今天說三個常聽到但容易混的東西:防火牆(Firewall)、防毒/防惡意程式(Antivirus/Anti-malware)、和 IDS/IPS(入侵偵測 / 入侵防護系統)。簡單一句話區分它們的角色:
- 防火牆像是門口的門衛,決定誰能進出;
- 防毒像是醫生,發現並清除身體裡的病原(惡意程式);
- IDS/IPS 則像是監視器 + 衝突處理,發現可疑行為並(選擇性)主動攔截。
防火牆(Firewall)
- 功能:過濾流量,根據 IP、port、協定或規則允許或阻擋連線。
- 類型:網路層防火牆(基於 IP/port)、應用層防火牆(WAF,針對 HTTP/應用層)、主機型防火牆(Windows Defender Firewall)。
- 範例:公司防火牆會阻擋外部直接連到內網資料庫的請求;家用路由器簡單的防火牆會阻擋外部某些連線。
防毒 / 防惡意程式(Antivirus / Anti-malware)
- 功能:掃描並移除已知惡意程式(用病毒特徵碼、行為分析、沙箱等技術)。
- 優點:擅長處理已知威脅與檔案型攻擊(可掃描檔案、郵件附檔)。
- 限制:對於全新未知惡意程式(zero-day)可能偵測不完全,需要搭配行為式檢測與系統更新。
IDS vs IPS(入侵偵測系統 vs 入侵防護系統)
-
IDS(Intrusion Detection System):被動偵測與告警。發現可疑行為或攻擊指標後「通知管理員」,不直接阻斷。
-
IPS(Intrusion Prevention System):在偵測到攻擊時可以「主動攔截或丟棄封包」,防止攻擊繼續。
- 部署位置:通常放在網路邊界或重要網段之間,靠簽名比對或異常行為檢測來運作。
三者怎麼搭配比較好?
- 家用情境:用路由器防火牆 + 電腦上開防毒軟體就差不多。
- 企業情境:外層防火牆(阻擋不必要服務)→ WAF(保護 Web 應用)→ IDS/IPS(偵測與防護異常)→ 端點防毒(清除惡意程式)。
- 防守思路:邊界先擋(Firewall)→ 中間偵測(IDS/IPS)→ 端點處理(Antivirus)。
小技巧(實用、好用)
- 防火牆規則別開太寬:最小權限原則,能封鎖的就封鎖。
- 防毒要定期更新、不要只信「掃描一次就好」。
- IDS/IPS 的告警多半會有誤報(false positive),設置時要調校閾值,不然管理員會被告警淹沒。
總結
防火牆是「誰能進」,防毒是「有沒有病」,IDS/IPS 是「有沒有可疑行為,要不要出手」。三者合起來,才能把攻擊面降到最低。