告别纷争的日子：IDS与IPS应用比较-《网界网》

“主动”中现迷雾

对于很多大中型企业来说，随着信息化建设的开展，目前不少企业的信息化程度已达到了较高水平。信息技术在提高管理水平、提升企业竞争力方面发挥着越来越重要的作用。有专家表示说，随着国内企业信息化的深入发展，网络信息安全问题变得日益严重。新的安全威胁不断涌现，并且成为黑客攻击的重要对象。

TippingPoint公司安全专家李臻建议，面对越来越严重的威胁，企业需要建设主动的、深层的、立体的信息安全保障体系。事实上，单纯的应付已经很难做到对威胁的防御，只有具备主动防御的技术，才能更好地保障业务系统的正常运转。

在面对日益增多的安全威胁，许多企业不断地扩充自己的安全体系，希望通过不断地部署安全产品来确保网络的安全。在企业部署安全体系的时候，遇到了一个相同的问题，即防范恶意攻击、降低安全风险应该用入侵检测IDS还是入侵防御IPS？

细心的读者也许还记得，2003年Gartner公司副总裁Richard Stiennon曾经发表过《入侵检测已寿终正寝，入侵防御将万古长青》的报告，并一度引发安全业界震动。截止到今天，关于入侵检测系统与入侵防御系统之间关系的讨论已经趋于平淡。2006年IDC年度安全市场报告更是明确指出入侵检测系统和入侵防御系统是两个独立的市场，给这个讨论划上了一个句号。

部署中看选择

可以说，目前无论是安全专业人士还是普通用户，都认为入侵检测系统和入侵防御系统是两类产品，并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现，给用户带来新的困惑：到底什么情况下该选择入侵检测产品，什么时候该选择入侵防御产品呢？

笔者带着这个疑问采访了启明星辰公司产品管理中心总工程师万卿。万卿表示，“在入侵防护产品刚出来的时候，有些用户对于选择入侵防护还是入侵检测拿不定主意，不知何去何从，实际上，入侵检测和入侵防护根本就不是同类的产品。两者不是互相取代或升级的关系。企业需要根据自身的网络环境和系统环境选择合适的产品。”具体到两种产品的选型上，需要从产品的价值和产品的应用角度出发，就能够明确自己的需求了。

技术对比

此前神州数码网络的安全产品经理王景辉在接受采访时表示，入侵检测系统注重的是网络安全状况的监管。用户进行网络安全建设之前，通常要考虑信息系统面临哪些威胁；这些威胁的来源以及进入信息系统的途径；信息系统对这些威胁的抵御能力如何等方面的信息。在信息系统安全建设中以及实施后也要不断地观察信息系统中的安全状况，了解网络威胁发展趋势。只有这样才能有的放矢地进行信息系统的安全建设，才能根据安全状况及时调整安全策略，减少信息系统被破坏的可能。

入侵防御系统关注的是对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后，可以在入侵防御系统中实施边界防护安全策略。与防火墙类产品可以实施的安全策略不同，入侵防御系统可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是入侵检测产品所做不到的。

从产品应用角度来讲，为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。

而为了实现对外部攻击的防御，入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统，入侵防御系统即可实时分析网络数据，发现攻击行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。

入侵检测系统的核心价值在于通过对全网信息的分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整。而入侵防御系统的核心价值在于安全策略的实施——对黑客行为的阻击；入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据。入侵防御系统则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。

明确了入侵检测和入侵防护的区别之后，万卿提出了三种不同的应用环境，企业可以根据自身的需求进行最终的选择：若用户计划在一次项目中实施较为完整的安全解决方案，则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统，在网络的边界点部署入侵防御系统；若用户计划分布实施安全解决方案，可以考虑先部署入侵检测系统进行网络安全状况监控，后期再部署入侵防御系统；若用户仅仅关注网络安全状况的监控（如金融监管部门、电信监管部门等），则可在目标信息系统中部署入侵检测系统即可。

发挥作用

合理的选择产品类型之后，下一个问题就是选择什么样的入侵检测系统或什么样的入侵防御系统才能最有效地发挥作用。

对此，万卿解释说，任何产品的开发应该围绕着核心产品价值展开，产品的各种能力都应该为核心产品价值服务。因此，入侵检测系统应该是能够全面检测网络中各类安全事件，也就是说检测的全面性是考量入侵检测产品的优劣的主要标准。而入侵防御系统应该是能够精确阻断关键网络威胁，也就是说对关键网络威胁的防御能力以及防御的准确性是考量入侵防御系统优劣的主要标准。