ips是ips，防火墻是防火墻，那么它們有什么區(qū)別呢?下面由學(xué)習(xí)啦小編給你做出詳細(xì)的ips和防火墻區(qū)別介紹!希望對(duì)你有幫助!

　　ips和防火墻區(qū)別一：

　　1、基礎(chǔ)防火墻類，主要是可實(shí)現(xiàn)基本包過(guò)濾策略的防火墻，這類是有硬件處理、軟件處理等，其主要功能實(shí)現(xiàn)是限制對(duì)IP:port的訪問(wèn)。基本上的實(shí)現(xiàn)都是默認(rèn)情況下關(guān)閉所有的通過(guò)型訪問(wèn)，只開(kāi)放允許訪問(wèn)的策略。

　　2、IDS類，此類產(chǎn)品基本上以旁路為主，特點(diǎn)是不阻斷任何網(wǎng)絡(luò)訪問(wèn)，主要以提供報(bào)告和事后監(jiān)督為主，少量的類似產(chǎn)品還提供TCP阻斷等功能，但少有使用。

　　3、IPS類，解決了IDS無(wú)法阻斷的問(wèn)題，基本上以在線模式為主，系統(tǒng)提供多個(gè)端口，以透明模式工作。在一些傳統(tǒng)防火墻的新產(chǎn)品中也提供了類似功能，其特點(diǎn)是可以分析到數(shù)據(jù)包的內(nèi)容，解決傳統(tǒng)防火墻只能工作在4層以下的問(wèn)題。和IDS一樣，IPS也要像防病毒系統(tǒng)定義N種已知的攻擊模式，并主要通過(guò)模式匹配去阻斷非法訪問(wèn)。

　　4、主動(dòng)安全類，和前面的產(chǎn)品均不同，主動(dòng)安全產(chǎn)品的特點(diǎn)是協(xié)議針對(duì)性非常強(qiáng)，比如WAF就是專門負(fù)責(zé)HTTP協(xié)議的安全處理，DAF就是專門負(fù)責(zé)數(shù)據(jù)庫(kù)Sql 查詢類的安全處理。在主動(dòng)安全產(chǎn)品中通常會(huì)處理到應(yīng)用級(jí)的訪問(wèn)流程。對(duì)于不認(rèn)識(shí)的業(yè)務(wù)訪問(wèn)全部隔離。

　　在這幾類產(chǎn)品中，就可以分辨出什么是主動(dòng)安全，什么是被動(dòng)安全。從安全的最基本概念來(lái)說(shuō)，首先是關(guān)閉所有的通路，然后再開(kāi)放允許的訪問(wèn)。因此，傳統(tǒng)防火墻可以說(shuō)是主動(dòng)安全的概念，因?yàn)槟J(rèn)情況下是關(guān)閉所有的訪問(wèn)，然后再通過(guò)定制策略去開(kāi)放允許開(kāi)放的訪問(wèn)。但由于其設(shè)計(jì)結(jié)構(gòu)和特點(diǎn)，不能檢測(cè)到數(shù)據(jù)包的內(nèi)容級(jí)別，因此，當(dāng)攻擊手段到達(dá)應(yīng)用層面的時(shí)候，傳統(tǒng)的防火墻都是無(wú)能為力的。IDS就不講了，不能阻斷只能是一個(gè)事后監(jiān)督機(jī)制，因此在其后出現(xiàn)的IPS，基本上所有的IPS系統(tǒng)都號(hào)稱能檢查到數(shù)據(jù)包的內(nèi)容，但犯了一個(gè)致命的錯(cuò)誤，就是把安全的原則反過(guò)來(lái)了，變成默認(rèn)開(kāi)放所有的訪問(wèn)，只有自己認(rèn)識(shí)的訪問(wèn)，才進(jìn)行阻斷。從另外一個(gè)方面，由于在線式造成的性能問(wèn)題，也不能像殺毒軟件一樣進(jìn)行全面而細(xì)致的安全審計(jì)。因此大多數(shù)的IPS在實(shí)際運(yùn)行環(huán)境中都形同虛設(shè)，通常只是當(dāng)作一個(gè)防DDOS的設(shè)備存在。IPS尤其對(duì)于未知的，不再其安全庫(kù)內(nèi)的攻擊手段，基本上都是無(wú)能為力的。

　　在主動(dòng)安全的體系中，徹底改變了IPS 的致命安全錯(cuò)誤。其工作在協(xié)議層上，通過(guò)對(duì)協(xié)議的徹底分析和Proxy代理工作模式，同時(shí)，結(jié)合對(duì)應(yīng)用的訪問(wèn)流程進(jìn)行分析，只通過(guò)自己認(rèn)識(shí)的訪問(wèn)，而對(duì)于不認(rèn)識(shí)的訪問(wèn)，則全部進(jìn)行阻斷。比如在頁(yè)面上的一個(gè)留言板，正常人登錄都是填入一些留言，提問(wèn)等，但黑客則完全可能填入一段代碼，如果服務(wù)器端的頁(yè)面存在漏洞，則當(dāng)另外一個(gè)用戶查看留言板的時(shí)候，則會(huì)在用戶完全不知道的情況下執(zhí)行這段代碼，標(biāo)準(zhǔn)叫法，這叫做跨站攻擊。當(dāng)這段代碼被執(zhí)行后，用戶的本地任何信息都有可能被發(fā)送到黑客的指定地址上。如果采用防火墻或者IPS，對(duì)此類攻擊根本沒(méi)有任何處理辦法，因?yàn)楣舻氖侄?、代碼每次都在變化，沒(méi)有特征而言。而在采用主動(dòng)安全的系統(tǒng)中，則可以嚴(yán)格的限制在留言板中輸入的內(nèi)容，由此來(lái)防范此類跨站攻擊。又如常見(jiàn)的認(rèn)證漏洞，可能造成某些頁(yè)面在沒(méi)有進(jìn)行用戶登錄的情況下可以直接訪問(wèn)，這些內(nèi)容在防火墻或者IPS系統(tǒng)中更加無(wú)法處理了。因?yàn)樗麄兊恼?qǐng)求和正常的請(qǐng)求完全一樣，只是沒(méi)有經(jīng)過(guò)登錄流程而已，因此不能進(jìn)行防護(hù)，在主動(dòng)安全體系里，可以對(duì)用戶的訪問(wèn)進(jìn)行流程限定，比如訪問(wèn)一些內(nèi)容必須是在先通過(guò)了安全認(rèn)證之后才能訪問(wèn)，并且必須按照一定的順序才能執(zhí)行。因此，工作在流程和代理層面的主動(dòng)安全設(shè)備可以進(jìn)一步實(shí)現(xiàn)應(yīng)用系統(tǒng)的真正安全。

　　ips和防火墻區(qū)別二：

　　IDS技術(shù)

　　根據(jù)采集數(shù)據(jù)源的不同，IDS可分為主機(jī)型IDS(Host-based IDS，HIDS)和網(wǎng)絡(luò)型IDS(Network-based IDS，NIDS)。

　　HIDS和NIDS都能發(fā)現(xiàn)對(duì)方無(wú)法檢測(cè)到的一些入侵行為，可互為補(bǔ)充。完美的IDS產(chǎn)品應(yīng)該將兩者結(jié)合起來(lái)。目前主流IDS產(chǎn)品都采用HIDS和NIDS有機(jī)結(jié)合的混合型IDS架構(gòu)。

　　傳統(tǒng)的入侵檢測(cè)技術(shù)有：

　　ips和防火墻區(qū)別1、模式匹配

　　模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，來(lái)發(fā)現(xiàn)違背安全策略的入侵行為。一種進(jìn)攻模式可以利用一個(gè)過(guò)程或一個(gè)輸出來(lái)表示。這種檢測(cè)方法只需收集相關(guān)的數(shù)據(jù)集合就能進(jìn)行判斷，能減少系統(tǒng)占用，并且技術(shù)已相當(dāng)成熟，檢測(cè)準(zhǔn)確率和效率也相當(dāng)高。但是，該技術(shù)需要不斷進(jìn)行升級(jí)以對(duì)付不斷出現(xiàn)的攻擊手法，并且不能檢測(cè)未知攻擊手段。

　　ips和防火墻區(qū)別2、異常檢測(cè)

　　異常檢測(cè)首先給系統(tǒng)對(duì)象(用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述，包括統(tǒng)計(jì)正常使用時(shí)的測(cè)量屬性，如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等。測(cè)量屬性的平均值被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，當(dāng)觀察值在正常值范圍之外時(shí)，IDS就會(huì)判斷有入侵發(fā)生。異常檢測(cè)的優(yōu)點(diǎn)是可以檢測(cè)到未知入侵和復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高。

　　ips和防火墻區(qū)別3、完整性分析

　　完整性分析關(guān)注文件或?qū)ο笫欠癖淮鄹?，主要根?jù)文件和目錄的內(nèi)容及屬性進(jìn)行判斷，這種檢測(cè)方法在發(fā)現(xiàn)被更改和被植入特洛伊木馬的應(yīng)用程序方面特別有效。完整性分析利用消息摘要函數(shù)的加密機(jī)制，能夠識(shí)別微小變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要攻擊導(dǎo)致文件或?qū)ο蟀l(fā)生了改變，完整性分析都能夠發(fā)現(xiàn)。完整性分析一般是以批處理方式實(shí)現(xiàn)，不用于實(shí)時(shí)響應(yīng)。入侵檢測(cè)面臨的問(wèn)題

　　1、誤報(bào)和漏報(bào)

　　IDS系統(tǒng)經(jīng)常發(fā)出許多假警報(bào)。誤警和漏警產(chǎn)生的原因主要有以下幾點(diǎn)：

　　● 當(dāng)前IDS使用的主要檢測(cè)技術(shù)仍然是模式匹配，模式庫(kù)的組織簡(jiǎn)單、不及時(shí)、不完整，而且缺乏對(duì)未知攻擊的檢測(cè)能力;

　　● 隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大以及異構(gòu)平臺(tái)和不同技術(shù)的采用，尤其是網(wǎng)絡(luò)帶寬的迅速增長(zhǎng)，IDS的分析處理速度越來(lái)越難跟上網(wǎng)絡(luò)流量，從而造成數(shù)據(jù)包丟失;

　　● 網(wǎng)絡(luò)攻擊方法越來(lái)越多，攻擊技術(shù)及其技巧性日趨復(fù)雜，也加重了IDS的誤報(bào)、漏報(bào)現(xiàn)象。

　　2、拒絕服務(wù)攻擊

　　IDS是失效開(kāi)放(Fail Open)的機(jī)制，當(dāng)IDS遭受拒絕服務(wù)攻擊時(shí)，這種失效開(kāi)放的特性使得黑客可以實(shí)施攻擊而不被發(fā)現(xiàn)。

　　3、插入和規(guī)避

　　插入攻擊和規(guī)避攻擊是兩種逃避IDS檢測(cè)的攻擊形式。其中插入攻擊可通過(guò)定制一些錯(cuò)誤的數(shù)據(jù)包到數(shù)據(jù)流中，使IDS誤以為是攻擊。規(guī)避攻擊則相反，可使攻擊躲過(guò)IDS的檢測(cè)到達(dá)目的主機(jī)。插入攻擊的意圖是使IDS頻繁告警(誤警)，但實(shí)際上并沒(méi)有攻擊，起到迷惑管理員的作用。規(guī)避攻擊的意圖則是真正要逃脫IDS的檢測(cè)，對(duì)目標(biāo)主機(jī)發(fā)起攻擊。黑客經(jīng)常改變攻擊特征來(lái)欺騙基于模式匹配的IDS。

　　IDS發(fā)展趨勢(shì)

　　在安全漏洞被發(fā)現(xiàn)與被攻擊之間的時(shí)間差不斷縮小的情況下，基于特征檢測(cè)匹配技術(shù)的IDS已經(jīng)力不從心。IDS出現(xiàn)了銷售停滯，但I(xiàn)DS不會(huì)立刻消失，而是將IDS將成為安全信息管理(SIM)框架的組成部分。在SIM框架中，IDS的作用可以通過(guò)檢測(cè)和報(bào)告技術(shù)得到加強(qiáng)。分析人士指出，IDS的作用正轉(zhuǎn)變?yōu)檎{(diào)查取證和安全分析。大約5年后，一致性安全管理以及內(nèi)核級(jí)的安全技術(shù)將共同結(jié)束基于特征檢測(cè)的IDS技術(shù)的使命。

　　美國(guó)網(wǎng)絡(luò)世界實(shí)驗(yàn)室聯(lián)盟成員Joel Snyder認(rèn)為，未來(lái)將是混合技術(shù)的天下，在網(wǎng)絡(luò)邊緣和核心層進(jìn)行檢測(cè)，遍布在網(wǎng)絡(luò)上的傳感設(shè)備和糾正控制臺(tái)通力協(xié)作將是安全應(yīng)用的主流。

　　一些廠商通過(guò)將IDS報(bào)警與安全漏洞信息進(jìn)行關(guān)聯(lián)分析，著手解決IDS的缺陷。SIM廠商在實(shí)現(xiàn)安全信息分析的方式上開(kāi)始采取更加模塊化的方法，將安全漏洞管理、異常檢測(cè)、網(wǎng)絡(luò)評(píng)估、蜜罐模塊與IDS模塊搭配在一起，以更好地確定和響應(yīng)安全事件。IPS主動(dòng)防護(hù)

　　盡管IDS是一種受到企業(yè)歡迎的解決方案，它還是不足以阻斷當(dāng)今互聯(lián)網(wǎng)中不斷發(fā)展的攻擊。入侵檢測(cè)系統(tǒng)的一個(gè)主要問(wèn)題是它不會(huì)主動(dòng)在攻擊發(fā)生前阻斷它們。同時(shí)，許多入侵檢測(cè)系統(tǒng)基于簽名，所以它們不能檢測(cè)到新的攻擊或老式攻擊的變形，它們也不能對(duì)加密流量中的攻擊進(jìn)行檢測(cè)。

　　而入侵防護(hù)系統(tǒng)(Intrution Protection System，IPS)則傾向于提供主動(dòng)性的防護(hù)，其設(shè)計(jì)旨在預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。IPS 是通過(guò)直接嵌入到網(wǎng)絡(luò)流量中而實(shí)現(xiàn)這一功能的，即通過(guò)一個(gè)網(wǎng)絡(luò)端口接收來(lái)自外部系統(tǒng)的流量，經(jīng)過(guò)檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過(guò)另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來(lái)，有問(wèn)題的數(shù)據(jù)包，以及所有來(lái)自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能夠在IPS設(shè)備中被清除掉。

　　簡(jiǎn)單地理解，IPS等于防火墻加上入侵檢測(cè)系統(tǒng)，但并不是說(shuō)IPS可以代替防火墻或入侵檢測(cè)系統(tǒng)。防火墻是粒度比較粗的訪問(wèn)控制產(chǎn)品，它在基于TCP/IP協(xié)議的過(guò)濾方面表現(xiàn)出色，而且在大多數(shù)情況下，可以提供網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計(jì)等功能。

　　和防火墻比較起來(lái)，IPS的功能比較單一，它只能串聯(lián)在網(wǎng)絡(luò)上，對(duì)防火墻所不能過(guò)濾的攻擊進(jìn)行過(guò)濾。一般來(lái)說(shuō)，企業(yè)用戶關(guān)注的是自己的網(wǎng)絡(luò)能否避免被攻擊，對(duì)于能檢測(cè)到多少攻擊并不是很熱衷。但這并不是說(shuō)入侵檢測(cè)系統(tǒng)就沒(méi)有用處，在一些專業(yè)的機(jī)構(gòu)，或?qū)W(wǎng)絡(luò)安全要求比較高的地方，入侵檢測(cè)系統(tǒng)和其他審計(jì)跟蹤產(chǎn)品結(jié)合，可以提供針對(duì)企業(yè)信息資源的全面審計(jì)資料，這些資料對(duì)于攻擊還原、入侵取證、異常事件識(shí)別、網(wǎng)絡(luò)故障排除等等都有很重要的作用。

　　IPS目前主要包含以下幾種類型：1、基于主機(jī)的入侵防護(hù)(HIPS)，它能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用;2、基于網(wǎng)絡(luò)的入侵防護(hù)(NIPS)，它可通過(guò)檢測(cè)流經(jīng)的網(wǎng)絡(luò)流量，提供對(duì)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)，一旦辨識(shí)出入侵行為，NIPS就可以去除整個(gè)網(wǎng)絡(luò)會(huì)話，而不僅僅是復(fù)位會(huì)話;3、應(yīng)用入侵防護(hù)，它把基于主機(jī)的入侵防護(hù)擴(kuò)展成為位于應(yīng)用服務(wù)器之前的網(wǎng)絡(luò)設(shè)備。IPS面臨的挑戰(zhàn)

　　IPS 技術(shù)需要面對(duì)很多挑戰(zhàn)，其中主要有三點(diǎn)。

　　1、單點(diǎn)故障。設(shè)計(jì)要求IPS必須以嵌入模式工作在網(wǎng)絡(luò)中，而這就可能造成瓶頸問(wèn)題或單點(diǎn)故障。如果IDS出現(xiàn)故障，最壞的情況也就是造成某些攻擊無(wú)法被檢測(cè)到，而嵌入式的IPS設(shè)備出現(xiàn)問(wèn)題，就會(huì)嚴(yán)重影響網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)。如果IPS出現(xiàn)故障而關(guān)閉，用戶就會(huì)面對(duì)一個(gè)由IPS造成的拒絕服務(wù)問(wèn)題，所有客戶都將無(wú)法訪問(wèn)企業(yè)網(wǎng)絡(luò)提供的應(yīng)用。

　　2、性能瓶頸。即使 IPS設(shè)備不出現(xiàn)故障，它仍然是一個(gè)潛在的網(wǎng)絡(luò)瓶頸，不僅會(huì)增加滯后時(shí)間，而且會(huì)降低網(wǎng)絡(luò)的效率，IPS必須與數(shù)千兆或者更大容量的網(wǎng)絡(luò)流量保持同步，尤其是當(dāng)加載了數(shù)量龐大的檢測(cè)特征庫(kù)時(shí)，設(shè)計(jì)不夠完善的 IPS 嵌入設(shè)備無(wú)法支持這種響應(yīng)速度。絕大多數(shù)高端 IPS產(chǎn)品供應(yīng)商都通過(guò)使用自定義硬件(FPGA、網(wǎng)絡(luò)處理器和ASIC芯片)來(lái)提高IPS的運(yùn)行效率。

　　3、誤報(bào)和漏報(bào)。誤報(bào)率和漏報(bào)率也需要IPS認(rèn)真面對(duì)。在繁忙的網(wǎng)絡(luò)當(dāng)中，如果以每秒需要處理十條警報(bào)信息來(lái)計(jì)算，IPS每小時(shí)至少需要處理36000條警報(bào)，一天就是864000條。一旦生成了警報(bào)，最基本的要求就是IPS能夠?qū)瘓?bào)進(jìn)行有效處理。如果入侵特征編寫得不是十分完善，那么“誤報(bào)”就有了可乘之機(jī)，導(dǎo)致合法流量也有可能被意外攔截。對(duì)于實(shí)時(shí)在線的IPS來(lái)說(shuō)，一旦攔截了“攻擊性”數(shù)據(jù)包，就會(huì)對(duì)來(lái)自可疑攻擊者的所有數(shù)據(jù)流進(jìn)行攔截。如果觸發(fā)了誤報(bào)警報(bào)的流量恰好是某個(gè)客戶訂單的一部分，其結(jié)果可想而知，這個(gè)客戶整個(gè)會(huì)話就會(huì)被關(guān)閉，而且此后該客戶所有重新連接到企業(yè)網(wǎng)絡(luò)的合法訪問(wèn)都會(huì)被“盡職盡責(zé)”的IPS攔截。

　　IDS和IPS將共存

　　雖然IPS具有很大的優(yōu)勢(shì)，然而美國(guó)網(wǎng)絡(luò)世界實(shí)驗(yàn)室聯(lián)盟成員Rodney Thayer認(rèn)為，在報(bào)告、分析等相關(guān)技術(shù)完善得足以防止虛假報(bào)警之前，IPS不可能取代IDS設(shè)備。IPS可能將取代外圍防線的檢測(cè)系統(tǒng)，而網(wǎng)絡(luò)中的一些位置仍然需要檢測(cè)功能，以加強(qiáng)不能提供很多事件信息的IPS?，F(xiàn)在市場(chǎng)上的主流網(wǎng)絡(luò)安全產(chǎn)品可以分為以下幾個(gè)大類：

　　1、基礎(chǔ)防火墻類，主要是可實(shí)現(xiàn)基本包過(guò)濾策略的防火墻，這類是有硬件處理、軟件處理等，其主要功能實(shí)現(xiàn)是限制對(duì)IP:port的訪問(wèn)?；旧系膶?shí)現(xiàn)都是默認(rèn)情況下關(guān)閉所有的通過(guò)型訪問(wèn)，只開(kāi)放允許訪問(wèn)的策略。

　　2、IDS類，此類產(chǎn)品基本上以旁路為主，特點(diǎn)是不阻斷任何網(wǎng)絡(luò)訪問(wèn)，主要以提供報(bào)告和事后監(jiān)督為主，少量的類似產(chǎn)品還提供TCP阻斷等功能，但少有使用。

　　3、IPS類，解決了IDS無(wú)法阻斷的問(wèn)題，基本上以在線模式為主，系統(tǒng)提供多個(gè)端口，以透明模式工作。在一些傳統(tǒng)防火墻的新產(chǎn)品中也提供了類似功能，其特點(diǎn)是可以分析到數(shù)據(jù)包的內(nèi)容，解決傳統(tǒng)防火墻只能工作在4層以下的問(wèn)題。和IDS一樣，IPS也要像防病毒系統(tǒng)定義N種已知的攻擊模式，并主要通過(guò)模式匹配去阻斷非法訪問(wèn)。

　　4、主動(dòng)安全類，和前面的產(chǎn)品均不同，主動(dòng)安全產(chǎn)品的特點(diǎn)是協(xié)議針對(duì)性非常強(qiáng)，比如WAF就是專門負(fù)責(zé)HTTP協(xié)議的安全處理，DAF就是專門負(fù)責(zé)數(shù)據(jù)庫(kù)Sql 查詢類的安全處理。在主動(dòng)安全產(chǎn)品中通常會(huì)處理到應(yīng)用級(jí)的訪問(wèn)流程。對(duì)于不認(rèn)識(shí)的業(yè)務(wù)訪問(wèn)全部隔離。

　　在這幾類產(chǎn)品中，就可以分辨出什么是主動(dòng)安全，什么是被動(dòng)安全。從安全的最基本概念來(lái)說(shuō)，首先是關(guān)閉所有的通路，然后再開(kāi)放允許的訪問(wèn)。因此，傳統(tǒng)防火墻可以說(shuō)是主動(dòng)安全的概念，因?yàn)槟J(rèn)情況下是關(guān)閉所有的訪問(wèn)，然后再通過(guò)定制策略去開(kāi)放允許開(kāi)放的訪問(wèn)。但由于其設(shè)計(jì)結(jié)構(gòu)和特點(diǎn)，不能檢測(cè)到數(shù)據(jù)包的內(nèi)容級(jí)別，因此，當(dāng)攻擊手段到達(dá)應(yīng)用層面的時(shí)候，傳統(tǒng)的防火墻都是無(wú)能為力的。IDS就不講了，不能阻斷只能是一個(gè)事后監(jiān)督機(jī)制，因此在其后出現(xiàn)的IPS，基本上所有的IPS系統(tǒng)都號(hào)稱能檢查到數(shù)據(jù)包的內(nèi)容，但犯了一個(gè)致命的錯(cuò)誤，就是把安全的原則反過(guò)來(lái)了，變成默認(rèn)開(kāi)放所有的訪問(wèn)，只有自己認(rèn)識(shí)的訪問(wèn)，才進(jìn)行阻斷。從另外一個(gè)方面，由于在線式造成的性能問(wèn)題，也不能像殺毒軟件一樣進(jìn)行全面而細(xì)致的安全審計(jì)。因此大多數(shù)的IPS在實(shí)際運(yùn)行環(huán)境中都形同虛設(shè)，通常只是當(dāng)作一個(gè)防DDOS的設(shè)備存在。IPS尤其對(duì)于未知的，不再其安全庫(kù)內(nèi)的攻擊手段，基本上都是無(wú)能為力的。

　　在主動(dòng)安全的體系中，徹底改變了IPS 的致命安全錯(cuò)誤。其工作在協(xié)議層上，通過(guò)對(duì)協(xié)議的徹底分析和Proxy代理工作模式，同時(shí)，結(jié)合對(duì)應(yīng)用的訪問(wèn)流程進(jìn)行分析，只通過(guò)自己認(rèn)識(shí)的訪問(wèn)，而對(duì)于不認(rèn)識(shí)的訪問(wèn)，則全部進(jìn)行阻斷。比如在頁(yè)面上的一個(gè)留言板，正常人登錄都是填入一些留言，提問(wèn)等，但黑客則完全可能填入一段代碼，如果服務(wù)器端的頁(yè)面存在漏洞，則當(dāng)另外一個(gè)用戶查看留言板的時(shí)候，則會(huì)在用戶完全不知道的情況下執(zhí)行這段代碼，標(biāo)準(zhǔn)叫法，這叫做跨站攻擊。當(dāng)這段代碼被執(zhí)行后，用戶的本地任何信息都有可能被發(fā)送到黑客的指定地址上。如果采用防火墻或者IPS，對(duì)此類攻擊根本沒(méi)有任何處理辦法，因?yàn)楣舻氖侄?、代碼每次都在變化，沒(méi)有特征而言。而在采用主動(dòng)安全的系統(tǒng)中，則可以嚴(yán)格的限制在留言板中輸入的內(nèi)容，由此來(lái)防范此類跨站攻擊。又如常見(jiàn)的認(rèn)證漏洞，可能造成某些頁(yè)面在沒(méi)有進(jìn)行用戶登錄的情況下可以直接訪問(wèn)，這些內(nèi)容在防火墻或者IPS系統(tǒng)中更加無(wú)法處理了。因?yàn)樗麄兊恼?qǐng)求和正常的請(qǐng)求完全一樣，只是沒(méi)有經(jīng)過(guò)登錄流程而已，因此不能進(jìn)行防護(hù)，在主動(dòng)安全體系里，可以對(duì)用戶的訪問(wèn)進(jìn)行流程限定，比如訪問(wèn)一些內(nèi)容必須是在先通過(guò)了安全認(rèn)證之后才能訪問(wèn)，并且必須按照一定的順序才能執(zhí)行。因此，工作在流程和代理層面的主動(dòng)安全設(shè)備可以進(jìn)一步實(shí)現(xiàn)應(yīng)用系統(tǒng)的真正安全。

　　另外，在通常情況下，安全訪問(wèn)都采用SSL進(jìn)行通道連接，傳統(tǒng)的IPS根本無(wú)法看到用戶的訪問(wèn)，從而造成形同虛設(shè)的安全網(wǎng)關(guān)

　　看了“ips和防火墻有什么區(qū)別 ”文章的還看了：

1.當(dāng)代防火墻技術(shù)到底有什么問(wèn)題

2.arp防火墻是什么呢

3.doc怎么樣禁用防火墻

4.硬件防火墻的原理是什么

5.cisco ASA 防火墻怎么樣配置