網(wǎng)絡(luò)安全之防火墻、IDS、IPS之間的區(qū)別

防火墻和IPS屬于訪問(wèn)控制類產(chǎn)品，而IDS屬于審計(jì)類產(chǎn)品。我們可以用一個(gè)簡(jiǎn)單的比喻，描述三者的不同和關(guān)系——將網(wǎng)絡(luò)空間比喻成一個(gè)大廈，那么防火墻相當(dāng)于門(mén)鎖，有效隔離內(nèi)外網(wǎng)或不同安全域，IDS相當(dāng)于監(jiān)視系統(tǒng)，當(dāng)有問(wèn)題發(fā)生時(shí)及時(shí)產(chǎn)生警報(bào)，而IPS則是巡視和保證大廈安全的安保人員，能夠根據(jù)經(jīng)驗(yàn)，主動(dòng)發(fā)現(xiàn)問(wèn)題并采取措施。

防火墻較多應(yīng)用在轉(zhuǎn)發(fā)、內(nèi)網(wǎng)保護(hù)（NAT）、流控、過(guò)濾等方面；IDS和IPS主要針對(duì)一些攻擊情況。一般的防火墻只能做到3-4層的保護(hù)，對(duì)于5-7層的應(yīng)用保護(hù)很一般，而5-7層的保護(hù)正式IDS和IPS的長(zhǎng)處。

防火墻通常采用串行接入，部署在網(wǎng)絡(luò)邊界，用來(lái)隔離內(nèi)外網(wǎng)；IDS通常采用旁路接入，在網(wǎng)絡(luò)中的位置一般選擇為：盡可能靠近攻擊源、盡可能靠近受保護(hù)資源，這些位置通常是：服務(wù)器區(qū)域的交換機(jī)上；Internet接入路由器滯后的第一臺(tái)交換機(jī)上；重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。IPS通常采用Inline接入，在辦公網(wǎng)絡(luò)中，至少需要在以下區(qū)域部署：辦公網(wǎng)與外部網(wǎng)絡(luò)的連接部位（入口/出口）；重要服務(wù)器集群前端；辦公網(wǎng)內(nèi)部接入層；工作機(jī)制不同

防火墻是重要的網(wǎng)絡(luò)邊界控制設(shè)備，主要通過(guò)策略5要素（源、目的、協(xié)議、時(shí)間、動(dòng)作，各廠家根據(jù)定義不同，會(huì)有所擴(kuò)展）實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的訪問(wèn)控制。

IDS主要針對(duì)已發(fā)生的攻擊事件或異常行為進(jìn)行處理，屬于被動(dòng)防護(hù)。以NIDS為例：NIDS以旁路方式，對(duì)所監(jiān)測(cè)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行獲取、還原，根據(jù)簽名進(jìn)行模式匹配，或者進(jìn)行一系列統(tǒng)計(jì)分析，根據(jù)結(jié)果對(duì)有問(wèn)題的會(huì)話進(jìn)行阻斷，或者和防火墻產(chǎn)生聯(lián)動(dòng)。IDS的致命缺點(diǎn)在于阻斷UDP會(huì)話不太靈，對(duì)加密的數(shù)據(jù)流束手無(wú)策。

IPS針對(duì)攻擊事件或異常行為可提前感知及預(yù)防，屬于主動(dòng)防護(hù)。根據(jù)設(shè)置的過(guò)濾器，分析相對(duì)應(yīng)的數(shù)據(jù)包，通過(guò)檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)，包含惡意內(nèi)容的數(shù)據(jù)包就會(huì)被丟棄，被懷疑的數(shù)據(jù)包需要接受進(jìn)一步的檢查。IPS的阻斷方式較IDS更為可靠，可以中斷攔截UDP會(huì)話，也可以做到確保符合簽名規(guī)則的數(shù)據(jù)包不漏發(fā)到被保護(hù)區(qū)域。IPS致命的缺點(diǎn)是同樣硬件的情況下，性能比IDS低的多。實(shí)際應(yīng)用中，誤殺和漏殺和IDS一樣，主要是簽名庫(kù)決定的。但是隨著UDP協(xié)議的廣泛使用，IPS在UDP上的誤殺率可能會(huì)高于IDS。

三者在網(wǎng)絡(luò)中相互配合，各司其職，實(shí)際使用中，需要根據(jù)具體網(wǎng)絡(luò)需求進(jìn)行評(píng)估和選擇，有效發(fā)揮各設(shè)備優(yōu)勢(shì)，盡量避免缺點(diǎn)和不足，保證網(wǎng)絡(luò)的安全運(yùn)行。