IPS主动防护

尽管IDS是一种受到企业欢迎的解决方案，它还是不足以阻断当今互联网中不断发展的攻击。入侵检测系统的一个主要问题是它不会主动在攻击发生前阻断它们。同时，许多入侵检测系统基于签名，所以它们不能检测到新的攻击或老式攻击的变形，它们也不能对加密流量中的攻击进行检测。

而入侵防护系统（IntrutionProtectionSystem，IPS）则倾向于提供主动性的防护，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。

IPS是通过直接嵌入到网络流量中而实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能够在IPS设备中被清除掉。

简单地理解，IPS等于防火墙加上入侵检测系统，但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品，它在基于TCP/IP协议的过滤方面表现出色，而且在大多数情况下，可以提供网络地址转换、服务代理、流量统计等功能。

和防火墙比较起来，IPS的功能比较单一，它只能串联在网络上，对防火墙所不能过滤的攻击进行过滤。一般来说，企业用户关注的是自己的网络能否避免被攻击，对于能检测到多少攻击并不是很热衷。

但这并不是说入侵检测系统就没有用处，在一些专业的机构，或对网络安全要求比较高的地方，入侵检测系统和其他审计跟踪产品结合，可以提供针对企业信息资源的全面审计资料，这些资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。

IPS目前主要包含以下几种类型：1、基于主机的入侵防护（HIPS），它能够保护服务器的安全弱点不被不法分子所利用；2、基于网络的入侵防护（NIPS），它可通过检测流经的网络流量，提供对网络系统的安全保护，一旦辨识出入侵行为，NIPS就可以去除整个网络会话，而不仅仅是复位会话；3、应用入侵防护，它把基于主机的入侵防护扩展成为位于应用服务器之前的网络设备。