IDSとIPSとファイアウォールの違い

Question

IDSとファイアウォールの違いは、後者は悪意のあるトラフィックを防止するのに対し、IDSは次のことを行います。

パッシブIDS：IDSは侵入があったことのみを報告します。
アクティブIDS：IDSはまた、問題を修正するか、少なくとも影響を軽減するために問題に対してアクションを実行します。

ただし、IPSとファイアウォールの違いは何ですか？どちらも、着信ネットワークトラフィックが正当であることを保証することを目的とする予防的な技術的制御です。

Scott Pack · Accepted Answer

テクノロジーの容量が増加し、プラットフォームが統合され、脅威の状況が変化するので、ラインは明らかに多少ぼやけています。彼らの中心には

ファイアウォール-パケットヘッダーを分析し、プロトコルタイプ、送信元アドレス、宛先アドレス、送信元ポート、宛先ポートに基づいてポリシーを適用するデバイスまたはアプリケーション。ポリシーに一致しないパケットは拒否されます。
侵入検知システム-既知のイベントを探して、ヘッダーとペイロードの両方のパケット全体を分析するデバイスまたはアプリケーション。既知のイベントが検出されると、イベントの詳細を示すログメッセージが生成されます。
侵入防止システム-既知のイベントを探して、ヘッダーとペイロードの両方のパケット全体を分析するデバイスまたはアプリケーション。既知のイベントが検出されると、パケットは拒否されます。

IDSとIPSの機能的な違いはかなり微妙なものであり、多くの場合、構成設定の変更にすぎません。たとえば、Juniper IDPモジュールでは、検出から防止への変更はドロップダウンの選択をLOGからLOG/DROPに変更するのと同じくらい簡単です。技術レベルでは、監視アーキテクチャの再設計が必要になる場合があります。

3つのシステムすべての類似性を考えると、時間の経過とともにある程度の収束がありました。たとえば、上記のJuniper IDPモジュールは、事実上、ファイアウォールのアドオンコンポーネントです。ネットワークフローと管理の観点から、ファイアウォールとIDPは、技術的には2つの別個のデバイスであっても機能的に区別できません。

次世代ファイアウォール（NGFW）と呼ばれるものについての市場での議論もあります。コンセプトはまだ十分に新しいため、NGFWの構成について各ベンダーが独自の定義を持っていますが、大部分は、ネットワークパケットヘッダー情報だけでなく、一方的にポリシーを実施するデバイスであることに同意します。これにより、単一のデバイスを従来のファイアウォールとIPSの両方として機能させることができます。場合によっては、トラフィックの発信元などの追加情報が収集され、より包括的なポリシー適用が可能になります。

that guy from over there · Answer

ダミーの説明

ファイアウォール->ドアマン;彼は開いた地下室の窓などを介して侵入しようとするすべての人を締め出しますが、誰かが公式のドアから入ると、すべての人を許可します。家の所有者がゲストを連れてきたとき。 * ファイアウォールは悪意のあるトラフィックを決して防止しません*、ポート/ IPに基づいて、トラフィックを許可またはブロックするだけです
IDS（パッシブ）/ IPS（アクティブ）：ゲストを探して武器などを探す男;彼は走り回ることができず、人々がこっそり入るのを防ぐことはできないが、人々が持ち込んでいるものを検索することができる
IDSアクティブvsパッシブ：アクティブモード->お尻を蹴り、一定の時間ブロックできます、パッシブモード->アラートを送信します

アクティブなIDSとは異なるIPSと呼びたい理由は、マーケティング目的のためだけです。

Lucas Kauffman · Answer

アクティブIDSは基本的にIPSと呼ばれます。

JGallardo · Answer

IDSは侵入検知システムです。 IPSは侵入防止システムです。

IDSはトラフィックのみを監視します。 IDSには、既知の攻撃シグネチャのデータベースが含まれています。そして、受信トラフィックをデータベースと比較します。攻撃が検出された場合、IDSは攻撃を報告します。ただし、アクションを実行するのは管理者次第です。主な欠陥は、それらが多くの誤検知を生成することです。

IPSはファイアウォールとネットワークの残りの部分の間にあります。このため、疑わしいトラフィックがネットワークの残りの部分に到達するのを阻止できます。IPS =パケットのネットワークへの流入を決定する前に、着信パケットとそれらが実際に何に使用されているかを監視します。

ZillGate · Answer

既存の回答に加えて、さらに3つの違いについて考えています。

ファイアウォールは（通常）システムのネットワーク境界にあり、IDS/IPSはネットワークレベルだけでなくホストレベルでも機能します。このようなIDS/IPSシステムは、ホストベースのIDS/IPSと呼ばれます。実行中のプロセス、不審なログイン試行などを監視し、アクションを実行できます。例としては、 [〜＃〜] ossec [〜＃〜] やosqueryなどがあります。おそらく、ウイルス対策ソフトウェアはIDS/IPSの一種と見なすこともできます。
ファイアウォールはおそらく理解しやすく、導入も容易です。単独でも機能します。ただし、IDS/IPSはより複雑で、おそらく他のサービスと統合する必要があります。たとえば、IDSの結果は、相関分析や人間の分析者などのためにSIEMに送られます。
少なくとも「従来の」ファイアウォールでは、コアはルールベースのエンジンです。ただし、IDS/IPSは、侵入を検出するために異常ベースの検出ベースの方法を使用する場合もあります。

Rohit Gera · Answer

ファイアウォールは、IPアドレス、ネットワークポート、ネットワークプロトコルなどのネットワーク情報に基づいてトラフィックをブロックします。ネットワーク接続の状態に基づいていくつかの決定を行います。

IPSは、要求のコンテンツを検査し、そのコンテンツに基づいて悪意のあるネットワーク要求をドロップ、アラート、または潜在的に駆除することができます。悪意のあるものの決定は、動作分析または署名の使用を通じて。

優れたセキュリティ戦略は、彼らをチームとして集めさせることです。両方のデバイスは互いに補完します。