一文读懂防火墙、IDS、IPS：功能区别与应用场景

一文读懂防火墙、IDS、IPS：功能区别与应用场景

在网络安全领域，防火墙、IDS（入侵检测系统）、IPS（入侵防御系统）、HIDS（基于主机的入侵检测系统）和NIDS（基于网络的入侵检测系统）是常见的安全设备。它们各自承担着不同的安全职责，共同构建起网络的安全防线。本文将通过比喻和对比的方式，帮助读者快速理解这些设备的基本概念和区别。

防火墙、IDS和IPS的区别

防火墙和IPS属于访问控制类产品，而IDS属于审计类产品。我们可以用一个简单的比喻，描述三者的不同和关系——将网络空间比喻成一个大厦，那么防火墙相当于门锁，有效隔离内外网或不同安全域；IDS相当于监视系统，当有问题发生时及时产生警报；而IPS则是巡视和保证大厦安全的安保人员，能够根据经验，主动发现问题并采取措施。

IDS和IPS的作用对比

IDS（入侵检测系统）主要关注网络流量的监控，通过分析数据流来检测潜在的恶意活动和攻击行为。当它发现异常时，IDS会生成警报并通知安全团队。

IPS（入侵防御系统）不仅具有检测功能，还具备了阻止或减轻攻击的能力。当IPS检测到攻击时，它能够自动采取实时阻断措施，比如丢弃恶意数据包、重置连接或封锁攻击者的IP地址。

IDS和IPS的主要区别

• IDS是被动检测：对系统内部可能存在的威胁进行监控和预警。
• IPS是主动防御：可以在网络攻击前做好防御，针对特定的攻击进行防护。

IDS和IPS的工作区域差异

IDS通常位于网络的边缘，用于监控进出网络的流量，常作为旁站（并联）记录。而IPS则位于网络的内部（串联），介于防火墙和内部网络之间，以实现对网络流量的实时监控和阻断。

IDS的分类

IDS按照数据源可以划分为基于主机的入侵检测（HIDS）和基于网络的入侵检测（NIDS）。

• HIDS（基于主机的入侵检测系统）：专注于系统内部，监视系统全部或部分的动态的行为以及整个计算机系统的状态。具体来说，HIDS的检测目标主要是主机系统和本地用户。其检测原理是在每个需要保护的端系统（主机）上运行代理程序（agent），以主机的审计数据、系统日志、应用程序日志等为数据源，主要对主机的网络实时连接以及主机文件进行分析和判断。

• NIDS（基于网络的入侵检测系统）：是用于监控网络流量的专用设备或服务器，它可以监控我们想要保护的网络或 VLAN 的所有网络流量。这可以通过将 NIDS 连接到交换机上的监控端口来实现。NIDS 将处理网络流量以检测恶意流量。

上图通过两个红色圆圈来显示HIDS与 NIDS覆盖范围的差异：HIDS主要关注单个主机的安全状况，而NIDS则关注整个网络的流量监控。