随着Internet应用的迅速普及，目前的应用系统发展与Web更加紧密，从办公系统到交易系统，这种趋势日益明显。由于Internet的开放性强，随之而来的安全问题也日益突出，对于大量出现的面向应用的攻击，传统的防火墙根本无能为力。在这样的情况下，IPS设备开始出现在企业用户的采购单中。

    IPS （入侵防御系统）的含义

　　IPS是英文“Intrusion Prevention System”的缩写，中文意思是入侵防御系统。IPS 能够识别事件的侵入、关联、冲击和方向，并进行适当的分析，然后将合适的信息和命令传送给防火墙、交换机或其它网络设备以降低该事件的风险。在工作方式上，IPS串联于通信线路内，是既具有入侵检测功能，又能够实时中止网络入侵行为的新型安全设备。IPS由检测和防御两大系统组成，具备从网络到主机的防御措施和预先设定的响应设置。

　　IPS可支持多种监控模式，如SPAN（接到Hub端口或交换机的映像端口）、TAP（通过分接器）、In-Line（串联）、Port Cluster（端口群集）等，用户可根据实际情况选择（图1）。采用串联方式的IPS通常位于防火墙之前，进出的数据包都要经过IPS检查，所以攻击数据流在到达目标之前，就会被IPS识别出来并丢弃或阻断，从而达到防御的目的。IPS的底层设计借鉴交换机和防火墙，使用专用集成电路ASIC或FPGA等，可以实现线速检测。IPS采用了多种检测技术，特征检测可以准确检测已知的攻击，特征库可以在线升级并且不须重新启动探测器，而且异常检测可以有效地检测新出现的攻击。相对于采用被动侦听方式的IDS（入侵检测系统），采用串联监控方式的IPS具有强大的主动响应能力，在攻击流到来之前，就可以丢弃数据包、终止会话、修改防火墙策略、实时报警或记录日志等，这种主动防御的响应能力正是企业网络安全真正需要的。

   

 
    
    目前，从保护对象上可将IPS分为三类：基于主机的入侵防护（HIPS）、基于网络的入侵防护（NIPS）和应用入侵防护（AIP）。IPS是位于应用服务器之前的网络信息安全设备，但并不是说IPS可以代替防火墙，防火墙是功能较为齐全的安全设备，而IPS的功能比较单一，它只能串联在网络上（类似于通常所说的网桥式防火墙），对防火墙所不能过滤的攻击进行过滤。IPS和防火墙的性能对比见附表。

　　不过IPS 也面临很多挑战，比如IPS的设计原理要求它必须以嵌入模式工作在网络中，这就可能造成瓶颈问题或单点故障，用户可能会面对由IPS造成的拒绝服务问题，所有客户都将无法访问企业网络提供的应用。嵌入式的IPS设备一旦出现问题，就会严重影响网络的正常运转。即使 IPS 设备不出现故障，但它仍然是一个潜在的网络瓶颈，IPS设备必须与大容量的网络数据保持同步，尤其是当加载了数量庞大的检测特征库时，设计不够完善的 IPS 嵌入设备就会无法支持这种响应速度。大多数高端 IPS 产品供应商都通过使用自定义硬件来提高IPS的运行效率。

    附表：IPS和防火墙的性能对比

 

[1] [2] [3] 下一页