「网络安全」安全设备篇（防火墙-IDS-IPS）( 十 )_什么是防火墙？防火墙是指设置在不同网

上文「网络安全」安全设备篇（2）——IDS提到的IDS入侵检测系统大多是被动防御，而不是主动的，在攻击实际发生之前，它们往往无法预先发出警报。而IPS入侵防御系统，则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后发出警报。

2. IPS原理

IPS引擎原理图

IPS是通过直接嵌入到网络流量中实现主动防御的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另一个端口将它传送到内部系统中。通过这个过程，有问题的数据包以及所有来自同一数据流的后续数据包，都将在IPS设备中被清除掉。

IPS拥有众多过滤器，能够防止各种攻击。当新的攻击手段被发现后， IPS就会创建一个新的过滤器。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。