科普|常用的网络安全设备总结之：一文带你搞懂防火墙、IPS、IDS

大家好，欢迎来到IT知识分享网。

今天我们介绍常用的网络安全设备：防火墙、入侵防御系统(IPS)、入侵检测系统(IDS)。

首先，来介绍下什么是防火墙？什么是IPS？什么是IDS？

防火墙，所谓“防火墙”是指一种将内部网和互联网（如Internet）分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。

防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。

防火墙常规部署方式

入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙(Packet Filter, Application Gateway)的补充。 入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

IPS常规部署方式

入侵检测系统（intrusion detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。

IDS常规部署方式

接下来，了解下防火墙、IDS、IPS之间有什么区别?

防火墙和入侵防御系统(IPS)都属于访问控制类产品，而入侵检测系统(IDS)属于审计类产品。可以打个比方来描述三者的相同和不同之处——“将网络空间比喻成一个大厦，那么防火墙相当于门锁，有效隔离内外网或不同安全域，IDS相当于监视系统，当有问题发生时及时产生警报，而IPS则是巡视和保证大厦安全的安保人员，能够根据经验，主动发现问题并采取措施。”

1、防火墙

• 传统防火墙可以说是主动安全的概念，因为默认情况下是关闭所有的访问，然后再通过定制策略去开放允许开放的访问。
• 主要是可实现基本包过滤策略的防火墙，这类是有硬件处理、软件处理等。防火墙最基础的功能是策略控制流入流出IP及端口、nat、端口映射。防火墙定义也较为模糊，多带有集成功能，目前，市面上购买的防火墙大多也带有IPS功能或服务（兼顾基本功能）
• 此类产品在网络中以串行为主，解决传统防火墙只能工作在4层以下的问题。
• 基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略。

2、入侵检测系统(IDS)

• 此类产品基本上以旁路为主，放在一边监听数据包，特点是不影响网络、不阻断任何网络访问，主要以提供报告和事后监督为主，少量的类似产品还提供TCP阻断等功能，但少有使用。
• IDS不能阻断只能是一个事后监督机制。

3、入侵防御系统(IPS)

• 解决了IDS无法阻断的问题，基本上以在线模式为主，是穿透设备，让所有流量经过IPS再到网络中，系统提供多个端口，以透明模式工作。
• IPS在安全功能上是对防火墙的一个补充， 它能够比防火墙更深入的对数据进行检测和控制，进而提升网络对于入侵攻击等威胁的防范水平。本质是增强入侵行为库，检测出后自动进行防御。
• 一般来说，IPS系统都依靠数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定这种数据包是否进入你的网络。
• 在一些传统防火墙的新产品中也提供了类似功能，其特点是可以分析到数据包的内容。
• 和IDS一样，IPS也要像防病毒系统定义N种已知的攻击模式，并主要通过模式匹配去阻断非法访问。
• 大多数的IPS在实际运行环境中都形同虚设，通常只是当作一个防DDOS的设备存在。IPS尤其对于未知的，不在其安全库内的攻击手段，基本上都是无能为力的。

如果网络流量不是很大，那么IPS是首选；但如果是大型网络的核心网络，有各种类型的流量、大量的流量，建议选择IDS。因为如果IPS选择不合适，很可能整个网络的速度被IPS的最大吞吐量给限制。#网络安全# #IT# #科普#

本篇文章如觉得对您有用请大家点赞、收藏、分享！如有更多理解，欢迎大家交流评论！

下一篇文章会为大家介绍上网行为管理系统、网闸设备，感兴趣的朋友不要错过吆！