考虑这一点的一个很好的简单方法是，IPS 通常与防火墙相关联，而 AV 与软件相关联。

在我管理的 McAfee 环境中，我使用 IPS 来阻止/允许防火墙流量。所以我采用已知和预期的，然后阻止其余的。IPS 还查看哪些应用程序正在通过哪些端口以及到哪里进行通信。

另一方面，防病毒软件会查看想要在您的设备上运行的软件，并将其与已知不良可执行文件列表进行比较，并与启发式方法一起与已知不良行为列表进行比较。因此 AV 会通过阻止加密行为来阻止 CryptoLocker，而 IPS 会（理论上）通过阻止其 C&C 服务器的流量来阻止它。

我对 Checkpoint 不熟悉，所以我将把这个问题的答案交给这里的其他人。

两者都不存在了，因为它不是 1999 年。它是 2019 年。

• AV 至少在 2013 年被 EDR 取代
• IPS 在 2014 年被 UBA 取代

您正在寻找的是端点检测和响应平台和/或用户行为分析平台。两者都可以在端点和网络数据的组合上工作——而且还提供资产和指标搜索功能。

旧工具很难适应这种新范式。通常没有直接的相关性。你不能说 Suricata 是 UBA 或 ClamAV 是 EDR。他们不是，而且很可能永远不会。

不管他们有什么品牌，我更喜欢查看基于主机的xx 或基于网络的xx，他们在OSI/TCP 级别上所做的工作。您可能有一台笔记本电脑和激活的防火墙和/或在您的笔记本电脑上运行的 AV 产品。所有这些都在您的笔记本电脑上运行。然而防火墙产品是在你面前运行的一些服务器。将其视为笔记本电脑之前的另一层。这个防火墙做了它应该在网络上做的事情。

供应商，也提到了，在他们的产品中添加了恶意软件、avs、url 过滤等。防火墙就像一个 AV。例如，检查点安全网关与其他同类产品一样具有防火墙、AV 等刀片。一些供应商将这些功能分开。有些人计划以下一代防火墙或 UTM 之类的名义将所有内容都放入其中。有时我也会发现这些产品的数据表令人困惑。