iT邦幫忙

1

資安入門與實務應用介紹 7:防火牆、防毒與 IDS/IPS 差異

  • 分享至 

  • xImage
  •  

今天說三個常聽到但容易混的東西:防火牆(Firewall)防毒/防惡意程式(Antivirus/Anti-malware)、和 IDS/IPS(入侵偵測 / 入侵防護系統)。簡單一句話區分它們的角色:

  • 防火牆像是門口的門衛,決定誰能進出;
  • 防毒像是醫生,發現並清除身體裡的病原(惡意程式);
  • IDS/IPS 則像是監視器 + 衝突處理,發現可疑行為並(選擇性)主動攔截。

防火牆(Firewall)

  • 功能:過濾流量,根據 IP、port、協定或規則允許或阻擋連線。
  • 類型:網路層防火牆(基於 IP/port)、應用層防火牆(WAF,針對 HTTP/應用層)、主機型防火牆(Windows Defender Firewall)。
  • 範例:公司防火牆會阻擋外部直接連到內網資料庫的請求;家用路由器簡單的防火牆會阻擋外部某些連線。

防毒 / 防惡意程式(Antivirus / Anti-malware)

  • 功能:掃描並移除已知惡意程式(用病毒特徵碼、行為分析、沙箱等技術)。
  • 優點:擅長處理已知威脅與檔案型攻擊(可掃描檔案、郵件附檔)。
  • 限制:對於全新未知惡意程式(zero-day)可能偵測不完全,需要搭配行為式檢測與系統更新。

IDS vs IPS(入侵偵測系統 vs 入侵防護系統)

  • IDS(Intrusion Detection System):被動偵測與告警。發現可疑行為或攻擊指標後「通知管理員」,不直接阻斷。
  • IPS(Intrusion Prevention System):在偵測到攻擊時可以「主動攔截或丟棄封包」,防止攻擊繼續。
  • 部署位置:通常放在網路邊界或重要網段之間,靠簽名比對或異常行為檢測來運作。

三者怎麼搭配比較好?

  • 家用情境:用路由器防火牆 + 電腦上開防毒軟體就差不多。
  • 企業情境:外層防火牆(阻擋不必要服務)→ WAF(保護 Web 應用)→ IDS/IPS(偵測與防護異常)→ 端點防毒(清除惡意程式)。
  • 防守思路:邊界先擋(Firewall)→ 中間偵測(IDS/IPS)→ 端點處理(Antivirus)。

小技巧(實用、好用)

  • 防火牆規則別開太寬:最小權限原則,能封鎖的就封鎖。
  • 防毒要定期更新、不要只信「掃描一次就好」。
  • IDS/IPS 的告警多半會有誤報(false positive),設置時要調校閾值,不然管理員會被告警淹沒。

總結

防火牆是「誰能進」,防毒是「有沒有病」,IDS/IPS 是「有沒有可疑行為,要不要出手」。三者合起來,才能把攻擊面降到最低。


圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言