引擎硬件化提升性能

　　如果没有性能问题的瓶颈，IPS技术不会姗姗来迟。在传统防火墙领域，厂商们其实也做了不少工作，把IDS、应用层安全技术等都集成进去了，但是只能作为功能宣传，不敢大张旗鼓推广，到用户那往往要把这些功能关闭。这都是让性能闹的。

　　现在的IPS厂商，还是那些功能，只是解决了性能问题，敢给用户用这些功能了，就把产品作为IPS开卖。别小看这一点改进，可是核心竞争力，解决性能问题的各个厂商方法不同，思路都一样，就是把最消耗资源的部分用硬件实现，把最具有灵活性的部分用软件实现，达到提高性能的目的。

　　部署很简单

　　串接式部署是IPS和IDS区别的主要特征。IPS产品的部署方式和IDS有所不同。

　　IDS产品在网络中是旁路式工作，IPS产品在网络中是串接式工作。串接式工作保证所有网络数据都经过IPS设备，IPS检测数据流中的恶意代码，核对策略，在未转发到服务器之前，将信息包或数据流阻截。由于是在线操作，因而能保证处理方法适当而且可预知。

　　与此相比，通常的IDS响应机制（如TCP重置）则大不相同。传统的IDS能检测到信息流中的恶意代码，但由于是被动处理通信，本身不能对数据流作任何处理。必须在数据流中嵌入TCP包，以重置目标服务器中的会话。然而，整个攻击信息包有可能先于TCP重置信息包到达服务器，这时系统才做出响应已经来不及了。

　　重置防火墙规则也存在相同问题，处于被动工作状态的IDS能检测到恶意代码，并向防火墙发出请求阻截会话，但请求有可能到达太迟而无法防止攻击发生。

　　IPS是网关型设备，要发挥其最大的作用，最好串接在网络的出口处，比较简单的部署方案是串接在网关出口的防火墙和路由器之间，监控和保护网络。当然，在用户购买产品时，专业的安全工程师会根据用户的网络拓扑和需求做详细设计的。

　　用户之声

　　受访者：北京电力顺义供电公司信息中心主任 周维利

　　主动防御，是不是神话？

　　我对IPS技术和产品有些了解，认为它是一个不错的技术，能够在遇到病毒入侵和黑客攻击之前，帮助我们消除掉即将引发的破坏。但是，这种技术太神奇，让人感觉不太可信。

　　举个例子。以我的理解，IPS是可以防范一个还没出现过的新病毒，就好比灭火器可以预先灭掉没着起的火一样，这是否有些离奇？

　　还有，我认为IPS不可能一发现攻击，就马上调动防火墙拦截。从发现攻击到拦截攻击之间肯定有时间差，在这时间差中，极有可能给后来的攻击可乘之机。这样看来，具有主动防御能力的IPS不又形成了新的安全漏洞吗？

　　总的来说，IPS对用户保护企业安全很有帮助，如果能够规避一些弊端，像我这样的用户还是非常愿意使用它的。

　　我们公司的网络采取的安全防御措施很基础，就三样：防毒、防火墙和打补丁，一年来，我们没有遇到过什么安全威胁。我个人认为，与IPS相比，被动防御更可靠。

　　受访者：国电自动化研究院信息所 余勇博士

　　用IPS？再等一等

　　你问我IPS？好像国内用户用得不多，至少我没见身边的同仁们谁在用。那东西推出来时间不长呀。以我对它的了解，它在技术上存在一些问题，比如没有逃脱防火墙、IDS的弊端，仍有不低的误报漏报率。

　　以前用过IDS，那是好几年前的事儿。后来，我们就不用了。主要是因为它的误报漏报率太高，当然，我们自己应用得也不好。IDS是个高技术含量的产品，配置规则非常复杂，对我们用户的技术要求比较高，要用好它，有一定难度。

　　我们也比较担心IPS的使用难度，还担心它的处理性能。它是串连在关口的，如果优化不够，会对我们的业务造成负面影响。

　　与IDS相比，IPS的主动防御功能的确很好。个人觉得，IPS是个好产品，将来一定有很好的应用前途。现在，我们还不想用，再等等。待技术成熟后，我们会考虑使用IPS的。
切忌“仅”靠IPS

　　受访者：中国信息安全产品测评认证中心系统工程实验室副主任 彭勇

　　IPS的产生与用户的应用需求有很大关系。过去，使用IDS，可以达到检测非法入侵的目的，但是，入侵真的发生了，IDS却无力阻断它。于是IPS出现了，它弥补了IDS的不足，可以对入侵进行及时地拦截，有效消除攻击所带来的危害。

　　IPS拦截攻击的功能，对于无法加固的脆弱系统，起到举足轻重的保护作用。比如，在用户生产系统和大型数据库系统中，可能存在一些漏洞。由于补丁程序与系统冲突，容易引起系统瘫痪，所以用户不会轻易给系统打补丁。可是，不打补丁，系统势必处于安全威胁中。此时，运用IPS，可以阻挡可能的攻击，进而减少安全风险。

　　技术瓶颈难以逾越

　　IPS好是好，目前，却遇到了尚未逾越的技术瓶颈。

　　首先是安全性。它沿习了IDS技术优势之时，也继承了它的某些致命缺陷。IDS误报漏报率一直存在，至今仍未克服。IPS继承了这一弱势。比IDS更糟的是，IDS误报最多给用户带来频繁报警的骚扰，IPS误报将会把正常的访问请求阻挡，修改系统合理应用，破坏用户业务。

　　其次是应用效果。IPS技术与防病毒技术有相似之处。有效防范病毒，必须时时更新病毒特征库，这样才能识别和扼杀不断涌现的新病毒。IPS也一样，它同样要具备快速更新攻击特征库的能力。但IPS面临的问题比防病毒技术更为繁杂，需要归纳、分析的安全事件的种类和形态太多，特征不易收集（同时还要基于应用层进行防护），更新难度非常之大。

　　最后是性能消耗。传统的IDS是旁路监听网络，不会影响网络应用。现在的IPS是串联在网络中的，而且基于应用层检测。这意味着所有与系统应用相关的访问，都要经过IPS过滤。尽管诞生了有如NP（NetWork Processor，网络处理器）、ASIC（Applications Specific Integrated Circuit，供专门应用的集成电路）等高性能处理芯片，可以帮助改善处理性能，然而，联动的应用太多，还是会消耗部分性能，降低运行速度。

　　应用障碍不可抗拒

　　如果说IDS让用户还有所认知，IPS则让用户知之甚少，也就谈不上对IPS的重视了。

　　许多用过IDS的用户都没有认识到，使用IDS的最大价值是分析网络状况。我国的网管人员对安全知识和技术的掌握有限，对安全设备管理的能力不强，加之繁琐的网络管理工作，没有精力顾及安全的深度防御问题。

　　我接触过不少用户，发现很少有用户认真分析过防火墙日志，又很少有人通过这些分析制定出有效的反击策略。IDS独有的分析功能几乎没有被网管人员充分利用和挖掘，而白白葬送掉IDS的使用价值。在这些企业网中，IDS形同虚设。与IDS类似的IPS的应用遭遇，大家可想而知了。

　　一些应用水平高、安全意识强的用户自信有能力用好IPS，但他们怀疑IPS的性能问题，并担心IPS会影响关键业务。

　　可见，IPS的应用，无论是对于高级用户还是初级用户来说，都是任重而道远。

　　跳出产品考虑全局

　　IPS是一个产品，安全保护是整体工程，里面涉及方方面面的深度防御工作。绝对不是一两个安全产品就可以解决的。

　　近来，市场上关于UTM（Unified Threat Management）的呼声越来越高。UTM是什么，它是统一威胁管理，它把防毒、防火墙、IPS等多种安全功能集成在一起，并基于硬件芯片处理技术，提供了一种统一的安全管理手段。其最大的优势是能够统一处理安全事件。

　　我个人认为，UTM还是一个产品，只要是产品，它就逃脱不掉单纯的防御模式。企业网络所面临的安全威胁，从管理的角度看，必须充分考虑企业的需求，整体考虑安全防范问题。即使涉及IPS单项功能，也要结合整体安全策略，制定IPS的防范规则，预测它所面临的风险，设计发挥它的优势及与响应其他安全功能的措施。

　　因此，我建议用户从以下几个方面看待和使用IPS等安全产品及应用。

　　冷静看待产品。把网管人员遇到的现有的产品管理好，可以大大减少网络及产品的安全风险。问题是，有的用户连现有的产品都没管好，服务器系统经常忘记升级补丁程序，防火墙日志不看也不分析，这样，选择再多的安全设备，对安全防范也会无济于事。

　　整体考虑安全。建议用户从整个信息生命周期管理的视角去建设和管理安全系统。把重点放在统一监控、统一管理、统一时间响应等方面。一旦出现安全问题，采取什么措施，如何响应，都应该在事前有一个统筹的考虑。把安全防范贯彻到整个业务运行当中。

　　从需求出发。认真分析自身的需求，到底是不是急需使用IPS，采用IPS前要想清楚，是否牵扯网络结构的调整、网络系统的重新部署；之后，还要搞明白，怎样用好IPS，做到及时更新特征库，分析IPS反映的一些数据，防患于未然。一句话，要将检测、响应、审计统一在一起综合考虑。