IPS、IDS、WAF 等术语在网络安全领域非常常见，本文讲一下它们之间的区别。

若在上云用云实际过程中有不懂的，可寻翼龙云@yilongcloud助力免卡上云用云。

首先让我们看一下每个缩写的含义：

IPS =入侵防御系统

IDS =入侵检测系统

WAF = Web应用程序防火墙

为了快速了解如何在网络设计中使用这些解决方案/设备，让我们看一下下面的拓扑，其中包括网络中的所有安全解决方案（防火墙、IPS、IDS、WAF）。

下图的目的是说明这些安全设备通常是如何放置在网络中的。

专业人员应该考虑他们自己的具体要求并决定如何实际实施他们自己的网络（例如，可能不需要在同一网络中使用具有 IPS 的 IDS）。

接下来简要描述每个安全设备，下面进行进一步比较。

防火墙 ：

防火墙有多种类型，但最常见的一种是硬件网络防火墙。从本文的所有网络图中可以看出，网络防火墙在所有网络设计中都存在，因为它是网络安全的基石。

防火墙的核心功能是允许或阻止源主机/网络和目标主机/网络之间的流量。

基本防火墙工作在 OSI 模型的第 3 层和第 4 层，即它们可以根据源/目标 IP 地址和源/目标 TCP/UDP 端口允许或阻止 IP 数据包。

此外，网络防火墙是有状态的，这意味着防火墙会跟踪通过它的连接的状态。

IDS：

IDS（入侵检测系统）是 IPS 的前身，本质上是被动的。如上面的网络所示（带 IDS 的防火墙），该设备没有与流量串联插入，而是并行插入（放置在带外）。

通过交换机的流量也同时发送到IDS进行检查，如果在网络流量中检测到安全异常，IDS 只会发出警报（向管理员），但无法阻止流量。

与 IPS 类似，IDS 设备也主要使用已知安全攻击和漏洞的特征来检测入侵企图。

为了向 IDS 发送流量，交换机设备必须配置一个SPAN端口，以便复制流量并将其发送到 IDS 节点。

虽然 IDS 在网络中是被动的（即它不能主动阻止流量），但有一些模型可以与防火墙合作以阻止安全攻击。

IPS：

顾名思义，入侵防御系统 (IPS) 是一种安全设备，其主要任务是防止网络入侵。

这就是 IPS 与数据包流串联连接的原因，如上面的网络拓扑（带 IPS 的防火墙）所示，IPS 设备通常连接在防火墙后面，但与内部网络之间传输数据包的通信路径保持一致。

为了使 IPS 设备在到达内部服务器之前立即阻止恶意流量，需要进行上述放置。

WAF：

WAF（Web 应用程序防火墙）专注于保护网站（或一般的 Web 应用程序）。

它在应用层工作以检查 HTTP Web 流量，以检测针对网站的恶意攻击。

例如，WAF 将检测 SQL 注入攻击、跨站点脚本、Javascript 攻击、RFI/LFI 攻击等。

由于现在大多数网站都使用 SSL (HTTPS)，因此 WAF 还能够通过终止 SSL 会话并检查 WAF 本身的连接内的流量来提供 SSL 加速和 SSL 检查。

有了 WAF，管理员可以灵活地限制对网站特定部分的 Web 访问、提供强身份验证、检查或限制文件上传到网站等。