網(wǎng)絡(luò)安全防范中，傳統(tǒng)的方法是對(duì)操作系統(tǒng)進(jìn)行安全加固，通過各種各樣的安全補(bǔ)丁提高操作系統(tǒng)本身的抗攻擊性。這種方法雖然可以部分地解決系統(tǒng)的安全問題，但其缺點(diǎn)也很突出。俗話說，揚(yáng)湯止沸，何如釜底抽薪。如果在網(wǎng)絡(luò)邊界檢查到攻擊包的同時(shí)將其直接拋棄，則攻擊包將無(wú)法到達(dá)目標(biāo)，從而可以從根本上避免黑客的攻擊。這樣，在新漏洞出現(xiàn)后，只需要撰寫一個(gè)過濾規(guī)則，就可以防止此類攻擊的威脅了。

火災(zāi)預(yù)警還是智能滅火

Gartner在今年6月發(fā)布的一個(gè)研究報(bào)告中稱入侵檢測(cè)系統(tǒng)（IDS, Intrusion Detection System）已經(jīng)“死”了，Gartner認(rèn)為IDS不能給網(wǎng)絡(luò)帶來(lái)附加的安全，反而會(huì)增加管理員的困擾。建議用戶使用入侵防御系統(tǒng)（IPS, Intrusion Prevention System）來(lái)代替IDS。

Gartner的報(bào)告雖然語(yǔ)出驚人，但聯(lián)想到各大安全廠商紛紛在IPS領(lǐng)域有所動(dòng)作，便知Gartner的這個(gè)報(bào)告并不是空穴來(lái)風(fēng)，可以預(yù)計(jì)IPS產(chǎn)品將會(huì)成為網(wǎng)絡(luò)安全中的一支生力軍。

從功能上來(lái)看，IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備，它只能被動(dòng)地檢測(cè)網(wǎng)絡(luò)遭到了何種攻擊，它的阻斷攻擊能力非常有限，一般只能通過發(fā)送TCP reset包或聯(lián)動(dòng)防火墻來(lái)阻止攻擊。而IPS則是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng)，它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測(cè)到攻擊企圖后，它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。舉一個(gè)簡(jiǎn)單的例子，IDS就如同火災(zāi)預(yù)警裝置，火災(zāi)發(fā)生時(shí)，它會(huì)自動(dòng)報(bào)警，但無(wú)法阻止火災(zāi)的蔓延，必須要有人來(lái)操作進(jìn)行滅火。而IPS就像智能滅火裝置，當(dāng)它發(fā)現(xiàn)有火災(zāi)發(fā)生后，會(huì)主動(dòng)采取措施滅火，中間不需要人的干預(yù)。

這也許就是最近幾個(gè)月來(lái)國(guó)外信息安全領(lǐng)域津津樂道的關(guān)于IDS（入侵檢測(cè)系統(tǒng)）還是IPS（入侵防御系統(tǒng)）大討論的原因之一吧！

IPS等于防火墻加上IDS

簡(jiǎn)單地理解，可認(rèn)為IPS就是防火墻加上入侵檢測(cè)系統(tǒng)。但并不是說IPS可以代替防火墻或入侵檢測(cè)系統(tǒng)。防火墻是粒度比較粗的訪問控制產(chǎn)品，它在基于TCP/IP協(xié)議的過濾方面表現(xiàn)出色，而且在大多數(shù)情況下，可以提供網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計(jì)等功能，甚至有的防火墻還能提供VPN功能。

和防火墻比較起來(lái)，IPS的功能比較單一，它只能串聯(lián)在網(wǎng)絡(luò)上（類似于通常所說的網(wǎng)橋式防火墻），對(duì)防火墻所不能過濾的攻擊進(jìn)行過濾。這樣一個(gè)兩級(jí)的過濾模式，可以最大地保證系統(tǒng)的安全。一般來(lái)說，企業(yè)用戶關(guān)注的是自己的網(wǎng)絡(luò)能否避免被攻擊，對(duì)于能檢測(cè)到多少攻擊并不是很熱衷。但這并不是說入侵檢測(cè)系統(tǒng)就沒有用處，在一些專業(yè)的機(jī)構(gòu)，或?qū)W(wǎng)絡(luò)安全要求比較高的地方，入侵檢測(cè)系統(tǒng)和其他審計(jì)跟蹤產(chǎn)品結(jié)合，可以提供針對(duì)企業(yè)信息資源全面的審計(jì)資料，這些資料對(duì)于攻擊還原、入侵取證、異常事件識(shí)別、網(wǎng)絡(luò)故障排除等等都有很重要的作用。

IPS的檢測(cè)功能類似于IDS，但I(xiàn)PS檢測(cè)到攻擊后會(huì)采取行動(dòng)阻止攻擊，可以說IPS是基于IDS的、是建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全產(chǎn)品。早在1980年，IDS的概念就已經(jīng)產(chǎn)生了。在1990年，出現(xiàn)了世界上第一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。在早期，網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品存在著各種各樣的問題，例如誤報(bào)、漏報(bào)太多，運(yùn)行不夠穩(wěn)定，高負(fù)載下性能太差，不能進(jìn)行連接狀態(tài)分析等等，但經(jīng)過10多年的發(fā)展，IDS產(chǎn)品不斷成熟，從而使得IPS產(chǎn)品的產(chǎn)生有了穩(wěn)固的基礎(chǔ)。可以想象一下一個(gè)有著很高誤報(bào)率的IPS系統(tǒng)會(huì)使管理員多么惱火。幸好網(wǎng)絡(luò)安全技術(shù)的發(fā)展使得對(duì)于攻擊的識(shí)別率越來(lái)越高，從而將誤報(bào)率控制在用戶可以接受的水平。

IPS，讓你安心地隔岸觀火

實(shí)踐證明，單一功能的產(chǎn)品已不能滿足客戶的需求，安全產(chǎn)品的融合、協(xié)同、集中管理是網(wǎng)絡(luò)安全重要的發(fā)展方向。大型企業(yè)需要一體化的安全解決方案，需要細(xì)粒度的安全控制手段。中小企業(yè)一邊希望能夠獲得切實(shí)的安全保障，一邊又不可能對(duì)信息安全有太多的投入。從早期的主動(dòng)響應(yīng)入侵檢測(cè)系統(tǒng)到入侵檢測(cè)系統(tǒng)與防火墻聯(lián)動(dòng)，再到最近的入侵防御系統(tǒng)，是一個(gè)不斷完善的解決安全需求的過程。

信息安全產(chǎn)品的發(fā)展趨勢(shì)是不斷的走向融合，走向集中管理。但防火墻加入侵檢測(cè)產(chǎn)品互動(dòng)的方式也有一些不足。首先使用兩個(gè)產(chǎn)品防御攻擊會(huì)使系統(tǒng)很復(fù)雜，任何一個(gè)產(chǎn)品發(fā)生故障都會(huì)導(dǎo)致安全防范體系的崩潰，而且兩個(gè)產(chǎn)品的維護(hù)成本也比較高。最重要的問題在于防火墻和入侵檢測(cè)產(chǎn)品的互動(dòng)并沒有一個(gè)被廣泛認(rèn)可的通用標(biāo)準(zhǔn)。這樣，用戶在采購(gòu)安全產(chǎn)品的時(shí)候，不得不考慮到不同產(chǎn)品的交互性問題，從而限制了用戶選擇產(chǎn)品的范圍。

為了解決不同安全產(chǎn)品難于協(xié)作的問題，開發(fā)人員考慮將兩個(gè)產(chǎn)品的功能集成到一個(gè)產(chǎn)品內(nèi)。這樣就產(chǎn)生了NIPS（網(wǎng)絡(luò)入侵防御系統(tǒng)）。NIPS的出現(xiàn)有一個(gè)前提，就是入侵檢測(cè)產(chǎn)品的誤報(bào)率必須控制在可以接受的范圍內(nèi)。

對(duì)于IDS系統(tǒng)，用戶很自然地會(huì)有這樣的想法：既然可以檢測(cè)到攻擊行為，為什么不去阻止它呢？實(shí)際上，IDS系統(tǒng)的開發(fā)人員也確實(shí)是這樣去做的。在早期，開發(fā)人員試圖在網(wǎng)絡(luò)層對(duì)攻擊行為進(jìn)行阻斷，這樣就產(chǎn)生了所謂的主動(dòng)響應(yīng)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。但是這種主動(dòng)響應(yīng)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)只針對(duì)TCP流和UDP連接進(jìn)行阻斷。顯然，IDS向IPS的發(fā)展，就是一個(gè)尋求在準(zhǔn)確檢測(cè)攻擊基礎(chǔ)上防御攻擊的過程，是IDS功能由單純的審計(jì)跟蹤到審計(jì)跟蹤結(jié)合訪問控制的擴(kuò)展和延伸。

隨著互聯(lián)網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)上的攻擊行為越來(lái)越多、越來(lái)越泛濫，一臺(tái)剛剛聯(lián)網(wǎng)的計(jì)算機(jī)，在幾個(gè)小時(shí)之內(nèi)就有惡意黑客或蠕蟲趕來(lái)試圖侵入。在傳統(tǒng)的安全解決方案中，一個(gè)網(wǎng)絡(luò)安全管理員要和來(lái)自世界各地，成千上萬(wàn)的黑客或惡意代碼進(jìn)行斗爭(zhēng)，這樣往往使得網(wǎng)絡(luò)管理員疲于奔命、狼狽不堪。而使用IPS后，網(wǎng)絡(luò)管理員只需少數(shù)的幾次配置，也許就可以放心地隔岸觀火，由IPS系統(tǒng)來(lái)對(duì)付來(lái)自各處的攻擊了。