防火墙和IPS的区别？

现在市场上的主流网络安全产品可以分为以下几个大类：

1、网络基础安全防火墙类

其主要功能实现就是对IP:port的访问进行控制，默认情况下关闭所有的通过型访问，只开放允许访问的。

2、IDS类(入侵检测系统(IDS: Intrusion Detection Systems))

此类产品基本上以旁路为主，特点是不阻断任何网络访问，主要以提供对网络和系统运行状况的监控和报告为主，少量的类似产品还提供TCP阻断等功能，但少有使用。

3、IPS类(入侵防御系统(IPS: Intrusion Prevention System))

基本上以在线模式为主，解决了IDS无法阻断入侵的问题， 不仅可以检测到入侵还可以对入侵进行拦截，其工作原理类似防病毒系统定义N种已知的攻击模式，然后通过模式匹配去阻断非法访问一样。

总之防火墙是网络层面的防护，IDS和IPS主要防护应用层。防火墙是网络边界控制设备，主要通过策略实现对网络的访问控制。IDS无法防护加密的数据流，且对于UDP协议会话误报较高。

下面我们将深入地介绍IPS和防火墙作为安全防御产品的区别。

防火墙FW

防火墙的原理是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。

防火墙有两种，硬件防火墙和软件防火墙，他们都能起到保护作用并筛选出网络上的攻击者，防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务，包过滤技术是一种简单、有效的安全控制技术，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。

目前主流使用状态检测功能来检查报文链路状态的合法性，丢弃链路状态不合法的报文，核心基础是会话状态。当满足接入条件的用户流量第一次穿越防火墙时，会产生一个会话表项，该会话的后续报文将基于该会话表项进行。

防火墙根据预配置的安全策略检查流量

防火墙中的静态安全防御技术：防火墙对流量是否非法的判断往往是基于管理员预先配置的安全策略，无法拦截一些特殊的攻击。例如，传统防火墙无法拦截针对 Web 服务器的 XSS 攻击和 SQL 注入攻击。

入侵检测IPS

简单来说，IPS是IDS的高级版本，不仅可以像IDS一样检测威胁，还可以实时阻断入侵流量，从而及时防止更大的损失。

IPS与被动检测防火墙相比，最大的不同在于主动检测。

入侵检测技术通过研究入侵行为的过程和特征，使安防系统能够实时响应入侵的时间和过程。IPS使用的技术可以分为：

异常检测：异常检测的假设是入侵者的活动不同于正常主体的活动，建立正常活动的“活动概况”。当当前主体的活动违反其统计规律时，就被认为是一种“入侵”行为。

特征检测：特征检测假设入侵者的活动可以用一个模式来表示，系统的目标是检测主体的活动是否符合这些模式。特征检测需要特征库支持。

IPS通常实施位置之一，IPS 采用特征检测方式。此时，IPS将对所有流量进行特征检测，对符合入侵特征的流量进行拦截。由于特征库可以从设备供应商的官网实时更新，IPS往往能更及时地检测到入侵。

另外，作为边界设备，防火墙按区域区分不同区域，但不检测同一区域的流量。这对在 Intranet 内发起的攻击毫无影响。但是，IPS 通常部署在所有流量流经的关键节点。除了检测外部攻击，IPS 还可以应对内部攻击。

防火墙和 IPS 的区别

这两个虽然都是安全设备，但在具体使用时是不同的，有以下三个主要方面：

(一) 部署位置不同

• 防火墙通常在网络结构中采用串行接入，部署在整个网络边界，用来隔离内外网；
• IDS通常采用旁路接入，在网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源，通常旁挂部署在这些位置：

1. Internet接入路由器滞后的第一台交换机上；

2. 服务器区域的交换机上；

3. 重点保护网段的局域网交换机上。

• IPS通常采用Inline接入，在网络位置中，至少需要在以下区域部署：

1. 办公网内部接入层；

2. 办公网与外部网络或生产网络和办公网络等的连接部位（入口/出口）；

3. 重要服务器集群前端，例如生产系统的应用服务器区；

(二) 保护内容不同

防火墙和IPS属于访问控制类产品，而IDS属于审计类产品。我们可以用一个简单的比喻，描述三者的不同和关系——将网络空间比喻成一个大厦，那么防火墙相当于门锁，有效隔离内外网或不同安全域，IDS相当于监视系统，当有问题发生时及时产生警报，而IPS则是巡视和保证大厦安全的安保人员，能够根据经验，主动发现问题并采取措施。

防火墙较多应用在、内网保护（NAT）、流控、过滤等方面；一般的防火墙只能做到3-4层的保护，对于5-7层的应用保护很一般，而5-7层的保护正式IPS的长处。IDS和IPS主要针对一些攻击情况；防火墙较多应用在、内网保护（NAT）、流控、过滤等方面。

(三) 工作机制不同

防火墙是重要的网络边界控制设备，主要通过策略5要素（源、目的、时间、协议、动作，各设备厂家根据定义不同，会有所扩展）实现对网络的访问控制。

IPS主要针对已发生的攻击事件或异常行为进行处理，属于被动防护。以NIDS为例：NIDS以旁路方式，对所监测的网络数据进行获取、还原，根据签名进行模式匹配，或者进行一系列统计分析，根据结果对有问题的会话进行阻断，或者和防火墙产生联动。IPS的致命缺点在于阻断UDP会话不太灵，对加密的数据流束手无策。

IPS针对攻击事件或异常行为可提前感知及预防，属于主动防护。根据设置的过滤器，分析相对应的数据包，通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。IPS的阻断方式较IDS更为可靠，可以中断拦截UDP会话，也可以做到确保符合签名规则的数据包不漏发到被保护区域。IPS致命的缺点是同样硬件的情况下，性能比IDS低的多。实际应用中，误杀和漏杀和IDS一样，主要是签名库决定的。但是随着UDP协议的广泛使用，IPS在UDP上的误杀率可能会高于IDS。

三者在网络中相互配合，各司其职，实际使用中，需要根据具体网络需求进行评估和选择，有效发挥各设备优势，尽量避免缺点和不足，保证网络的安全运行。

更多相关大咖视频课程请在苹果App Store 或各安卓市场下载“技福小咖App”学习。