網(wǎng)絡安全之防火墻、IDS、IPS之間的區(qū)別

防火墻和IPS屬于訪問控制類產(chǎn)品，而IDS屬于審計類產(chǎn)品。我們可以用一個簡單的比喻，描述三者的不同和關系——將網(wǎng)絡空間比喻成一個大廈，那么防火墻相當于門鎖，有效隔離內(nèi)外網(wǎng)或不同安全域，IDS相當于監(jiān)視系統(tǒng)，當有問題發(fā)生時及時產(chǎn)生警報，而IPS則是巡視和保證大廈安全的安保人員，能夠根據(jù)經(jīng)驗，主動發(fā)現(xiàn)問題并采取措施。

防火墻較多應用在轉(zhuǎn)發(fā)、內(nèi)網(wǎng)保護（NAT）、流控、過濾等方面；IDS和IPS主要針對一些攻擊情況。一般的防火墻只能做到3-4層的保護，對于5-7層的應用保護很一般，而5-7層的保護正式IDS和IPS的長處。

防火墻通常采用串行接入，部署在網(wǎng)絡邊界，用來隔離內(nèi)外網(wǎng)；IDS通常采用旁路接入，在網(wǎng)絡中的位置一般選擇為：盡可能靠近攻擊源、盡可能靠近受保護資源，這些位置通常是：服務器區(qū)域的交換機上；Internet接入路由器滯后的第一臺交換機上；重點保護網(wǎng)段的局域網(wǎng)交換機上。IPS通常采用Inline接入，在辦公網(wǎng)絡中，至少需要在以下區(qū)域部署：辦公網(wǎng)與外部網(wǎng)絡的連接部位（入口/出口）；重要服務器集群前端；辦公網(wǎng)內(nèi)部接入層；工作機制不同

防火墻是重要的網(wǎng)絡邊界控制設備，主要通過策略5要素（源、目的、協(xié)議、時間、動作，各廠家根據(jù)定義不同，會有所擴展）實現(xiàn)對網(wǎng)絡的訪問控制。

IDS主要針對已發(fā)生的攻擊事件或異常行為進行處理，屬于被動防護。以NIDS為例：NIDS以旁路方式，對所監(jiān)測的網(wǎng)絡數(shù)據(jù)進行獲取、還原，根據(jù)簽名進行模式匹配，或者進行一系列統(tǒng)計分析，根據(jù)結果對有問題的會話進行阻斷，或者和防火墻產(chǎn)生聯(lián)動。IDS的致命缺點在于阻斷UDP會話不太靈，對加密的數(shù)據(jù)流束手無策。

IPS針對攻擊事件或異常行為可提前感知及預防，屬于主動防護。根據(jù)設置的過濾器，分析相對應的數(shù)據(jù)包，通過檢查的數(shù)據(jù)包可以繼續(xù)前進，包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄，被懷疑的數(shù)據(jù)包需要接受進一步的檢查。IPS的阻斷方式較IDS更為可靠，可以中斷攔截UDP會話，也可以做到確保符合簽名規(guī)則的數(shù)據(jù)包不漏發(fā)到被保護區(qū)域。IPS致命的缺點是同樣硬件的情況下，性能比IDS低的多。實際應用中，誤殺和漏殺和IDS一樣，主要是簽名庫決定的。但是隨著UDP協(xié)議的廣泛使用，IPS在UDP上的誤殺率可能會高于IDS。

三者在網(wǎng)絡中相互配合，各司其職，實際使用中，需要根據(jù)具體網(wǎng)絡需求進行評估和選擇，有效發(fā)揮各設備優(yōu)勢，盡量避免缺點和不足，保證網(wǎng)絡的安全運行。