防火墙·WAF·IDS/IPS的区别|IT护照考试对策
针对IT护照考试,整理了保护网络的代表性安全设备——防火墙、WAF、IDS、IPS的作用、工作层区别及出题要点。
为什么需要多种安全设备
攻击发生在OSI参考模型的各个层,因此需要针对不同层配备相应的防御设备。防火墙(FW)、WAF、IDS、IPS这四种设备在IT护照考试的安全领域频繁出现。它们根据“查看哪个层”、“仅检测还是同时阻断”来区分作用。
四种设备的比较表
| 设备 | 主要工作层 | 防御对象 | 动作 |
|---|---|---|---|
| 防火墙 (FW) | 网络层~传输层 | 基于IP地址、端口号的通信控制 | 阻断 |
| WAF | 应用层 | 针对Web应用的攻击(SQL注入、XSS等) | 阻断 |
| IDS | 网络层~应用层 | 非法入侵的迹象 | 仅检测 |
| IPS | 网络层~应用层 | 非法入侵的迹象 | 检测 + 阻断 |
如果能从零开始画出这张表,就能应对大部分高频问题。关于OSI参考模型各层的详细说明,请参考OSI参考模型7层。
防火墙(FW)
防火墙是最基本的边界防御设备,部署在企业内部网络与外部网络的边界。通信控制方式包括“白名单方式”(仅允许明确许可的通信通过)和“黑名单方式”。代表性类型有:包过滤型、状态检测型、应用网关型。不过,防火墙存在无法检查HTTP内容(请求体)的局限性。
WAF(Web应用防火墙)
WAF是专用于Web应用的防火墙,检查HTTP/HTTPS的请求内容。可防御的攻击示例包括:SQL注入、跨站脚本攻击(XSS)、CSRF、非法输入值等。WAF弥补了防火墙无法看到的应用层攻击。
IDS与IPS的区别
IDS(入侵检测系统)仅检测入侵并记录日志、发送通知,不会阻止通信本身。而IPS(入侵防御系统)除了检测之外,还会自动进行阻断。但需要注意,误检测时存在阻断正常通信的风险。考试中,通过“仅检测=IDS、阻断=IPS”这样的动词来记忆,能直接得分。
IT护照考试中的出题要点
四种设备的作用识别是高频考点,尤其会问FW与WAF防御对象的区别、IDS与IPS动作的区别。也可能在DMZ(非军事区)设备选择、零信任、多层防御的背景下出题。
历年真题的典型模式
- “防止Web应用攻击的设备是哪个?”型 → WAF
- “仅检测入侵的设备是哪个?”型 → IDS
相关术语
- 加密与SSL/TLS(加密基础)
- 认证与授权的区别(认证与授权的区别)
- TCP/IP的端口号(TCP/IP协议基础)
学习技巧
用“层”、“防御对象”、“动作”三个轴将四种设备整理成表格,更容易理清思路。将FW比作入口的门卫、WAF比作Web应用的专属保安、IDS比作监控摄像头、IPS比作监控摄像头+警报器,这种拟人化记忆也很有效。结合DMZ、多层防御等概念来理解,能灵活应用。
总结
如果能区分四种设备的工作层和防御对象,就能稳定拿下高频题目。想系统练习技术类内容,请访问技术类汇总;想进行实战模拟,请前往模拟考试。
関連記事
网络攻击类型总结|面向IT护照考试整理的恶意软件、勒索软件、定向攻击
针对IT护照考试中涉及的勒索软件、定向攻击、SQL注入、XSS、钓鱼、DoS等网络攻击类型及对策进行整理。
数字签名与时间戳的原理|IT护照考试备考
整理数字签名(电子签名)的原理、时间戳的作用、PKI与认证机构(CA)的关系,范围涵盖IT护照考试所问内容。
零信任架构是什么?|与传统边界防御的区别——面向IT护照考试整理
面向IT护照考试,整理零信任的基本原则、与传统边界防御的区别,以及其与SASE、SD-WAN的关系。