【ＩＰＳ与ＩＤＳ的选择困惑】当一个女人选择了沉默

　　网络中的种种安全问题的根源在于检测，只有引入恰当的检测机制，并根据检测的漏洞、木马、事故做出具体响应才能确保网络的安全可靠。虽然入侵防御系统（IPS，Intrusion Prevention System）和入侵检测系统（IDS，Intrusion Detection Systems）分属于两个相互独立的市场，但它们将会在未来长时间内共同发展。
　　目前无论是从业于信息安全行业的专业人士还是普通用户，都认为IDS和IPS是两类产品，并不存在IPS要替代IDS的可能。但由于IPS的出现，给用户带来新的困惑：到底什么情况下该选择IPS，什么时候该选择IDS呢，两者之间又是何种关系呢?
　　
　　定位：各司其职
　　
　　通常来说，IPS是位于防火墙和网络设备之间的设备，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。一般来说，IPS依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。
　　根据以往的经验，一般至少需要在以下区域部署IPS，即办公网与外部网络的连接部位（入口/出口）；重要服务器集群前端；办公网内部接入层。至于其它区域，可以根据实际情况与重要程度，酌情部署。
　　IDS是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。IDS只是存在于用户的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。
　　IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是：部署在服务器区域的交换机上，部署在Internet接入路由器之后的第一台交换机上或者部署在重点保护网段的局域网交换机上。
　　可以做一个比喻――假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。
　　从产品价值角度讲：IDS注重的是网络安全状况的监管，IPS关注的是对入侵行为的控制。
　　
　　策略：取长补短
　　
　　与防火墙类产品、IDS产品可以实施的安全策略不同，IPS系统可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是IDS产品所做不到的。
　　从产品应用角度来讲：为了达到可以全面检测网络安全状况的目的，IDS需要部署在网络内部的中心点，需要能够观察到所有网络数据。
　　如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每子网部署一个IDS分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。
　　而为了实现对外部攻击的防御，IPS系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过IPS系统，IPS系统即可实时分析网络数据，发现攻击行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。
　　IDS系统的核心价值在于通过对全网信息的分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而IPS系统的核心价值在于安全策略的实施――对黑客行为的阻击。
　　IDS系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据，IPS系统则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。
　　明确了这些区别，用户就可以比较理性地进行产品类型选择：
　　•若用户计划在一次项目中实施较为完整的安全解决方案，则应同时选择和部署IDS和IPS两类产品。在全网部署IDS，在网络的边界点部署IPS。
　　•若用户计划分布实施安全解决方案，可以考虑先部署IDS进行网络安全状况监控，后期再部署IPS。
　　•若用户仅仅关注网络安全状况的监控电子状态（如金融监管部门，电信监管部门等），则可在目标信息系统中部署IDS即可。
　　
　　趋势：精准阻断
　　
　　明确了IPS的主线功能是深层防御、精确阻断后，IPS未来发展趋势也就明朗化了：不断丰富和完善IPS可以精确阻断的攻击种类和类型，并在此基础之上提升IPS的设备处理性能。
　　而在提升性能方面存在的一个问题就是：需提升性能，除了在软件处理方式上优化外，硬件架构的设计也是一个非常重要的方面，目前的ASIC/NP等高性能硬件，都是采用嵌入式指令+专用语言开发，将已知攻击行为的特征固化在电子固件上。
　　虽然能提升匹配的效率，但在攻击识别的灵活度上过于死板（对变种较难发现），在新攻击特征的更新上有所滞后（需做特征的编码化）。
　　而基于开放硬件平台的IPS由于采用的是高级编程语言，不存在变种攻击识别和特征更新方面的问题，厂商的最新产品已经可以达到电信级骨干网络的流量要求，比如McAfee公司推出的电信级IPS产品M8000（10Gbps流量）、M6050（5Gbps）。
　　所以，IPS系统的未来发展方向应该有以下两个：
　　第一，更加广泛的精确阻断范围：扩大可以精确阻断的事件类型，尤其是针对变种以及无法通过特征来定义的攻击行为的防御。
　　第二，适应各种组网模式：在确保精确阻断的情况下，适应电信级骨干网络的防御需求。