随着技术能力的提高、平台的整合以及威胁格局的转变，这条线肯定会有些模糊。在他们的核心我们有

• 防火墙- 一种设备或应用程序，用于分析数据包标头并根据协议类型、源地址、目标地址、源端口和/或目标端口执行策略。不符合策略的数据包将被拒绝。
• 入侵检测系统- 一种设备或应用程序，用于分析整个数据包，包括标头和有效负载，以查找已知事件。当检测到已知事件时，会生成一条详细说明该事件的日志消息。
• 入侵防御系统- 一种设备或应用程序，用于分析整个数据包，包括标头和有效负载，以查找已知事件。当检测到已知事件时，数据包将被拒绝。

IDS 和 IPS 之间的功能差异相当微妙，通常只是配置设置的更改。例如，在瞻博网络 IDP 模块中，从检测更改为预防就像将下拉选择从 LOG 更改为 LOG/DROP 一样简单。在技​​术层面上，有时可能需要重新设计您的监控架构。

鉴于所有三个系统之间的相似性，随着时间的推移出现了一些趋同。例如，上面提到的瞻博网络 IDP 模块实际上是防火墙的附加组件。从网络流和管理的角度来看，防火墙和 IDP 在功能上是无法区分的，即使它们在技术上是两个独立的设备。

市场上也有很多关于下一代防火墙 (NGFW) 的讨论。这个概念仍然很新，每个供应商对什么构成 NGFW 都有自己的定义，但大多数人都同意它是一种单方面执行策略的设备，而不仅仅是网络数据包头信息。这可以使单个设备同时充当传统的防火墙和 IPS。有时会收集其他信息，例如流量来自哪个用户，从而允许更全面的策略实施。

假人的解释

• 防火墙 -> 门卫；他将所有试图通过敞开的地下室窗户等偷偷溜进来的人拒之门外，但是一旦有人通过官方大门进入，他就会让所有人进来，尤其是。房主带客人进来时；*防火墙从不阻止恶意流量 *，它只是根据端口/IP 允许或阻止流量

• IDS（被动）/ IPS（主动）：为客人搜索武器等的人；虽然他不能到处乱跑并阻止人们偷偷溜进来，但他能够搜索人们带来了什么

• IDS 主动与被动：在主动模式下 -> 踢屁股并能够阻止一段时间，在被动模式下 -> 只是发送警报

有些人愿意将 IPS 称为与主动 IDS 不同的唯一原因是出于营销目的。

主动 IDS 基本上称为 IPS。

IDS 是一种入侵检测系统。IPS 是一种入侵防御系统。

IDS 只监控流量。IDS 包含一个已知攻击特征的数据库。并将入站流量与数据库进行比较。如果检测到攻击，则 IDS 报告该攻击。但随后由管理员采取行动。主要缺陷是它们会产生大量误报。

IPS 位于防火墙和网络的其余部分之间。因此，它可以阻止可疑流量到达网络的其余部分。在决定让数据包进入网络之前，IPS 会监控入站数据包以及它们的实际用途。