La linea si sta decisamente offuscando mentre la capacità tecnologica aumenta, le piattaforme sono integrate e il panorama delle minacce cambia. Nel loro nucleo abbiamo
-
Firewall : una periferica o un'applicazione che analizza le intestazioni dei pacchetti e applica i criteri in base al tipo di protocollo, all'indirizzo di origine, all'indirizzo di destinazione, alla porta di origine e / o alla porta di destinazione. I pacchetti che non corrispondono alla politica vengono rifiutati.
-
Sistema di rilevamento delle intrusioni : un dispositivo o un'applicazione che analizza interi pacchetti, sia di intestazione che di carico utile, alla ricerca di eventi noti. Quando viene rilevato un evento noto, viene generato un messaggio di registro che specifica l'evento.
-
Sistema di prevenzione delle intrusioni - Un dispositivo o un'applicazione che analizza interi pacchetti, sia di intestazione che di carico utile, alla ricerca di eventi noti. Quando viene rilevato un evento noto, il pacchetto viene rifiutato.
La differenza funzionale tra un IDS e un IPS è abbastanza sottile e spesso non è altro che una modifica alle impostazioni di configurazione. Ad esempio, in un modulo IDP Juniper, passare da Rilevazione a Prevenzione è facile come modificare una selezione a discesa da LOG a LOG / DROP. A livello tecnico a volte può richiedere la riprogettazione della tua architettura di monitoraggio.
Data la somiglianza tra tutti e tre i sistemi, c'è stata una certa convergenza nel tempo. Il modulo IDP Juniper menzionato sopra, ad esempio, è effettivamente un componente aggiuntivo di un firewall. Dal punto di vista amministrativo e del flusso di rete, il firewall e l'IDP sono funzionalmente indistinguibili anche se tecnicamente sono due dispositivi separati.
C'è anche molta discussione sul mercato di qualcosa chiamato Next Generation Firewall (NGFW). Il concetto è ancora abbastanza nuovo che ogni fornitore ha la propria definizione di ciò che costituisce un NGFW, ma per la maggior parte tutti concordano sul fatto che si tratta di un dispositivo che impone un criterio unilaterale su più di una semplice informazione di intestazione del pacchetto di rete. Ciò può far sì che un singolo dispositivo funga sia da firewall tradizionale che da IPS. Occasionalmente vengono raccolte informazioni aggiuntive, ad esempio da quale utente ha avuto origine il traffico, consentendo un'applicazione ancora più completa delle norme.