在企业网络架构中 能否用ips完全替代防火墙 为什么（ips防火墙叫下一代防火墙吗）

不能吧，因为各自侧重点不同，二者配置使用效果更佳。防火墙对原始流量做基于5元组的ACL过滤，IPS再对通过的流量做7层过滤。

例如：防火墙只允许通过 目的IP是WEB服务器，目的端口是80，协议是TCP的流量，IPS再对通过的流量做7层检测，防止病毒随着网站一起“混入”,阻拦包含SQL注入等恶意URL的流量。

防火墙防外不防内，不能防病毒。

IPS一般也有直接对源IP过滤的黑白名单机制，主要还是7层特征码过滤，如果IPS过滤策略中不写7层特征码，就相当于简单的5元组过滤防火墙了，另外，IPS可以设置被阻拦对象的阻拦时间，从1秒到无限时长，防止特征码有误，而防火墙策略一般是无限时长的阻拦。

高级防火墙策略还包括时间、带宽、流量、会话数等对象，这个就不是IPS所擅长的了。

还有就是最近几年兴起的NGFW下一代防火墙，也能作用与第7层应用层，功能很全，还可以“联动”IPS，或者加载IPS模块。