企业级ips/ids购买注意事项 -凯发在线

面对快速发展的internet蠕虫和病毒，企业网络需能够及时识别并消除潜在的安全威胁，网络安全体系结构也要不断调整，包括性价比高的检测和防护系统。如入侵检测系统（intrusion detection systems，ids），或可扩展的入侵防御系统（intrusion prevention systems，ips）。

目前无论是从业于信息安全行业的专业人士还是普通用户，都认为入侵检测系统和入侵防御系统是两类产品，并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现，给用户带来新的困惑：到底什么情况下该选择入侵检测产品，什么时候该选择入侵防御产品呢?

ids

ids（intrusion detective system）称为入侵检测系统，它是从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。 入侵检测被认为是防火墙之后的第二道安全闸门。入侵检测通过对入侵行为的过程与特征进行研究，使安全系统对入侵事件和入侵过程作出实时响应。一般来讲，入侵检测系统采用异常发现技术和模式发现技术两项技术；入侵检测系统按其输入数据的来源来看，可以分为3类：

（1） 基于主机的入侵检测系统（hids）：其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵。

（2） 基于网络的入侵检测系统（nids）：其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。

（3） 采用上述两种数据来源的分布式入侵检测系统；能够同时分析来自主机系统审计日志和网络数据流的入侵检测系统，一般为分布式结构，由多个部件组成。

ips

入侵防护系统(intrution protection system，ips)则倾向于提供主动性的防护，其设计旨在 预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。ips 是通过直接嵌入到网络流量中而 实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这 样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能够在ips设备中被清除掉。

简单地理解，ips等于防火墙加上入侵检测系统，但并不是说ips可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品，它在基于tcp/ip协议的过滤方面表现出色，而且在大多数情况下，可以提供网络地址转换、服务代理、流量统计等功能。

和防火墙比较起来，ips的功能比较单一，它只能串联在网络上，对防火墙所不能过滤的攻击进行过滤。一般来说，企业用户关注的是自己的网络能否避免被攻 击，对于能检测到多少攻击并不是很热衷。但这并不是说入侵检测系统就没有用处，在一些专业的机构，或对网络安全要求比较高的地方，入侵检测系统和其他审计 跟踪产品结合，可以提供针对企业信息资源的全面审计资料，这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。

ips目前主要包含以下几种类型:1、基于主机的入侵防护(hips)，它能够保护服务器的安全弱点不被不法分子所利用;2、基于网络的入侵防护(nips)，它可通过检测流经的网络流量，提供对网络系统的安全保护，一旦辨识出入侵行为，nips就可以去除整个网络会话，而不仅仅是复位会话;3、 应用入侵防护，它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。 

ips与ids的区别、选择

ips对于初始者来说，是位于防火墙和网络的设备之间的设备。这样，如果检测到攻击，ips会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而ids只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。关于两者的优缺点如下表所示：

明确了这些区别，用户就可以比较理性的进行产品类型选择：

若用户计划在一次项目中实施较为完整的安全凯发在线的解决方案，则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统，在网络的边界点部署入侵防御系统。

若用户计划分布实施安全凯发在线的解决方案，可以考虑先部署入侵检测系统进行网络安全状况监控，后期再部署入侵防御系统。

若用户仅仅关注网络安全状况的监控(如金融监管部门，电信监管部门等)，则可在目标信息系统中部署入侵检测系统即可。