國家互聯(lián)網(wǎng)應急中心《2013年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》顯示，2013年我國境內(nèi)感染木馬僵尸網(wǎng)絡的主機為1135萬個，被篡改的網(wǎng)站數(shù)量為24034個。

面對層出不窮的互聯(lián)網(wǎng)攻擊，我們應該如何進行防御？今天小編為大家對比兩款入侵防護設備，IPS和下一代防火墻。

IPS能夠依據(jù)已知漏洞特征庫，對被明確判斷為攻擊行為，會對網(wǎng)絡、數(shù)據(jù)造成危害的惡意行為進行檢測和防御。IPS依賴已知漏洞進行攻擊防御的特點，使其無法有效抵御0day漏洞等黑客攻擊。下一代防火墻是一款能夠為用戶提供有效地應用層一體化安全防護的高性能防火墻，其入侵防御功能遠遠優(yōu)于IPS。下面讓我就深信服下一代防火墻（NGAF）的入侵防御功能展開介紹，為您呈現(xiàn)下一代防火墻的入侵防御特色。

深信服下一代防火墻的入侵防御優(yōu)勢

衡量入侵防御功能主要看特征庫的完善程度、更新頻率、對威脅的識別率，以及能否有效防御web漏洞攻擊等方面的內(nèi)容。

完善的漏洞特征庫

根據(jù)CVE標準，IPS產(chǎn)品需要滿足能夠收錄最近5年重要的操作系統(tǒng)漏洞及應用系統(tǒng)漏洞，特征庫要大于4000條，深信服下一代防火墻的特征庫遠高于此數(shù)字。同時，我們還是微軟MAPP成員，每月可提早發(fā)布微軟漏洞并更新特征庫，確保您的網(wǎng)絡免受最新的微軟系統(tǒng)漏洞攻擊。

　　快速的威脅更新

對于特征庫的更新，深信服安全團隊每天都有專業(yè)工程師收集0day漏洞，在特征庫原有數(shù)目的基礎上，保持每2周一次的更新補充。遇到重大安全威脅，我們會在24小時內(nèi)對威脅進行分析并及時更新特征庫，保障您的網(wǎng)絡安全。

　　先進的特征識別方式

IPS基于數(shù)據(jù)包的傳統(tǒng)DPI識別模式，其檢測方式具有較高的誤報率，處理效率低下。深信服下一代防火墻（NGAF）除提供IPS傳統(tǒng)匹配方式，還為您提供應用內(nèi)容的深度識別，它能有效提高數(shù)據(jù)包掃描效率，增加掃描精確性，降低誤報率。

　　完整的web攻擊防御體系

深信服下一代防火墻（NGAF）在原有的4000余條漏洞特征庫的基礎上，額外提供超過2000條的web漏洞攻擊特征識別庫，幫您識別和防御基于web框架漏洞的攻擊，還提供多種防逃逸防繞過的檢測手段，避免攻擊包繞過檢測進入內(nèi)網(wǎng)。IPS由于沒有專門的獨立特征識別庫和防逃逸防繞過檢測，很難對web漏洞進行高安全級別的防護。

APT攻擊、僵尸網(wǎng)絡的防御

深信服下一代防火墻（NGAF）可實現(xiàn)建立雙向威脅檢測模型，其獨有的僵尸網(wǎng)絡檢測隔離功能，通過對外發(fā)流量進行檢測，可判斷您網(wǎng)絡中的服務器或終端是否感染了病毒木馬。深信服下一代防火墻（NGAF）的智能聯(lián)動功能，通過各安全模塊間的聯(lián)動，為APT攻擊防護提供從主機層、網(wǎng)絡層到應用層的L2-L7層入侵防御，通過關聯(lián)分析準確定位出APT攻擊，從而阻斷黑客的攻擊行為。

面對全新的互聯(lián)網(wǎng)環(huán)境，IPS的時代已經(jīng)一去不返。為應對當前與未來新一代的網(wǎng)絡安全威脅，下一代防火墻應運而生。深信服下一代防火墻完善的入侵防御功能，能夠有效抵御新型黑客攻擊，為您的網(wǎng)絡保駕護航。