之前,小編髮表過三篇文章,主要針對防火牆、IDS、IPS做了詳細介紹,具體內容這裡不再贅述,感興趣的小夥伴可以去看看哦。
概念不同
防火牆和IPS屬於訪問控制類產品,而IDS屬於審計類產品。我們可以用一個簡單的比喻,描述三者的不同和關係——將網絡空間比喻成一個大廈,那麼防火牆相當於門鎖,有效隔離內外網或不同安全域,IDS相當於監視系統,當有問題發生時及時產生警報,而IPS則是巡視和保證大廈安全的安保人員,能夠根據經驗,主動發現問題並採取措施。
保護內容不同
防火牆較多應用在轉發、內網保護(NAT)、流控、過濾等方面;IDS和IPS主要針對一些攻擊情況。一般的防火牆只能做到3-4層的保護,對於5-7層的應用保護很一般,而5-7層的保護正是IDS和IPS的長處。
部署位置不同
防火牆通常採用串行接入,部署在網絡邊界,用來隔離內外網;
IDS通常採用旁路接入,在網絡中的位置一般選擇為:儘可能靠近攻擊源、儘可能靠近受保護資源,這些位置通常是:
服務器區域的交換機上;
Internet接入路由器滯後的第一臺交換機上;
重點保護網段的局域網交換機上。
IPS通常採用Inline接入,在辦公網絡中,至少需要在以下區域部署:
辦公網與外部網絡的連接部位(入口/出口);
重要服務器集群前端;
辦公網內部接入層。
工作機制不同
防火牆是重要的網絡邊界控制設備,主要通過策略5要素(源、目的、協議、時間、動作),各廠家根據定義不同,會有所擴展,實現對網絡的訪問控制。
IDS主要針對已發生的攻擊事件或異常行為進行處理,屬於被動防護。以NIDS為例:NIDS以旁路方式,對所監測的網絡數據進行獲取、還原,根據簽名進行模式匹配,或者進行一系列統計分析,根據結果對有問題的會話進行阻斷,或者和防火牆產生聯動。IDS的致命缺點在於阻斷UDP會話不太靈,對加密的數據流束手無策。
IPS針對攻擊事件或異常行為可提前感知及預防,屬於主動防護。根據設置的過濾器,分析相對應的數據包,通過檢查的數據包可以繼續前進,包含惡意內容的數據包就會被丟棄,被懷疑的數據包需要接受進一步的檢查。
IPS的阻斷方式較IDS更為可靠,可以中斷攔截UDP會話,也可以做到確保符合簽名規則的數據包不漏發到被保護區域。
IPS致命的缺點是同樣硬件的情況下,性能比IDS低的多。實際應用中,誤殺漏殺和IDS一樣,主要是簽名庫決定的。但是隨著UDP協議的廣泛使用,IPS在UDP上的誤殺率可能會高於IDS。
三者在網絡中相互配合,各司其職,實際使用中,需要根據具體網絡需求進行評估和選擇,有效發揮各設備優勢,儘量避免缺點和不足,保證網絡的安全運行。
閱讀更多 網事如煙釋然 的文章
