防火墙和IPS有什么区别?
防火墙
目前主流使用状态检测功能来检查报文链路状态的合法性,丢弃链路状态不合法的报文,核心基础是会话状态。当满足接入条件的用户流量第一次穿越防火墙时,会产生一个会话表项,该会话的后续报文将基于该会话表项进行转发。
防火墙根据预配置的安全策略检查流量
防火墙中的静态安全防御技术:防火墙对流量是否非法的判断往往是基于管理员预先配置的安全策略,无法拦截一些特殊的攻击。例如,传统防火墙无法拦截针对 Web 服务器的 XSS 攻击和 SQL 注入攻击。
IPS/IDS
简单来说,IPS是IDS的高级版本,不仅可以像IDS一样检测威胁,还可以实时阻断入侵流量,从而及时防止更大的损失。
IPS与被动检测防火墙相比,最大的不同在于主动检测。
入侵检测技术通过研究入侵行为的过程和特征,使安防系统能够实时响应入侵的时间和过程。IPS使用的技术可以分为:
- 异常检测:异常检测的假设是入侵者的活动不同于正常主体的活动,建立正常活动的“活动概况”。当当前主体的活动违反其统计规律时,就被认为是一种“入侵”行为。
- 特征检测:特征检测假设入侵者的活动可以用一个模式来表示,系统的目标是检测主体的活动是否符合这些模式。特征检测需要特征库支持。
IPS 实施位置之一
通常,IPS 采用特征检测方式。此时,IPS将对所有流量进行特征检测,对符合入侵特征的流量进行拦截。由于特征库可以从设备供应商的官网实时更新,IPS往往能更及时地检测到入侵。
另外,作为边界设备,防火墙按区域区分不同区域,但不检测同一区域的流量。这对在 Intranet 内发起的攻击毫无影响。但是,IPS 通常部署在所有流量流经的关键节点。除了检测外部攻击,IPS 还可以应对内部攻击。
为什么防火墙还可以进行内容安全检测?
对于一些业务量不大的场景,单独部署IPS和防火墙会给公司带来巨大的硬件成本压力。为了缓解这种情况,很多厂商都推出了集成了内容安全检测的防火墙,比如华为的USG防火墙。这些设备基于传统NGFW防火墙的安全检测和处理能力,还支持安全分析仪HiSec Insight(又称CIS)、FireHunter沙箱、安全控制器SecoManager等网络安全设备联动,利用智能检测技术有效检测并主动防御高级威胁。但是,与单独的 IPS 设备相比,这些集成防火墙在处理性能上往往略逊一筹。
综上所述
防火墙和 IPS 的区别
