在企业网络架构中 能否用ips完全替代防火墙 为什么(ips防火墙叫下一代防火墙吗)

在企业网络架构中 能否用ips完全替代防火墙 为什么(ips防火墙叫下一代防火墙吗)

首页维修大全综合更新时间:2024-06-07 16:17:19

在企业网络架构中 能否用ips完全替代防火墙 为什么

不能吧,因为各自侧重点不同,二者配置使用效果更佳。防火墙对原始流量做基于5元组的ACL过滤,IPS再对通过的流量做7层过滤。

例如:防火墙只允许通过 目的IP是WEB服务器,目的端口是80,协议是TCP的流量,IPS再对通过的流量做7层检测,防止病毒随着网站一起“混入”,阻拦包含SQL注入等恶意URL的流量。

防火墙防外不防内,不能防病毒。

IPS一般也有直接对源IP过滤的黑白名单机制,主要还是7层特征码过滤,如果IPS过滤策略中不写7层特征码,就相当于简单的5元组过滤防火墙了,另外,IPS可以设置被阻拦对象的阻拦时间,从1秒到无限时长,防止特征码有误,而防火墙策略一般是无限时长的阻拦。

高级防火墙策略还包括时间、带宽、流量、会话数等对象,这个就不是IPS所擅长的了。

还有就是最近几年兴起的NGFW下一代防火墙,也能作用与第7层应用层,功能很全,还可以“联动”IPS,或者加载IPS模块。

大家还看了
也许喜欢
更多栏目

© 2021 3dmxku.com,All Rights Reserved.