國家互聯網應急中心《2013年中國互聯網網絡安全報告》顯示，2013年我國境內感染木馬僵尸網絡的主機為1135萬個，被篡改的網站數量為24034個。

面對層出不窮的互聯網攻擊，我們應該如何進行防御？今天小編為大家對比兩款入侵防護設備，IPS和下一代防火墻。

IPS能夠依據已知漏洞特征庫，對被明確判斷為攻擊行為，會對網絡、數據造成危害的惡意行為進行檢測和防御。IPS依賴已知漏洞進行攻擊防御的特點，使其無法有效抵御0day漏洞等黑客攻擊。下一代防火墻是一款能夠為用戶提供有效地應用層一體化安全防護的高性能防火墻，其入侵防御功能遠遠優于IPS。下面讓我就深信服下一代防火墻（NGAF）的入侵防御功能展開介紹，為您呈現下一代防火墻的入侵防御特色。

深信服下一代防火墻的入侵防御優勢

衡量入侵防御功能主要看特征庫的完善程度、更新頻率、對威脅的識別率，以及能否有效防御web漏洞攻擊等方面的內容。

完善的漏洞特征庫

根據CVE標準，IPS產品需要滿足能夠收錄最近5年重要的操作系統漏洞及應用系統漏洞，特征庫要大于4000條，深信服下一代防火墻的特征庫遠高于此數字。同時，我們還是微軟MAPP成員，每月可提早發布微軟漏洞并更新特征庫，確保您的網絡免受最新的微軟系統漏洞攻擊。

　　快速的威脅更新

對于特征庫的更新，深信服安全團隊每天都有專業工程師收集0day漏洞，在特征庫原有數目的基礎上，保持每2周一次的更新補充。遇到重大安全威脅，我們會在24小時內對威脅進行分析并及時更新特征庫，保障您的網絡安全。

　　先進的特征識別方式

IPS基于數據包的傳統DPI識別模式，其檢測方式具有較高的誤報率，處理效率低下。深信服下一代防火墻（NGAF）除提供IPS傳統匹配方式，還為您提供應用內容的深度識別，它能有效提高數據包掃描效率，增加掃描精確性，降低誤報率。

　　完整的web攻擊防御體系

深信服下一代防火墻（NGAF）在原有的4000余條漏洞特征庫的基礎上，額外提供超過2000條的web漏洞攻擊特征識別庫，幫您識別和防御基于web框架漏洞的攻擊，還提供多種防逃逸防繞過的檢測手段，避免攻擊包繞過檢測進入內網。IPS由于沒有專門的獨立特征識別庫和防逃逸防繞過檢測，很難對web漏洞進行高安全級別的防護。

APT攻擊、僵尸網絡的防御

深信服下一代防火墻（NGAF）可實現建立雙向威脅檢測模型，其獨有的僵尸網絡檢測隔離功能，通過對外發流量進行檢測，可判斷您網絡中的服務器或終端是否感染了病毒木馬。深信服下一代防火墻（NGAF）的智能聯動功能，通過各安全模塊間的聯動，為APT攻擊防護提供從主機層、網絡層到應用層的L2-L7層入侵防御，通過關聯分析準確定位出APT攻擊，從而阻斷黑客的攻擊行為。

面對全新的互聯網環境，IPS的時代已經一去不返。為應對當前與未來新一代的網絡安全威脅，下一代防火墻應運而生。深信服下一代防火墻完善的入侵防御功能，能夠有效抵御新型黑客攻擊，為您的網絡保駕護航。

專業安全防護，深信服一直在您身邊！