IDP与IPS区别
1. 入侵检测系统(IDS)　　IDS是英文“Intrusion Detection
Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。
　　我们做一个比喻——假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。
与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。
　　IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源、尽可能靠近受保护资源。
　　这些位置通常是：
　　 服务器区域的交换机上；
　　 Internet接入路由器之后的第一台交换机上；
　　 重点保护网段的局域网交换机上。
　　2. 入侵防御系统(IPS)
　　IPS是英文“Intrusion Prevention System”的缩写，中文意思是入侵防御系统。
　　随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。在这种情况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。
　　对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括（按照处理力度）：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。
　　进行了以上分析以后，我们可以得出结论，办公网中，至少需要在以下区域部署IPS，即办公网与外部网络的连接部位（入口/出口）；重要服务器集群前端；办公网内部接入层。至于其它区域，可以根据实际情况与重要程度，酌情部署。
　　3. IPS与IDS的区别、选择
　　IPS对于初始者来说，是位于防火墙和网络的设备之间的设备。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。
　　IPS检测攻击的方法也与IDS不同。一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。
　　目前无论是从业于信息安全行业的专业人士还是普通用户，都认为入侵检测系统和入侵防御系统是两类产品，并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现，给用户带来新的困惑：到底什么情况下该选择入侵检测产品，什么时候该选择入侵防御产品呢?
　　从产品价值角度讲：入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同，入侵防御系统可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是入侵检测产品所做不到的。
　　从产品应用角度来讲：为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。
　　而为了实现对外部攻击的防御，入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统，入侵防御系统即可实时分析网络数据，发现攻击行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。
　　入侵检测系统IDS的核心价值在于通过对全网信息的收集、分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而入侵防御系统IPS的核心价值在于对数据的深度分析及安全策略的实施—对黑客行为的阻击；入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据，入侵防御系统则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。
IPS可以理解为深度filewall。
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。IDP弥补IDS不足，与防火墙互动
IDP弥补IDS不足，与防火墙互动
　　众所周知，防火墙、IDS是目前网络安全市场中最厉害的两员猛将。 　　　　现在，市场上又出现了一种新趋势，将两者合二为一，统一成一种产品，可以检测入侵，还可以实时防御，它的名字就叫IDP（Intrusion Detection & Prevention）。 　　　　IDP（Intrusion Detection & Prevention）入侵检测和防御产品，是指不但能检测入侵的发生，而且能通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性攻击的一种智能化的安全产品。它是目前网络安全技术中比较新的产品，IPS（Intrusion Prevention System，入侵防御系统）是IDP的另外一种称呼。 　　　　或许大家会问，我们的网络系统已经布置了防火墙和IDS，网络系统已经很安全了，IDP产品又能给我们带来什么好处呢？ 　　　　通常，人们认为防火墙可以保护处于它身后的网络不受外界的侵袭和干扰。但随着网络技术的发展，网络结构日趋复杂，传统防火墙在使用的过程中暴露出以下的不足：一、传统的防火墙在工作时，入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门；二、防火墙完全不能防止来自网络内部的袭击，通过调查发现，将近65%的攻击都来自网络内部，对于那些对企业心怀不满或假意卧底的员工来说，防火墙形同虚设；三、由于防火墙性能上的限制，通常它不具备实时监控入侵的能力；四、防火墙对于病毒的侵袭也是束手无策。 　　　　正因为如此，那些认为在Internet入口处设置防火墙系统就足以保护企业网络安全的想法是不切实际的。也正是这些因素引起了人们对入侵检测技术的研究及开发。入侵检测系统（IDS）可以弥补防火墙的不足，为网络提供实时的监控，并且在发现入侵的初期采取相应的防护手段，IDS系统作为必要附加手段。已经为大多数组织机构的安全构架所接受。 　　　　经过近几年的发展，IDS产品开始步入一个快速的成长期，用户也开始认可IDS在网络安全防御中不可替代的作用。但是，与此同时，大家也逐渐意识到IDS所面临的问题：一、较高的漏报率和误报率；二、对IDS系统的管理和维护比较难，它需要安全管理员有足够的时间、精力及丰富的知识，以保持传感器的更新和安全策略的有效；三、当IDS系统遭受拒绝服务攻击时，它的失效开放机制使得黑客可以实施攻击而不被发现（IDS系统的失效开放机制是指，一旦系统停止作用，整个网络或主机就变成开放的。这与防火墙的失效关闭机制正好相反，防火墙一旦失效，整个网络是不可访问的）；四、最重要的是，IDS系统是以被动的方式工作，只能检测攻击，而不能阻止攻击。 　　　　新品IDP弥补IDS不足 与防火墙紧密互动 　　　　由于IDS系统的局限性，市场上又出现了IDP产品。目前的IDP产品可以认为是IDS系统的替代品，它同样可以分为网络型IDP和主机型IDP。与IDS相比，IDP最大的特点就在于，它不但能检测到入侵的发生，而且有能力中止入侵活动的进行；并且，IDP能够从不断更新的模式库中发现各种各样新的入侵方法，从而做出更智能的保护性操作，并减少漏报和误报。　　　　大家知道，在目前的网络安全防御体系中，防火墙与IDS系统之间是可以实现互动的，从而实现最大程度的安全。那么，防火墙和IDP产品之间将又会实现怎样的互动呢？笔者在这里做一个大胆的猜想，当然，这种猜想来源于防火墙和IDS系统之间互动的实现方式。 　　　　通过开放接口实现互动 　　　　一种是通过开放接口来实现互动。即防火墙或者IDP产品开放一个接口供对方调用，按照一定的协议进行通信，传输警报。这种方式比较灵活，防火墙可以行使它第一层防御的功能――访问控制，IDP系统可以行使它第二层防御的功能――检测入侵，丢弃恶意通信，确保这个通信不能到达目的地，并通知防火墙进行阻断。而且，这种方式不影响防火墙和IDP产品的性能，对于两个产品的自身发展比较好。但是，由于是两个系统的配合，所以要重点考虑防火墙和IDP产品互动的安全性。 　　　　紧密集成实现互动 　　　　另一种是实现紧密集成，即把IDP技术与防火墙技术集成到同一个硬件平台上，在统一的操作系统管理下有序地运行。这种方式实际上是把两种产品集成到一起，所有通过这个硬件平台的数据不仅要接受防火墙规则的验证，还要被检测判断是否有攻击，以达到真正的实时阻断。值得注意的是，这种安全平台与一些厂商提倡的“胖防火墙”的概念有着本质的区别。“胖防火墙”是以防火墙功能为主，其它的安全功能只是作为一种补充，它在本质上还是防火墙。 　　　　对于这种紧密集成的安全平台，由于IDP产品和防火墙本身都是很庞大的系统，所以实施的难度比较大，集成后的性能也会受很大的影响。同时，如果集成的话，不会仅仅只集成IDP与防火墙两种技术，而一定会把更多的安全技术集成到一起，从而构成多个安全产品的紧密结合――入侵防御系统（IPS）。　　　　
&&&主编推荐
H3C认证Java认证Oracle认证
基础英语软考英语项目管理英语职场英语
.NETPowerBuilderWeb开发游戏开发Perl
二级模拟试题一级模拟试题一级考试经验四级考试资料
软件测试软件外包系统分析与建模敏捷开发
法律法规历年试题软考英语网络管理员系统架构设计师信息系统监理师
高级通信工程师考试大纲设备环境综合能力
路由技术网络存储无线网络网络设备
CPMP考试prince2认证项目范围管理项目配置管理项目管理案例项目经理项目干系人管理
职称考试题目
招生信息考研政治
网络安全安全设置工具使用手机安全
生物识别传感器物联网传输层物联网前沿技术物联网案例分析
Java核心技术J2ME教程
Linux系统管理Linux编程Linux安全AIX教程
Windows系统管理Windows教程Windows网络管理Windows故障
数据库开发Sybase数据库Informix数据库
&&&&&&&&&&&&&&&
希赛网 版权所有 & &&}