防火墙与IPS的区别.doc

防火墙与IPS的区别
网络安全防范中,传统的方法是对操作系统进行安全加固,通过各种各样的安全补丁提高操作系统本身的抗攻击性。这种方法虽然可以部分地解决系统的安全问题,但其缺点也很突出。俗话说,扬汤止沸,何如釜底抽薪。如果在网络边界检查到攻击包的同时将其直接抛弃,则攻击包将无法到达目标,从而可以从根本上避免黑客的攻击。这样,在新漏洞出现后,只需要撰写一个过滤规则,就可以防止此类攻击的威胁了。 
火灾预警还是智能灭火
Gartner在今年6月发布的一个研究报告中称入侵检测系统(IDS, Intrusion Detection System)已经“死”了,Gartner认为IDS不能给网络带来附加的安全,反而会增加管理员的困扰。建议用户使用入侵防御系统(IPS, Intrusion Prevention System)来代替IDS。 
Gartner的报告虽然语出惊人,但联想到各大安全厂商纷纷在IPS领域有所动作,便知Gartner的这个报告并不是空穴来风,可以预计IPS产品将会成为网络安全中的一支生力军。 
从功能上来看,IDS是一种并联在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限,一般只能通过发送TCP reset包或联动防火墙来阻止攻击。而IPS则是一种主动的、积极的入侵防范、阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。举一个简单的例子,IDS就如同火灾预警装置,火灾发生时,它会自动报警,但无法阻止火灾的蔓延,必须要有人来操作进行灭火。而IPS就像智能灭火装置,当它发现有火灾发生后,会主动采取措施灭火,中间不需要人的干预。 
这也许就是最近几个月来国外信息安全领域津津乐道的关于IDS(入侵检测系统)还是IPS(入侵防御系统)大讨论的原因之一吧! 
IPS等于防火墙加上IDS
简单地理解,可认为IPS就是防火墙加上入侵检测系统。但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于TCP/IP协议的过滤方面表现出色,而且在大多数情况下,可以提供网络地址转换、服务代理、流量统计等功能,甚至有的防火墙还能提供VPN功能。 
和防火墙比较起来,IPS的功能比较单一,它只能串联在网络上(类似于通常所说的网桥式防火墙),对防火墙所不能过滤的攻击进行过滤。这样一个两级的过滤模式,可以最大地保证系统的安全。一般来说,企业用户关注的是自己的网络能否避免被攻击,对于能检测到多少攻击并不是很热衷。但这并不是说入侵检测系统就没有用处,在一些专业的机构,或对网络安全要求比较高的地方,入侵检测系统和其他审计跟踪产品结合,可以提供针对企业信息资源全面的审计资料,这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。
 
IPS的检测功能类似于IDS,但IPS检测到攻击后会采取行动阻止攻击,可以说IPS是基于IDS的、是建立在IDS发展的基础上的新生网络安全产品。早在1980年,IDS的概念就已经产生了。在1990年,出现了世界上第一个网络入侵检测系统。在早期,网络入侵检测产品存在着各种各样的问题,例如误报、漏报太多,运行不够稳定,高负载下性能太差,不能进行连接状态分析等等,但经过10多年的发展,IDS产品不断成