1. 入侵檢測系統(IDS)

　　IDS是英文“Intrusion Detection Systems”的縮寫，中文意思是“入侵檢測系統”。專業上講就是依照一定的安全策略，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。

　　我們做一個比喻——假如防火墻是一幢大廈的門鎖，那么IDS就是這幢大廈里的監視系統。一旦小偷進入了大廈，或內部人員有越界行為，只有實時監視系統才能發現情況并發出警告。

　　與防火墻不同的是，IDS入侵檢測系統是一個旁路監聽設備，沒有也不需要跨接在任何鏈路上，無須網絡流量流經它便可以工作。因此，對IDS的部署的唯一要求是：IDS應當掛接在所有所關注的流量都必須流經的鏈路上。在這里，“所關注流量”指的是來自高危網絡區域的訪問流量和需要進行統計、監視的網絡報文。

　　IDS在交換式網絡中的位置一般選擇為：盡可能靠近攻擊源、盡可能靠近受保護資源。

　　這些位置通常是：

　　 服務器區域的交換機上；

　　 Internet接入路由器之后的第一臺交換機上；

　　 重點保護網段的局域網交換機上。

　　2. 入侵防御系統(IPS)

　　IPS是英文“Intrusion Prevention System”的縮寫，中文意思是入侵防御系統。

　　隨著網絡攻擊技術的不斷提高和網絡安全漏洞的不斷發現，傳統防火墻技術加傳統IDS的技術，已經無法應對一些安全威脅。在這種情況下，IPS技術應運而生，IPS技術可以深度感知并檢測流經的數據流量，對惡意報文進行丟棄以阻斷攻擊，對濫用報文進行限流以保護網絡帶寬資源。

　　對于部署在數據轉發路徑上的IPS，可以根據預先設定的安全策略，對流經的每個報文進行深度檢測（協議分析跟蹤、特征匹配、流量統計分析、事件關聯分析等），如果一旦發現隱藏于其中網絡攻擊，可以根據該攻擊的威脅級別立即采取抵御措施，這些措施包括（按照處理力度）：向管理中心告警；丟棄該報文；切斷此次應用會話；切斷此次TCP連接。

　　進行了以上分析以后，我們可以得出結論，辦公網中，至少需要在以下區域部署IPS，即辦公網與外部網絡的連接部位（入口/出口）；重要服務器集群前端；辦公網內部接入層。至于其它區域，可以根據實際情況與重要程度，酌情部署。

　　3. IPS與IDS的區別、選擇

　　IPS對于初始者來說，是位于防火墻和網絡的設備之間的設備。這樣，如果檢測到攻擊，IPS會在這種攻擊擴散到網絡的其它地方之前阻止這個惡意的通信。而IDS只是存在于你的網絡之外起到報警的作用，而不是在你的網絡前面起到防御的作用。

　　IPS檢測攻擊的方法也與IDS不同。一般來說，IPS系統都依靠對數據包的檢測。IPS將檢查入網的數據包，確定這種數據包的真正用途，然后決定是否允許這種數據包進入你的網絡。

　　目前無論是從業于信息安全行業的專業人士還是普通用戶，都認為入侵檢測系統和入侵防御系統是兩類產品，并不存在入侵防御系統要替代入侵檢測系統的可能。但由于入侵防御產品的出現，給用戶帶來新的困惑：到底什么情況下該選擇入侵檢測產品，什么時候該選擇入侵防御產品呢?

　　從產品價值角度講：入侵檢測系統注重的是網絡安全狀況的監管。入侵防御系統關注的是對入侵行為的控制。與防火墻類產品、入侵檢測產品可以實施的安全策略不同，入侵防御系統可以實施深層防御安全策略，即可以在應用層檢測出攻擊并予以阻斷，這是防火墻所做不到的，當然也是入侵檢測產品所做不到的。

　　從產品應用角度來講：為了達到可以全面檢測網絡安全狀況的目的，入侵檢測系統需要部署在網絡內部的中心點，需要能夠觀察到所有網絡數據。如果信息系統中包含了多個邏輯隔離的子網，則需要在整個信息系統中實施分布部署，即每子網部署一個入侵檢測分析引擎，并統一進行引擎的策略管理以及事件分析，以達到掌控整個信息系統安全狀況的目的。

　　而為了實現對外部攻擊的防御，入侵防御系統需要部署在網絡的邊界。這樣所有來自外部的數據必須串行通過入侵防御系統，入侵防御系統即可實時分析網絡數據，發現攻擊行為立即予以阻斷，保證來自外部的攻擊數據不能通過網絡邊界進入網絡。

　　入侵檢測系統的核心價值在于通過對全網信息的分析，了解信息系統的安全狀況，進而指導信息系統安全建設目標以及安全策略的確立和調整，而入侵防御系統的核心價值在于安全策略的實施—對黑客行為的阻擊；入侵檢測系統需要部署在網絡內部，監控范圍可以覆蓋整個子網，包括來自外部的數據以及內部終端之間傳輸的數據，入侵防御系統則必須部署在網絡邊界，抵御來自外部的入侵，對內部攻擊行為無能為力。

　　明確了這些區別，用戶就可以比較理性的進行產品類型選擇：

　　 若用戶計劃在一次項目中實施較為完整的安全解決方案，則應同時選擇和部署入侵檢測系統和入侵防御系統兩類產品。在全網部署入侵檢測系統，在網絡的邊界點部署入侵防御系統。

　　 若用戶計劃分布實施安全解決方案，可以考慮先部署入侵檢測系統進行網絡安全狀況監控，后期再部署入侵防御系統。

　　 若用戶僅僅關注網絡安全狀況的監控(如金融監管部門，電信監管部門等)，則可在目標信息系統中部署入侵檢測系統即可。

　　明確了IPS的主線功能是深層防御、精確阻斷后，IPS未來發展趨勢也就明朗化了：不斷豐富和完善IPS可以精確阻斷的攻擊種類和類型，并在此基礎之上提升IPS產品的設備處理性能。

　　而在提升性能方面存在的一個悖論就是：需提升性能，除了在軟件處理方式上優化外，硬件架構的設計也是一個非常重要的方面，目前的ASIC/NP等高性能硬件，都是采用嵌入式指令+專用語言開發，將已知攻擊行為的特征固化在電子固件上，雖然能提升匹配的效率，但在攻擊識別的靈活度上過于死板(對變種較難發現)，在新攻擊特征的更新上有所滯后(需做特征的編碼化)。而基于開放硬件平臺的IPS由于采用的是高級編程語言，不存在變種攻擊識別和特征更新方面的問題，廠商的較新產品已經可以達到電信級骨干網絡的流量要求，比如McAfee公司推出的電信級IPS產品M8000（10Gbps流量）、M6050（5Gbps）。

　　所以，入侵防御系統的未來發展方向應該有以下兩個方面：

　　第一， 更加廣泛的精確阻斷范圍：擴大可以精確阻斷的事件類型，尤其是針對變種以及無法通過特征來定義的攻擊行為的防御。

　　第二， 適應各種組網模式：在確保精確阻斷的情況下，適應電信級骨干網絡的防御需求。