大型企业网络架构

目录

DMZ区

办公区

核心区

访问限制

堡垒机

---

注：图中防火墙和IPS更换位置

可以看到，在大型企业网络架构中，有非常多的产品：交换机、路由器、防火墙、IDS、IPS、服务器等设备。

那么有很多人会问，有了防火墙为什么还要IPS和IDS呢？

防火墙较多的应用在内网保护（NAT），流控，过滤等方面；而在对攻击方面的检测和防御方面相对较弱、所以就需要IDS和IPS。

而IDS（Intrusion Detection Systems），只是做些攻击的检测工作，本身并不做防护，它检测到攻击的时候，可能此时攻击已经产生灾难了，所以IDS一般都需要和一些防攻击设备IPS共用；

IPS（Intrusion Prevention System)，它不光对已知的攻击种类能防御，还能检测些异常协议的攻击，比较灵活。

• 防火墙是防御系统，属于访问控制类产品
• IDS是入侵检测系统，属于审计类产品
• IP