可以看到,在大型企业网络架构中,有非常多的产品:交换机、路由器、防火墙、IDS、IPS、服务器等设备。
那么有很多人会问,有了防火墙为什么还要IPS和IDS呢?
防火墙较多的应用在内网保护(NAT),流控,过滤等方面;而在对攻击方面的检测和防御方面相对较弱、所以就需要IDS和IPS。
而IDS(Intrusion Detection Systems),只是做些攻击的检测工作,本身并不做防护,它检测到攻击的时候,可能此时攻击已经产生灾难了,所以IDS一般都需要和一些防攻击设备IPS共用;
IPS(Intrusion Prevention System),它不光对已知的攻击种类能防御,还能检测些异常协议的攻击,比较灵活。
- 防火墙是防御系统,属于访问控制类产品
- IDS是入侵检测系统,属于审计类产品
- IPS是入侵防御系统,属于访问控制类产品
IDS虽是IPS的前身,但本质上,IPS已经发生了根本的变化,前者是审计类产品,后者属于访问控制类。
有人说,IDS也可以和防火墙联动执行访问控制,但这并不会改变IDS审计类产品的本质,因为,执行访问控制的是防火墙,而不是IDS。
- 防火墙是基于IP地址和端口来执行访问控制的
- IPS是基于入侵检测来执行访问控制的
大型企业网络架构有三层:接入层、汇聚层、核心层。
接入层接入不同的部门,不同的部门属于不同的VLAN,保证了不同部门之间的安全。核心层有两个核心交换机,实现负载均衡和热备份,即使有一个核心交换机宕机了,网络也不会瘫痪。对内服务器有一个IDS入侵检测系统,检测对内服务器的安全。
对外服务器有一个 WAF 和 IDS,用来保证对外服务器的安全。
IPS、防火墙和边界路由器都有两个,实现热备份。即使任何一个宕机了,都不会影响企业网络的正常运作。
相关文章:防火墙Firewall