Qual è la differenza tra un anti-virus e un IPS?

Question

Qual è la differenza tra un anti-virus e un IPS?

#1 da (4 voti)
#2 da (0 voti)

4

A quanto ho capito, un sistema di protezione dalle intrusioni (IPS) rileva comportamenti anomali, rileva anomalie del protocollo e fa filtraggio delle firme che blocca malware, DDoS, ecc. Un antivirus esegue la scansione del traffico e blocca il malware.

Allora sono confuso - qual è la differenza?

Un IPS come Checkpoint aggiunge in ultima analisi la firma antivirus solo in IPS o utilizza un software completamente nuovo?

Suricata può funzionare come IPS e antivirus se aggiungo firme CLAMAV al suo interno?

firewalls antivirus antimalware ids

posta sfg2k 28.11.2017 - 20:37

fonte

2 risposte

Leggi altre domande sui tag firewalls antivirus antimalware ids

Come proteggere un back-end del server È sicuro cancellare un file in un disco Virtualbox se il file del disco vbox si trova su un SSD?

score 4 · Answer 1

Un buon modo semplicistico di pensare a questo è che un IPS è generalmente associato a un firewall, mentre l'AV è associato al software.

Nell'ambiente McAfee che amministro, utilizzo IPS per bloccare / consentire il traffico del firewall. Quindi prendo ciò che è noto e atteso e poi blocco il resto. IPS analizza anche quali applicazioni stanno comunicando su quali porte e dove.

L'antivirus, d'altra parte, considera il software che vuole essere eseguito sul dispositivo e lo confronta con un elenco di noti eseguibili non validi e, insieme all'euristica, contro un elenco di comportamenti errati noti. Quindi AV arresterebbe CryptoLocker bloccando il comportamento della crittografia e IPS lo bloccerebbe (teoricamente) bloccando il traffico sul proprio server C & C.

Non ho familiarità con Checkpoint, quindi ho intenzione di rimandare le risposte a questa domanda ad altre persone qui.

score 0 · Answer 2

Indipendentemente dal marchio che hanno, preferisco guardare in host-basedxx o network-basedxx, il lavoro che fanno nei livelli OSI / TCP. Potresti avere un laptop e un firewall attivati e / o prodotti AV in esecuzione sul tuo laptop.Tutti sono in esecuzione sul tuo laptop.Tutto il firewall è un server in esecuzione davanti a te. Pensa come un altro livello davanti al tuo laptop.Questo firewall fa quello che dovrebbe fare sulla rete.Venditori, quello menzionato pure , aggiungendo malware, avs, filtro URL etc ai propri prodotti.Il firewall è come un AV.Per l'istanza il gateway di sicurezza del checkpoint dispone di firewall, av ecc. come altre controparti. Alcuni venditori separano queste funzionalità, alcuni hanno in programma di inserire tutto, sotto nome simile alla prossima generazione fw o UTM. A volte trovo anche confusi i fogli dati di quei prodotti.