防火墙工作在哪个层_网络防火墙、IDS、IPS三者区别是什么?

5f3487fce435fc2ef1b8e035b5fbc11b.png

一、概念不同

防火墙和 IPS属于访问控制类产品,而 IDS属于审计类产品。我们可以用一个简单的比喻,描述三者的不同和关系——将网络空间比喻成一个大厦,那么防火墙相当于门锁,有效隔离内外网或不同安全域,IDS 相当于监视系统,当有问题发生时及时产生警报,而 IPS则是巡视和保证大厦安全的安保人员,能够根据经验,主动发现问题并采取措施。

二、保护内容不同

防火墙较多应用在转发、内网保护(NAT)、流控、过滤等方面;IDS 和 IPS主要针对一些攻击情况。一般的防火墙只能做到3-4层的保护,对于5-7层的应用保护很一般,而5-7层的保护正式 IDS和 IPS的长处。

三、部署位置不同

· 防火墙通常采用串行接入,部署在网络边界,用来隔离内外网;

· IDS 通常采用旁路接入,在网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源,这些位置通常是:

1. 服务器区域的交换机上;

2. Internet 接入路由器滞后的第1台交换机上;

3. 重点保护网段的局域网交换机上。

· IPS 通常采用 Inline接入,在办公网络中,至少需要在以下区域部署:

1. 办公网与外部网络的连接部位(入口/出口);

2. 重要服务器集群前端;

3. 办公网内部接入层;

四、工作机制不同

防火墙是重要的网络边界控制设备,主要通过策略5要素(源、目的、协议、时间、动作,各厂家根据定义不同,会有所扩展)实现对网络的访问控制。

IDS 主要针对已发生的攻击事件或异常行为进行处理,属于被动防护。

以 NIDS为例:NIDS 以旁路方式,对所监测的网络数据进行获取、还原,根据签名进行模式匹配,或者进行一系列统计分析,根据结果对有问题的会话进行阻断,或者和防火墙产生联动。

IDS 的致命缺点在于阻断 UDP会话不太灵,对加密的数据流束手无策。IPS 针对攻击事件或异常行为可提前感知及预防,属于主动防护。根据设置的过滤器,分析相对应的数据包,通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。

IPS 的阻断方式较 IDS更为可靠,可以中断拦截 UDP会话,也可以做到确保符合签名规则的数据包不漏发到被保护区域。IPS 致命的缺点是同样硬件的情况下,性能比 IDS低的多。

实际应用中,误杀和漏杀和 IDS一样,主要是签名库决定的。但是随着UDP协议的广泛使用,IPS 在UDP上的误杀率可能会高于 IDS。

三者在网络中相互配合,各司其职,实际使用中,需要根据具体网络需求进行评估和选择,有效发挥各设备优势,尽量避免缺点和不足,保证网络的安全运行。

  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值