问控制（ACL） • 深度包检测（DPI） • 威胁情报联动	​智能门禁系统​ 刷卡识人脸，危险分子禁入	互联网接入边界
​网闸​	网神PowerV	• 物理隔离网络通信 • 文件摆渡传输 • 协议剥离与重构	​隔离传菜梯​ 饭菜可送人，火苗不过墙	政府内外网隔离
​堡垒机​	齐治Privilege	• 运维操作审计 • 指令级行为记录 • 特权账号管理	​操作室监控镜​ 工程师操作全程录像	服务器远程运维
​数据库审计​	安华金和DBAudit	• SQL语句解析 • 敏感数据操作告警 • 性能基线分析	​金库出入记录仪​ 每笔存取精确登记	金融核心数据库
​行为审计系统​	网康ICG	• 上网行为记录 • 应用协议识别 • 泄密渠道阻断	​办公室巡查员​ 禁止用手机拍屏幕	企业办公网络
​日志审计平台​	日志易	• 全网日志采集 • 关联分析告警 • 合规报表生成	​飞行黑匣子​ 故障前所有操作可追溯	等保三级系统
​入侵检测系统(IDS)​	Suricata	• 流量镜像监听 • 攻击特征匹配 • 零日漏洞预警	​病毒扫描仪​ 实验室培养皿细菌检测	业务旁路监控
​入侵防御系统(IPS)​	Cisco Firepower	• 实时流量阻断 • 漏洞虚拟补丁 • 加密流量解密	​疫苗注射器​ 发现病毒立即灭活	核心业务链路口
​WAF防火墙​	创宇盾	• Web攻击拦截 • API安全防护 • 爬虫行为管理	​银行防弹玻璃​ 能看钱摸不到	电商支付页面
​沙箱​	FireEye NX	• 未知文件行为分析 • 虚拟环境执行监测 • 恶意代码捕获	​生化隔离舱​ 危险品开箱先实验	邮件网关附件检测
​VPN网关​	Sangfor SSL VPN	• 加密通信隧道 • 多因素认证 • 终端安全检查	​装甲运钞车​ 现金运输全程防护	移动办公接入
​防泄密系统(DLP)​​	亿赛通	• 敏感内容识别 • 文件操作管控 • 打印水印追踪	​隐形荧光笔​ 机密文件标记可溯源	研发设计部门
​统一威胁管理(UTM)​	SonicWall NSa	• 多安全功能集成 • 云沙箱联动 • 应用层过滤	​多功能军刀​ 切割/钻孔/照明一体	中小型企业出口
​抗DDoS设备​	绿盟黑洞	• 流量清洗 • 攻击特征过滤 • 压力回注分析	​泄洪分水闸​ 洪水来袭开闸分流	游戏/金融平台
​网络探针​	科来福探针	• 全流量采集 • 业务画像生成 • 异常行为发现	​CT扫描仪​ 身体异常部位高亮显示	数据中心网络
​零信任网关​	腾讯iOA	• 动态访问控制 • 设备环境感知 • 持续信任评估	​人脸动态锁​ 每步操作重新验证	远程接入内网
​光闸​	启明星辰	• 单向光传输 • 数据格式剥离 • 物理隔离保障	​单向传话筒​ 能听不能说	公安视频专网接入

二、网络设备全功能对照表（OSI分层索引）

​设备名称​	​工作层级​	​核心作用​	​典型型号/协议​	​应用场景​
​光纤收发器​	物理层(1)	光电信号转换：铜缆电信号↔光纤光信号	10/100/1000BASE-T转SFP	监控网络/跨楼宇布线
​中继器(Repeater)​​	物理层(1)	信号放大再生：补偿信号衰减，扩展传输距离	最大延长100m(双绞线)	旧式工厂网络
​集线器(Hub)​​	物理层(1)	多端口信号广播：所有设备共享带宽，形成冲突域	8口10/100M HUB	淘汰设备，仅教学演示
​网桥(Bridge)​​	数据链路层(2)	冲突域分割：基于MAC地址过滤转发，隔离广播流量	IEEE 802.1D	旧式网络升级过渡方案
​交换机(Switch)​​	数据链路层(2)	1. MAC智能转发 2. VLAN隔离 3. STP防环	Cisco Catalyst 9500 华为S5735-HI	企业局域网核心
​PoE交换机​	数据链路层(2)	数据+供电一体：通过网线给AP/摄像头供电	IEEE 802.3af/at	无线AP部署/安防监控
​无线AP​	数据链路层(2)	1. Wi-Fi射频覆盖 2. 客户端接入认证 3. 射频智能调优	TP-Link EAP660 Aruba AP-505	商场/机场无线覆盖
​路由器(Router)​​	网络层(3)	1. IP路由寻址 2. NAT地址转换 3. VPN隧道建立	Cisco ISR4451 华为AR6120	企业出口网关
​三层交换机​	网络层(3)	1. VLAN间路由 2. 基础ACL控制 3. 静态路由协议	H3C S6850 Juniper EX4400	园区网核心/服务器网关
​SDN控制器​	控制层	1. 集中网络管控 2. 流量智能调度 3. 自动化运维	OpenDaylight Cisco ACI	云数据中心
​防火墙(Firewall)​​	网络层-应用层(3-7)	1. 状态检测 2. IPS入侵防御 3. 应用识别	Palo Alto PA-7000 FortiGate 600E	网络边界防护
​负载均衡器​	传输层-应用层(4-7)	1. 流量分发(轮询/加权) 2. 健康检查 3. SSL加速	F5 BIG-IP Nginx Plus	高并发网站/政务系统
​WAF(Web应用防火墙)​​	应用层(7)	1. SQL注入拦截 2. XSS防护 3. CC攻击防护	Imperva 阿里云WAF	Web业务安全防护
​VPN网关​	网络层-传输层(3-4)	1. IPSec/SSL隧道加密 2. 远程接入管理	Cisco ASA Sangfor SSL VPN	远程办公/分支互联
​IDS/IPS​	网络层-应用层(3-7)	1. 流量深度检测 2. 攻击特征匹配 3. 实时阻断	Suricata Snort	关键业务防护
​统一威胁管理(UTM)​​	多层(3-7)	多功能集成：防火墙+IPS+反病毒+VPN	SonicWall NSa 5650	中小企业一体化安全
​光模块​	物理层(1)	1. 电信号→光信号转换 2. 多模/单模转换	SFP28(25G) QSFP56(200G)	数据中心互联
​光纤配线架(ODF)​​	物理层(1)	光纤熔接保护：端接主干光缆并分配纤芯	24芯/48芯机架式	机房主干光缆管理
​协议转换器​	数据链路层(2)	不同链路层协议转换：如E1↔以太网、RS485↔TCP/IP	迈普MP-6001	工控网络/银行专线

三、特殊场景网络设备部署指南

​业务场景​	​核心设备组合​	​部署方案特点​
​数据中心​	探针 + 防火墙 + WAF + 数据库审计	• ​四层纵深防御​ ✓ 探针实时流量监控 ✓ 防火墙边界隔离 ✓ WAF应用防护 ✓ 数据库操作审计
​等保三级系统​	堡垒机 + 网闸 + 日志审计 + IPS	• ​合规闭环设计​ ✓ 堡垒机满足等保8.1.4 ✓ 网闸物理隔离 ✓ 日志留存6个月 ✓ IPS旁路防御
​远程办公​	VPN网关 + 零信任网关 + DLP	• ​三重安全链​ ✓ VPN加密隧道 ✓ 零信任动态验证 ✓ DLP防敏感数据泄露
​工控网络​	光闸 + 工业防火墙 + 行为审计	• ​工业级加固​ ✓ 光闸防渗透 ✓ 工控协议白名单 ✓ 操作指令全记录

​部署口诀​：
​数据中心​ → 监、隔、防、审
​等保系统​ → 控、离、存、御
​远程办公​ → 加、验、防
⚙️ ​工控安全​ → 断、滤、录