A．防火墙工作在网络层，仅能基于IP和端口过滤；IPS工作在应用层，可识别攻击特征并主动阻断。

B．IPS应部署在防火墙之前，以便先清洗攻击流量，减轻防火墙压力。

C．现代下一代防火墙（NGFW）已完全取代IPS，无需单独部署IPS设备。

D．防火墙和IPS都无法防御加密流量中的攻击，必须先在设备上解密所有流量。