Stateless

• 工作於OSI第三+第四層
• 根據預設規則來濾資料
• 速度快，但無法根據過往經驗來採用複雜的過濾方式

Stateful

• 工作於OSI第三+第四層
• 根據規則來濾資料+會記錄之前的連線狀態並儲存
• 可以根據之前的連線經驗來新增封鎖名單

Proxy

• 工作於OSI第七層
• 可以檢查所有封包的內容
• 可以設定過濾策略來允許或拒絕特定流量
• 支援 SSL/TLS 封包解密與檢查

NGFW

• 工作於OSI第三-第七層
• 可以對封包進行深度的檢查
• 能及時阻擋惡意行為，分析攻擊模式
• 具備SSL/TLS解密，封包檢查後可與威脅情資作比對

規則組成

• Source IP
• Destination IP
• Port：該流量使用的通訊埠號碼。
• Protocol
• 動作（Action）：當匹配此規則的流量出現時，應採取的動作。
  • Allow
  • Deny
  • Forward
• 方向（Direction）：此規則適用於「進站」或「出站」的流量。
  • inbound
  • outbound
  • forward

IDS:

部屬:

• HIDS:在單一主機上，可以提供詳細的資訊，但在大型網路中不好管理，須個別安裝，維護，資源消耗高。
• NIDS:在網路上，不侷限於特定主機，監控所有主機間的流量

偵測模式:

特徵碼式

• 把攻擊模式儲存成特徵，並存在資料庫中
• 如果偵測到與特徵相同的模式時則會警報
• 能快速精準偵測已知威脅。
• 無法偵測zero day，因為這些攻擊尚未有既存的特徵。

異常式

• 會學習系統或網路的(正常行為)，出現偏離正常的活動時就會觸發警報。
• 可以偵測零時差攻擊。
• 可能產生大量誤報，將正常行為誤判為惡意行為。因為某些合法的行為模式可能與惡意活動相似。
• 可透過手動調整 IDS 的行為定義，有效降低誤報率。

混合式

• 結合了特徵碼式與異常式
  • 若遇到已知威脅 -> 特徵碼式
  • 若遇到未知威脅 -> 異常式。

IPS:

• 和IDS不一樣的是會主動對偵測到的威脅作反應(將封包丟棄，阻擋....等)
• 一樣透過特徵來和資料庫比對
• 主要分為四種:
  IPS 系統主要分為四種：

1. NIPS
   • 監控整個網路區段的流量，保護整個子網。
   • 偵測到攻擊特徵時，會終止該連線。
2. 行為式入侵防禦系統（Network Behaviour Analysis - NBA）
   • 監控整個網路的流量，偵測異常行為。
   • 與NIPS類似，但NBA 系統需要訓練期，
   • 此方法對於未知或新型攻擊更有效。
3. WIPS
   • 專門監控無線網路的流量，防止從無線端發動的攻擊。
4. HIPS
   • 和 HIDS 類似，但 HIPS 會主動終止可疑連線，而不只是產生警報。