NIDS 與防火墻有什么區別

NIDS（入侵檢測系統）與防火墻的區別從不同角度講主要是：

• 概念不同

從概念上我們可以看出防火墻是針對黑客攻擊的一種被動的防御，IDS則是主動出擊尋找潛在的攻擊者；防火墻相當于一個機構的門衛，收到各種限制和區域的影響，即凡是防火墻允許的行為都是合法的，而IDS則相當于巡邏兵，不受范圍和限制的約束，這也造成了ISO存在誤報和漏報的情況出現。

• 功能不同

防火墻只是防御為主，通過防火墻的數據便不再進行任何操作，IDS則進行實時的檢測，發現入侵行為即可做出反應，是對防火墻弱點的修補；防火墻可以允許內部的一些主機被外部訪問，IDS則沒有這些功能，只是監視和分析用戶和系統活動。

• 部署位置不同

防火墻是安裝在網關上，將可信任區域和非可信任區域分開，對進出網絡的數據包進行檢測，實現訪問控制。一個網段只需要部署個防火墻；而入侵檢測系統是可以裝在局域網內的任何機器上，一個網段內可以裝上數臺NIDS引擎,由一個總控中心來控制。

• 防范的方向不同

防火墻主要是實現對外部網絡和內部網絡通訊的訪問控制，防止外部網絡對內部網絡的可能存在的攻擊；網絡入侵檢測系統在不影響網絡性能的情況下能對網絡進行檢測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護,防止內外部的惡意攻擊和網絡資源濫用。

• 檢測的細粒度不同

防火墻為了實現快速的網絡包轉換，故只能對網絡包的IP和端口進行些防黑檢測，比如端口掃描。可是對通過I漏洞及Nimda病毒之類的網絡入侵，防火墻是毫無辦法；而網絡入侵檢測系統則可以擁有更多特征的入侵數據特征庫可以對整個網絡包進行檢查過濾。

回答所涉及的環境：聯想天逸510S、Windows 10。