一直有一个疑问,在不接入VPN的前提下:如果已经使用了防火墙(自带攻击防范,内网安全,流量监控,邮件过滤,应用层过滤等功能),是否还有必要使用IPS?
防火墙和IPS的主要区别在什么地方?
-------->
防火墙较多对应用在转发,内网保护(NAT),流控,过滤等方面;IDS和IPS主要是针对一些攻击情况下。
在oOSI 模型中,
一般的防火墙只是能做到3-4层的保护,对于5-7层的应用的保护很一般;
所以产生了IDS和IPS,
而IDS(Intrusion Detection Systems),只是做些攻击的检测工作,本身并不做防护,它检测到攻击的时候,可能此时攻击已经产生灾难了,所以IDS一般都需要和一些防攻击对设备共用;
为解决IDS这个问题,出现了IPS(Intrusion Prevention System),它不光对已知的攻击种类能防御,还能检测些异常协议的攻击,比较灵活
---->
防火墙是防御系统,属于访问控制类产品;
IDS(入侵检测)是入侵检测系统,属于审计类产品;
IPS是入侵防御系统,属于访问控制类产品。
IDS虽是IPS的前身,但本质上,IPS已经发生了根本的变化,前者是审计类产品,后者属于访问控制类。
有人说,IDS也可以和防火墙联动执行访问控制,但这并不会改变IDS审计类产品的本质,因为,执行访问控制的是防火墙,而不是IDS。
IPS虽说是入侵检测和访问控制的集成产品,但其核心是访问控制,条件是基于入侵检测。
防火墙是基于IP地址和端口来执行访问控制的,
IPS是基于入侵检测来执行访问控制的,既然都是访问控制类,二者集合起来就理所当然了。