🧱 Фаервол vs IDS

🧱 Фаервол (Firewall)

Система фильтрации трафика. Решает по правилам: пропустить пакет или заблокировать.

По расположению

• Сетевой — на границе сети (роутер). Пример: pfSense, Cisco ASA
• Хостовой — на конкретной машине. Пример: iptables, Windows Firewall, macOS pf

По глубине анализа

• Пакетный фильтр — только заголовки: IP, порт, протокол. Быстрый, но тупой
• Stateful — отслеживает состояние соединений. Знает что ACK относится к открытой сессии
• Application-level (WAF/NGFW) — разбирает HTTP, DNS. Блокирует SQLi, XSS. Пример: ModSecurity, Cloudflare WAF

👁 IDS (Intrusion Detection System)

Мониторит трафик и ищет подозрительное: сканирование портов, эксплойты, аномалии.

• NIDS (Network) — слушает сеть. Пример: Snort, Suricata
• HIDS (Host) — мониторит логи, файлы, процессы. Пример: OSSEC, Wazuh

⚔️ Ключевое отличие

Фаервол — блокирует трафик. Работает по правилам (allow/deny). Реакция мгновенная.

IDS — обнаруживает и алертит. Работает по сигнатурам + аномалиям. Реакция пост-фактум.

Если IDS ещё и блокирует — это уже IPS (Intrusion Prevention System).

Часто работают в связке: фаервол фильтрует → IDS ловит то, что прошло через фильтр.

🎯 Для пентестера

• filtered в Nmap = работа фаервола
• -sA → определяет stateful vs stateless
• -T1, -T2 — медленные сканы для обхода IDS
• -f, -D, --source-port 53 — техники обхода фаервола
• WAF обходится кодировками и обфускацией пейлоадов