網(wǎng)絡(luò)安全防范中，傳統(tǒng)的方法是對操作系統(tǒng)進行安全加固，通過各種各樣的安全補丁提高操作系統(tǒng)本身的抗攻擊性。這種方法雖然可以部分地解決系統(tǒng)的安全問題，但其缺點也很突出。俗話說，揚湯止沸，何如釜底抽薪。如果在網(wǎng)絡(luò)邊界檢查到攻擊包的同時將其直接拋棄，則攻擊包將無法到達目標(biāo)，從而可以從根本上避免黑客的攻擊。這樣，在新漏洞出現(xiàn)后，只需要撰寫一個過濾規(guī)則，就可以防止此類攻擊的威脅了。

火災(zāi)預(yù)警還是智能滅火

Gartner在今年6月發(fā)布的一個研究報告中稱入侵檢測系統(tǒng)（IDS, Intrusion Detection System）已經(jīng)“死”了，Gartner認為IDS不能給網(wǎng)絡(luò)帶來附加的安全，反而會增加管理員的困擾。建議用戶使用入侵防御系統(tǒng)（IPS, Intrusion Prevention System）來代替IDS。

Gartner的報告雖然語出驚人，但聯(lián)想到各大安全廠商紛紛在IPS領(lǐng)域有所動作，便知Gartner的這個報告并不是空穴來風(fēng)，可以預(yù)計IPS產(chǎn)品將會成為網(wǎng)絡(luò)安全中的一支生力軍。

從功能上來看，IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動地檢測網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限，一般只能通過發(fā)送TCP reset包或聯(lián)動防火墻來阻止攻擊。而IPS則是一種主動的、積極的入侵防范、阻止系統(tǒng)，它部署在網(wǎng)絡(luò)的進出口處，當(dāng)它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。舉一個簡單的例子，IDS就如同火災(zāi)預(yù)警裝置，火災(zāi)發(fā)生時，它會自動報警，但無法阻止火災(zāi)的蔓延，必須要有人來操作進行滅火。而IPS就像智能滅火裝置，當(dāng)它發(fā)現(xiàn)有火災(zāi)發(fā)生后，會主動采取措施滅火，中間不需要人的干預(yù)。

這也許就是最近幾個月來國外信息安全領(lǐng)域津津樂道的關(guān)于IDS（入侵檢測系統(tǒng)）還是IPS（入侵防御系統(tǒng)）大討論的原因之一吧！

IPS等于防火墻加上IDS

簡單地理解，可認為IPS就是防火墻加上入侵檢測系統(tǒng)。但并不是說IPS可以代替防火墻或入侵檢測系統(tǒng)。防火墻是粒度比較粗的訪問控制產(chǎn)品，它在基于TCP/IP協(xié)議的過濾方面表現(xiàn)出色，而且在大多數(shù)情況下，可以提供網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計等功能，甚至有的防火墻還能提供VPN功能。

和防火墻比較起來，IPS的功能比較單一，它只能串聯(lián)在網(wǎng)絡(luò)上（類似于通常所說的網(wǎng)橋式防火墻），對防火墻所不能過濾的攻擊進行過濾。這樣一個兩級的過濾模式，可以最大地保證系統(tǒng)的安全。一般來說，企業(yè)用戶關(guān)注的是自己的網(wǎng)絡(luò)能否避免被攻擊，對于能檢測到多少攻擊并不是很熱衷。但這并不是說入侵檢測系統(tǒng)就沒有用處，在一些專業(yè)的機構(gòu)，或?qū)W(wǎng)絡(luò)安全要求比較高的地方，入侵檢測系統(tǒng)和其他審計跟蹤產(chǎn)品結(jié)合，可以提供針對企業(yè)信息資源全面的審計資料，這些資料對于攻擊還原、入侵取證、異常事件識別、網(wǎng)絡(luò)故障排除等等都有很重要的作用。

IPS的檢測功能類似于IDS，但IPS檢測到攻擊后會采取行動阻止攻擊，可以說IPS是基于IDS的、是建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全產(chǎn)品。早在1980年，IDS的概念就已經(jīng)產(chǎn)生了。在1990年，出現(xiàn)了世界上第一個網(wǎng)絡(luò)入侵檢測系統(tǒng)。在早期，網(wǎng)絡(luò)入侵檢測產(chǎn)品存在著各種各樣的問題，例如誤報、漏報太多，運行不夠穩(wěn)定，高負載下性能太差，不能進行連接狀態(tài)分析等等，但經(jīng)過10多年的發(fā)展，IDS產(chǎn)品不斷成熟，從而使得IPS產(chǎn)品的產(chǎn)生有了穩(wěn)固的基礎(chǔ)。可以想象一下一個有著很高誤報率的IPS系統(tǒng)會使管理員多么惱火。幸好網(wǎng)絡(luò)安全技術(shù)的發(fā)展使得對于攻擊的識別率越來越高，從而將誤報率控制在用戶可以接受的水平。

IPS，讓你安心地隔岸觀火

實踐證明，單一功能的產(chǎn)品已不能滿足客戶的需求，安全產(chǎn)品的融合、協(xié)同、集中管理是網(wǎng)絡(luò)安全重要的發(fā)展方向。大型企業(yè)需要一體化的安全解決方案，需要細粒度的安全控制手段。中小企業(yè)一邊希望能夠獲得切實的安全保障，一邊又不可能對信息安全有太多的投入。從早期的主動響應(yīng)入侵檢測系統(tǒng)到入侵檢測系統(tǒng)與防火墻聯(lián)動，再到最近的入侵防御系統(tǒng)，是一個不斷完善的解決安全需求的過程。

信息安全產(chǎn)品的發(fā)展趨勢是不斷的走向融合，走向集中管理。但防火墻加入侵檢測產(chǎn)品互動的方式也有一些不足。首先使用兩個產(chǎn)品防御攻擊會使系統(tǒng)很復(fù)雜，任何一個產(chǎn)品發(fā)生故障都會導(dǎo)致安全防范體系的崩潰，而且兩個產(chǎn)品的維護成本也比較高。最重要的問題在于防火墻和入侵檢測產(chǎn)品的互動并沒有一個被廣泛認可的通用標(biāo)準(zhǔn)。這樣，用戶在采購安全產(chǎn)品的時候，不得不考慮到不同產(chǎn)品的交互性問題，從而限制了用戶選擇產(chǎn)品的范圍。

為了解決不同安全產(chǎn)品難于協(xié)作的問題，開發(fā)人員考慮將兩個產(chǎn)品的功能集成到一個產(chǎn)品內(nèi)。這樣就產(chǎn)生了NIPS（網(wǎng)絡(luò)入侵防御系統(tǒng)）。NIPS的出現(xiàn)有一個前提，就是入侵檢測產(chǎn)品的誤報率必須控制在可以接受的范圍內(nèi)。

對于IDS系統(tǒng)，用戶很自然地會有這樣的想法：既然可以檢測到攻擊行為，為什么不去阻止它呢？實際上，IDS系統(tǒng)的開發(fā)人員也確實是這樣去做的。在早期，開發(fā)人員試圖在網(wǎng)絡(luò)層對攻擊行為進行阻斷，這樣就產(chǎn)生了所謂的主動響應(yīng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)。但是這種主動響應(yīng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)只針對TCP流和UDP連接進行阻斷。顯然，IDS向IPS的發(fā)展，就是一個尋求在準(zhǔn)確檢測攻擊基礎(chǔ)上防御攻擊的過程，是IDS功能由單純的審計跟蹤到審計跟蹤結(jié)合訪問控制的擴展和延伸。

隨著互聯(lián)網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)上的攻擊行為越來越多、越來越泛濫，一臺剛剛聯(lián)網(wǎng)的計算機，在幾個小時之內(nèi)就有惡意黑客或蠕蟲趕來試圖侵入。在傳統(tǒng)的安全解決方案中，一個網(wǎng)絡(luò)安全管理員要和來自世界各地，成千上萬的黑客或惡意代碼進行斗爭，這樣往往使得網(wǎng)絡(luò)管理員疲于奔命、狼狽不堪。而使用IPS后，網(wǎng)絡(luò)管理員只需少數(shù)的幾次配置，也許就可以放心地隔岸觀火，由IPS系統(tǒng)來對付來自各處的攻擊了。