网络安全小知识——防火墙、IDS、IPS的区别

一、概念不同

防火墙和IPS属于访问控制类产品，而IDS属于审计类产品。我们可以用一个简单的比喻，描述三者的不同和关系——将网络空间比喻成一个大厦，那么防火墙相当于门锁，有效隔离内外网或不同安全域，IDS相当于监视系统，当有问题发生时及时产生警报，而IPS则是巡视和保证大厦安全的安保人员，能够根据经验，主动发现问题并采取措施。

二、保护内容不同

防火墙较多应用在转发、内网保护（NAT）、流控、过滤等方面；IDS和IPS主要针对一些攻击情况。一般的防火墙只能做到3-4层的保护，对于5-7层的应用保护很一般，而5-7层的保护正是IDS和IPS的长处。

三、部署位置不同

防火墙通常采用串行接入，部署在网络边界，用来隔离内外网；

IDS通常采用旁路接入，在网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源，这些位置通常是：

服务器区域的交换机上；

Internet接入路由器滞后的第一台交换机上；

重点保护网段的局域网交换机上。

IPS通常采用Inline接入，在办公网络中，至少需要在以下区域部署：

办公网与外部网络的连接部位（入口/出口）；

重要服务器集群前端；

办公网内部接入层。

四、工作机制不同

防火墙是重要的网络边界控制设备，主要通过策略5要素（源、目的、协议、时间、动作），各厂家根据定义不同，会有所扩展，实现对网络的访问控制。

IDS主要针对已发生的攻击事件或异常行为进行处理，属于被动防护。以NIDS为例：NIDS以旁路方式，对所监测的网络数据进行获取、还原，根据签名进行模式匹配，或者进行一系列统计分析，根据结果对有问题的会话进行阻断，或者和防火墙产生联动。IDS的致命缺点在于阻断UDP会话不太灵，对加密的数据流束手无策。

IPS针对攻击事件或异常行为可提前感知及预防，属于主动防护。根据设置的过滤器，分析相对应的数据包，通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。

IPS的阻断方式较IDS更为可靠，可以中断拦截UDP会话，也可以做到确保符合签名规则的数据包不漏发到被保护区域。

IPS致命的缺点是同样硬件的情况下，性能比IDS低的多。实际应用中，误杀漏杀和IDS一样，主要是签名库决定的。但是随着UDP协议的广泛使用，IPS在UDP上的误杀率可能会高于IDS。

三者在网络中相互配合，各司其职，实际使用中，需要根据具体网络需求进行评估和选择，有效发挥各设备优势，尽量避免缺点和不足，保证网络的安全运行。