从过滤顺序区分:
防火墙对原始流量做基于5元组的ACL过滤,IPS再对通过的流量做7层过滤。例如:防火墙只允许通过 目的IP是WEB服务器,目的端口是80,协议是TCP的流量,IPS再对通过的流量做7层检测,阻拦包含SQL注入等恶意URL的流量。
从策略组成区分:
IPS一般也有直接对源IP过滤的黑白名单机制,主要还是7层特征码过滤,如果IPS过滤策略中不写7层特征码,就相当于简单的5元组过滤防火墙了,另外,IPS可以设置被阻拦对象的阻拦时间,从1秒到无限时长,防止特征码有误,而防火墙策略一般是无限时长的阻拦。高级防火墙策略还包括时间、带宽、流量、会话数等对象,这个就不是IPS所专长的了。
基于特征码的IPS策略实战,请参考:
OpenSSL Heartbleed漏洞攻防演示:
http://www.trustcomputing.com.cn/bbs/viewthread.php?tid=110
