Die Linie verwischt definitiv etwas, wenn die technologische Kapazität steigt, Plattformen integriert werden und sich die Bedrohungslandschaft verschiebt. Im Kern haben wir
- Firewall - Ein Gerät oder eine Anwendung, die Paket-Header analysiert und Richtlinien basierend auf Protokolltyp, Quelladresse, Zieladresse, Quellport und erzwingt / oder Zielhafen. Pakete, die nicht mit der Richtlinie übereinstimmen, werden abgelehnt.
- Intrusion Detection System - Ein Gerät oder eine Anwendung, die ganze Pakete, sowohl Header als auch Payload, auf bekannte Ereignisse untersucht. Wenn ein bekanntes Ereignis erkannt wird, wird eine Protokollnachricht generiert, in der das Ereignis detailliert beschrieben wird.
- Intrusion Prevention System - Ein Gerät oder eine Anwendung, die ganze Pakete, sowohl Header als auch Nutzdaten, nach bekannten analysiert Veranstaltungen. Wenn ein bekanntes Ereignis erkannt wird, wird das Paket zurückgewiesen.
Der Funktionsunterschied zwischen einem IDS und einem IPS ist ziemlich subtil und häufig nur eine Änderung der Konfigurationseinstellungen. In einem Juniper IDP-Modul ist der Wechsel von Erkennung zu Prävention so einfach wie das Ändern einer Dropdown-Auswahl von LOG zu LOG / DROP. Auf technischer Ebene kann es manchmal erforderlich sein, Ihre Überwachungsarchitektur neu zu gestalten.
Angesichts der Ähnlichkeit zwischen allen drei Systemen gab es im Laufe der Zeit eine gewisse Konvergenz. Das oben erwähnte Juniper IDP-Modul ist beispielsweise effektiv eine Zusatzkomponente zu einer Firewall. Aus Sicht des Netzwerkflusses und der Verwaltung sind Firewall und IDP funktional nicht unterscheidbar, selbst wenn es sich technisch gesehen um zwei separate Geräte handelt.
Es gibt auch viele Marktdiskussionen über eine sogenannte Next Generation Firewall (NGFW). Das Konzept ist noch neu genug, dass jeder Anbieter seine eigene Definition hat, was eine NGFW ausmacht, aber zum größten Teil sind sich alle einig, dass es sich um ein Gerät handelt, das Richtlinien einseitig über mehr als nur Netzwerkpaket-Header-Informationen erzwingt. Dadurch kann ein einzelnes Gerät sowohl als herkömmliche Firewall als auch als IPS fungieren. Gelegentlich werden zusätzliche Informationen gesammelt, z. B. von welchem Benutzer der Datenverkehr stammt, was eine noch umfassendere Durchsetzung von Richtlinien ermöglicht.