✅ 방화벽이 있는데도 IPS를 사용하는 이유

🔹 방화벽(Firewall) 역할

• 트래픽 흐름 제어
• 기본적으로 "어디서 → 어디로, 어떤 포트로" 들어오는 트래픽을 허용/차단
• L3~L4(일부 L7 포함) 수준의 접근 제어 수행
• 예시: 내부 PC → 외부 443포트 허용, 외부 → 내부 80포트 차단 등

❗️하지만 패킷 내용까지 검사하지는 않음

---

🔹 IPS (Intrusion Prevention System) 역할

• 패킷 내부까지 분석하여 공격을 실시간 탐지/차단
• L7 애플리케이션 계층까지 검사 (서명 기반 또는 행위 기반)
• 악성 코드, 익스플로잇, SQL 인젝션, 제로데이 공격 등 방화벽으로는 못 막는 위협 차단
• 패킷 단위로 딥 패킷 인스펙션(DPI) 수행

---

✅ 방화벽 vs IPS 비교

항목	방화벽 (Firewall)	IPS (침입 방지 시스템)
주요 역할	접근 제어 (출입 통제)	콘텐츠 분석 및 공격 탐지/차단
동작 계층	L3~L4 (일부 L7)	L4~L7
예시 차단 기준	IP, 포트, 프로토콜	패킷 내용, 공격 서명, 트래픽 패턴
탐지/차단 방식	룰 기반 (정적)	룰 + 시그니처 + 이상행위 기반 (동적)
탐지 예시	특정 포트 접근 차단	웹쉘, 버퍼 오버플로우, 랜섬웨어 통신 탐지
실시간 차단 여부	가능	가능 (일부는 IDS처럼 탐지만 하기도 함)

---

✅ 실무 예시

• 🔐 방화벽: 외부에서 내부 서버의 SSH 포트 접근 차단
• 🧠 IPS: 허용된 HTTP 요청 중에 XSS, SQL Injection 탐지 및 차단

---

✅ 왜 둘 다 필요할까?

• 방화벽만으로는 정상적인 포트로 침투하는 비정상 행위 탐지가 어려움
• IPS는 방화벽을 통과한 정상 포트의 비정상 트래픽을 탐지하여 2차 방어 수행
• 특히 요즘은 HTTPS 트래픽을 통한 공격도 많아, SSL 복호화 후 IPS 분석이 중요

---

✅ 결론

방화벽은 “누가 들어오는지”를 통제
IPS는 “무엇이 들어오는지”를 검사

따라서 둘은 보완 관계이며, 서로 다른 공격 벡터를 방어합니다.
기업 보안에서는 방화벽 + IPS + (필요시 IDS, APT) 구성으로 다계층 보안을 설계합니다.