防火墙，IPS,WEB防火墙和金盾抗拒绝服务系统的区别

1. 防火墙，IPS，WEB防火墙和金盾抗拒绝服务系统的本质区别

这四种产品最本质的区别还是在于功能的专业性，简单来说，就类似于智能手机和电脑的区别，智能手机有操作系统，可以看文档，发邮件，玩游戏，但是手机最重要的功能还是电话通讯，根本无法取代不了电脑的地位，因为手机在处理很多程序时没有电脑专业。防火墙是功能最多的安全设备，很多防火墙自带抗DDOS，IPS，WEB防护，甚至防病毒功能，但是它是取代不了专业产品的，因为附带的功能无论是功能和性能都无法和专业防护设备相比！！

（1）防火墙

防火墙用专业的概念可以解释成，它一种访问控制设备。主要是放在用户的内网和互联网出口处，通过制定安全规则，对进出数据进行放行和阻断行为。举个简单的例子：就类似很多高级饭店，规定客人，需要“穿正装”“打领带”“穿皮鞋”等，这个就是饭店制定的规则，只有满足这个规则的客人才能进去。防火墙的安全规则也是用户根据自己网络情况制定的，一般定义的规则为，对外开放哪些“端口”，开放哪些“协议”，允许哪些地址上网等简单的策略。比如，用户内部有对外开放的门户网站，他就必须把80端口，把HTTP协议对外开放。在这种情况下，如果DDOS攻击针对的就是80端口，HTTP协议，那么防火墙就没办法防护了，对防火墙来说，这种攻击时符合他的安全规则的，因此不会进行处理。

（2）IPS（入侵防御系统）

IPS实际上是对防火墙在入侵防护功能上的一个补充，由于防火墙对于那些利用合法的端口和协议的破坏活动无能为力，且防火墙不对数据包进行深层的检测，因此IPS被研发出来，处理这些破坏活动。实际上所有的防火墙都带有“入侵防护功能”，但是IPS依然得到用户认同，因为它是专业入侵防护设备。

由于IPS是通过对数据包进行深层的检测进行入侵防护的，那么IPS实际上是专门用来防护应用层的各种入侵和破坏行为的。例如：暴力猜解(Brut-Force-Attack)，埠扫描(Portscan)，嗅探，病毒，蠕虫，垃圾邮件，木马等等，此外还有利用软体的漏洞和缺陷钻空子、干坏事的破坏行为。而DDOS攻击中的流量型攻击，比如SYN FLOOD,UDP FLOOD，ICMP FLOOD等都是在网络层的攻击行为，所以IPS无法很好的处理。 另外，IPS对入侵行为的判断是基于“入侵数据特征库”的，类似于杀毒软件的“病

? 2010 中新金盾

毒库”，把进出的每一个数据和入侵数据特征库进行一一对比，如果符合入侵特征，就进行过滤处理。而DDOS攻击中的连接型攻击，如：CC攻击，空链接攻击，是没有攻击的明显特征的，所以IPS对于这种攻击无法防御。

（3）WEB防火墙

WEB防火墙是在IPS的基础上发展而来的，它更加专注于WEB的应用，因此他的防护主要是针对HTTP协议和各种web应用的入侵行为，例如：如SQL注入攻击、命令注入攻击、跨站脚本攻击、跨站伪造、缓冲区溢出、恶意编码等。实际上WEB防火墙的防护功能IPS也基本都能做到，只不过WEB防火墙在防护WEB应用攻击方面做得更细些，也更专业些。

（4）金盾抗拒绝服务系统

金盾抗拒绝服务系统是专业的抗DDOS攻击设备，这种专业主要表现在对各种DDOS攻击的防护功能上，我们能有效的防御现在网络上的所有种类的DDOS攻击，同时在防护住攻击的同时还能保证用户对外服务的正常运行。实际上我们也能做到部分防火墙和IPS的功能，比如：制定规则开放必要的端口，协议；流量控制；根据数据包深层次的特征自定义过滤规则等，但是我们的设备还是不能够取代防火墙，IPS。

举例说明：

这个图是以图形的方式来展现一个传统的安全体系所具备的东西，包括：防火墙，IDS，IPS，漏洞扫描，身份认证。。。。。。等，那么我们主要关注的还是防火墙和IPS。与实际生活相结合，介绍下防火墙和IPS的概念。

? 2010 中新金盾

我们可以把这个图看成是一个工商银行的营业厅，内部有八个柜台对外服务，营业厅的大门当成“防火墙”，而门卫是“IPS(入侵防护)”。

那么防火墙起什么作用呢，防火墙的作用就是制定进出规则：来工商银行办业务的人可以进来，以此来阻拦一些不相干的人进入银行，比如推销的，小摊小贩等，那么大家可以感觉的到这个规则实际是有很大漏洞的，任何以办业务为名义的人都可以进来，哪怕他是来打劫的。因此，防火墙对于那些符合它制定规则的入侵和攻击行为，无法做出防护措施；

那么IPS起什么作用呢，IPS（门卫）很好的弥补了防火墙的一个功能缺陷。它会阻拦那些以办业务为名义，且明显是来进行破坏的热拦截！比如拿着刀来银行办业务，拿着枪来银行办业务的，门卫是肯定不让进去的。拿刀，拿枪可视为具备明显攻击特征。

而DDOS攻击的方式很简单，就是我利用100个人以办业务的名义进到营业厅，将前面的100个号拿走，而这一百个人实际上并不办理任何正常业务，那么在一定时间内，银行的正常业务是没办法进行了。这种攻击方式，实际上是躲过了防火墙和IPS，而进行的破坏活动。

DDOS防护设备的作用是相当于，在大门前再架设一个检查站，主动的询问来办业务的人，办理什么业务，有没有身份证，银行卡，存折之类的东西。当一个人给了我确认的信息后，我才会放他进去。如果我们在询问时，他基本不作回应，那么这个人可以判断是搞破坏的，就不会放行进去了！

因此在这里给出DDOS的一个概念就是：DDOS攻击是以大量的无用的数据，来消耗用户有限的资源的一种攻击方式。消耗的资源有两个，一个是网络资源，一个是系统资源。对于DDOS攻击最治标有治本的方法就是，在网络或服务系统前端，架设一台设备，这台设备

? 2010 中新金盾

能够准确检测并分析出正常数据和无用数据，过滤掉无用数据，而将正常数据放行到网络中，转发给服务器。

防火墙只能检测数据包中的地址，协议，端口等简单的信息，IPS能够检测数据包深层次的东西，但它是以静态的攻击特征库为检测依据的，这些手段都不能够有效的检测出DDOS攻击数据。而我们金盾是以动态的检测算法，且是以“判断攻击行为”为防护依据。

2. 传统的DDOS防护技术的不足

其实现在大多数防火墙，IPS，web防火墙产品都附带了抗DDOS攻击的功能，但是，由于它们本身对数据的处理机制，造成自己不能够准确的检测出DDOS攻击数据包和正常数据包，因此，它们对DDOS攻击的处理方式和专业的抗DDOS攻击设备还是有很大不同的。它们的处理方式主要有两种。

（1）设置阀值，控制访问数据速率。由于防火墙，IPS会放在网络出口处，而WEB防火墙会放在网站服务器的前面，它们会根据自己网络的性能和服务器性能，设定一个处理数据的阀值，比如说我的服务器每秒中只能处理1000个人访问，那么我的防火墙，IPS，WEB防火墙就会设定1000个数据包/秒，超过这个值的数据包会丢弃。举个刚刚银行的例子，假设银行拥有八个柜台，一上午最多处理100人的业务，那么当前100个号都排满以后，银行肯定会拒绝服务，让其他人在其他时间再来了。大家可以看到，这种方式，实际上已经影响到了其他正常用户的业务办理。对于防火墙也一样，阀值的设置，在一定程度上会将正常用户的访问拒绝掉。

（2）随机丢弃数据包，即设定每接受几个数据包就丢弃其中一个。列举邮箱事例，为了担心接收过多的垃圾邮件，于是在接收邮件时，设定每收两封邮件，就自动拒收一封邮件，这种方式很容易就令人想到，如果我拒收的当中有正常邮件呢？同样道理，如果采用随机丢包方式，也有一定几率将正常用户请求包丢掉，造成正常用户无法访问应用服务。

总体来说，正因为传统的安全设备没有能够验证攻击包和非攻击包的机制，因此，只能采用这两种方式，牺牲部分用户的权益，来保证整个网络和应用服务受到DDOS攻击的影响。

3. 总结

（1）防火墙

? 2010 中新金盾

总体来说，防火墙设备具有的功能是比较多的，但是这些功能肯定是不能和专业的设备

相比的，在抗DDOS攻击这一块，主要表现在：

? 防火墙设计原理中并没有考虑针对DDoS攻击的检测机制，无法准确检测攻击包和正常

包

? 防火墙大多只能采用阀值设置或随机丢包方式防御DDOS攻击，这种方式会导致部分正

常用户被拒绝服务。

? 防火墙受性能限制，在遭受大流量DDOS攻击时，甚至会成为网络瓶颈，导致整个网络

拒绝服务

（2）IPS

? IPS 系统设计之初就是作为一种基于特征的应用层攻击检测设备，没有针对DDOS攻击

的检测机制。

? 对于三层，四层以下的DDOS流量型攻击，IPS只能采用阀值设置或随机丢包方式防御 ? 对于不具备明显特征的CC等连接型攻击，IPS基本没有防御能力

（3）WEB防火墙

Web防火墙可以把他当作专注于WEB防护的IPS，因此它对于抗DDOS攻击这一块的缺

陷和IPS是一样的。

? 2010 中新金盾

4. 金盾抗拒绝服务系统六大基本功能描述

（1） 流量型攻击防护：对于流量型（洪水型）攻击的防护

（2） 应用层协议和端口防护：针对应用层攻击防护，主要是针对客户，网站，邮件，FTP

服务器等应用的防护

（3） 特殊应用保护：专门的特殊应用防护模块，防护针对用户特殊的应用各种CC连接型

攻击。包括WEB，DNS，语音，游戏等

（4） 流量控制：可对进出流量进行合理的流控。

（5） 数据包规则过滤：可自定义过滤数据包规则，可针对数据包中的端口，协议，标志位，

关键字设定规则等。

（6） 数据包捕获功能：自带数据包捕获功能，可对进出数据进行抓包分析。

? 2010 中新金盾

本文来源：https://www.bwwdw.com/article/pbff.html