国家互联网应急中心《2013年中国互联网网络安全报告》显示，2013年我国境内感染木马僵尸网络的主机为1135万个，被篡改的网站数量为24034个。

　　面对层出不穷的互联网攻击，我们应该如何进行防御？今天小编为大家对比两款入侵防护设备，IPS和下一代防火墙。

　　IPS能够依据已知漏洞特征库，对被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御。IPS依赖已知漏洞进行攻击防御的特点，使其无法有效抵御0day漏洞等黑客攻击。下一代防火墙是一款能够为用户提供有效地应用层一体化安全防护的高性能防火墙，其入侵防御功能远远优于IPS。下面让我就深信服下一代防火墙（NGAF）的入侵防御功能展开介绍，为您呈现下一代防火墙的入侵防御特色。

　　衡量入侵防御功能主要看特征库的完善程度、更新频率、对威胁的识别率，以及能否有效防御web漏洞攻击等方面的内容。

　　根据CVE标准，IPS产品需要满足能够收录最近5年重要的操作系统漏洞及应用系统漏洞，特征库要大于4000条，深信服下一代防火墙的特征库远高于此数字。同时，我们还是微软MAPP成员，每月可提早发布微软漏洞并更新特征库，确保您的网络免受最新的微软系统漏洞攻击。

　　对于特征库的更新，深信服安全团队每天都有专业工程师收集0day漏洞，在特征库原有数目的基础上，保持每2周一次的更新补充。遇到重大安全威胁，我们会在24小时内对威胁进行分析并及时更新特征库，保障您的网络安全。

　　IPS基于数据包的传统DPI识别模式，其检测方式具有较高的误报率，处理效率低下。深信服下一代防火墙（NGAF）除提供IPS传统匹配方式，还为您提供应用内容的深度识别，它能有效提高数据包扫描效率，增加扫描精确性，降低误报率。

　　深信服下一代防火墙（NGAF）在原有的4000余条漏洞特征库的基础上，额外提供超过2000条的web漏洞攻击特征识别库，帮您识别和防御基于web框架漏洞的攻击，还提供多种防逃逸防绕过的检测手段，避免攻击包绕过检测进入内网。IPS由于没有专门的独立特征识别库和防逃逸防绕过检测，很难对web漏洞进行高安全级别的防护。

　　深信服下一代防火墙（NGAF）可实现建立双向威胁检测模型，其独有的僵尸网络检测隔离功能，通过对外发流量进行检测，可判断您网络中的服务器或终端是否感染了病毒木马。深信服下一代防火墙（NGAF）的智能联动功能，通过各安全模块间的联动，为APT攻击防护提供从主机层、网络层到应用层的L2-L7层入侵防御，通过关联分析准确定位出APT攻击，从而阻断黑客的攻击行为。

　　面对全新的互联网环境，IPS的时代已经一去不返。为应对当前与未来新一代的网络安全威胁，下一代防火墙应运而生。深信服下一代防火墙完善的入侵防御功能，能够有效抵御新型黑客攻击，为您的网络保驾护航。

　　专业安全防护，深信服一直在您身边！