UTM/IDS/IPS

IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。而这些检测方式都存在缺陷。比如异常检测通常采用统计方法来进行检测，而统计方法中的阈值难以有效确定，太小的值会产生大量的误报，太大的值又会产生大量的漏报。而在协议分析的检测方式中，一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等，其余大量的协议报文完全可能造成IDS漏报，如果考虑支持尽量多的协议类型分析，网络的成本将无法承受。

海信数码科技有限公司的主机入侵监测产品IDS 作为网络入侵监测工具，因为IDS对网络的流量有一定的限制，在网络安装过多的IDS时，将会对网络速度有较大的影响，所以根据网络的实际 情况及安全性的要求，我们综合考虑了这两种需求，并做出了以下的布署方案。

入侵检测系统(Intrusion Detect System)，目前基本上分为以下两种：主机入侵检测系统(HIDS);网络入侵检测系统(NIDS)。主机入侵检测系统分析对象为主机审计日志，所以需 要在主机上安装软件，针对不同的系统、不同的版本需安装不同的主机引擎，安装配置较为复杂，同时对系统的运行和稳定性造成影响，目前在国内应用较少。网络入侵监测分析对象为网络数据流，只需安装在网络的监听端口上，对网络的运行无任何影响，目前国内使用较为广泛。

Check Point日前宣布推出全新入侵防御专用解决方案IPS-1 R65.1。Check Point IPS-1拥有出色的管理工具，可以提高系统管理效率，并能快速作出反应，大幅度减轻威胁带来的影响。IPS-1采用了英特尔多核和并行处理技术，因此具备大吞吐量，与Check Point的安全架构配合使用，能为客户提供Check Point的管理界面和统一安装支持。

所谓Web业务，是指由企业发布的完成其特别商务需求的在线应用服务，其它公司或应用软件能够通过Internet来访问并使用这项应用服务。WEB业务采用基本的Internet协议“松”连接网络上的服务节点，并将业务“过程”定义在WEB应用程序中，利用标准的存取协议（XML）为客户端节点提供服务。

迈克菲公司（NYSE: MFE）2008年4月28日推出两款新产品，以进一步巩固其在网络安全领域的领导者地位。这两款新产品分别是：McAfee M-8000 Network Security Platform（迈克菲 M-8000 网络安全平台，原名为 McAfee IntruShield 网络入侵防护解决方案）和 McAfee Content Security Blade Server（迈克菲内容安全刀片服务器），可提供强大的入侵防护、电子邮件和web安全保护，有效解决了现有产品面临的性能瓶颈，降低了复杂性。

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

随着网络入侵事件的不断增加和黑客攻击水平的不断提高，一方面企业网络感染病毒、遭受攻击的速度日益加快，另一方面企业网络受到攻击作出响应的时间却越来越滞后。解决这一矛盾，传统的防火墙或入侵检测技术(IDS)显得力不从心，这就需要引入一种全新的技术-入侵防护（Intrusion Prevention System，IPS）。

在保护企业网服务器不受攻击方面，安全经理面临着众多的挑战。尽管入侵检测系统(IDS)曾一度广受欢迎，但如今互联网上攻击方式不断翻新，同时，签名技术的IDS检测不到新攻击和变形攻击，也检测不出加密流量中的攻击，因此，传统的IDS在主动性上逐渐显示出其局限性。

入侵检测系统(IDS)是一种动态安全技术，但它不会主动在攻击发生前阻断它们。而入侵防护系统(IPS)则倾向于提供主动性的防护。在一段时间内，IDS和IPS将共同存在。

目前,对企业提供的网络安全解决方案中,以FW+IDS+AV为主流选择。AV、FW在第一期的安全建设中，是必须的。各企业根据实际情况选择IDS。但随着网络环境日益恶化，这些产品终究一个不少的成为企业网络的必需品。

随着互联网的日益普及和国家教育的重视，大部分高校都建立了校园网，不仅提高了教育水平，而且也为学生打开了了解世界的窗口。但是，随之而来的安全问题也为校园网带来了前所未有的挑战。一方面，恶意代码、病毒、黑客、不良网站、人为干扰等不安全因素对校园网的正常发展造成了一定的障碍；另一方面，由于对安全问题的考虑，许多校园网对互联网的使用做了许多限制，这种限制对教学也造成了一定程度的影响。目前，校园网的主要功能一般集中在网络教学和互联网的使用。

随着网络入侵事件的不断增加和黑客攻击水平的不断提高，一方面企业网络感染病毒、遭受攻击的速度日益加快，另一方面企业网络受到攻击作出响应的时间却越来越滞后。解决这一矛盾，传统的防火墙或入侵检测技术(IDS)显得力不从心，这就需要引入一种全新的技术-入侵防护（Intrusion Prevention System，IPS）。

对于“IDS和IPS(IDP)谁更满足用户需求？”这个问题，给人一个二选一的感觉。对于IDS和IPS的业界讨论，也从2003年 Gartner公司副总裁Richard Stiennon发表的一份名为《入侵检测已寿终正寝，入侵防御将万古长青》的报告开始在安全业界掀起不小的波动。经过了这么长时间的反复文字争论，以及观看近来的产品开发和市场反馈，冷静的业界人士和客户已经看到这根本不是一个二选一的问题。回答这个问题和回答“IDS和防火墙谁更满足用户需求？”“IPS和防火墙谁更满足用户需求？”这些问题是一样的。

2005年秋，由全球多家系统软件公司进行的一项联合调查表明，超过66%的企业用户认为，“系统渗透”将会成为威胁企业IT安全的首要元凶。调查同时披露了目前发生最多的八项信息安全威胁，包括了：病毒、系统渗透、拒绝服务、内网滥用、欺骗、由于离职人员造成的数据或网络损失、非授权的内部访问。

在这样的背景下，IPS设备开始走入用户的安全采购菜单。凭借自身on line模式的实时检测，IPS开始对企业的各种应用进行深度防御，特别是在面对大量攻击的时候，可以做到对传输层以上攻击处理的游刃有余。那么，如何选购或者考量IPS的性能。笔者总结三点：性能、误报率、动态更新。

IPS（入侵防御系统）提出了多年，一直有个声音认为IPS会取代IDS（入侵检测系统），但是几年过去了，情况并非如此，那么IPS 目前到底处于什么状态呢？

近年来，企业所面临的安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、DDoS攻击、垃圾邮件、网络资源滥用（P2P下载、IM即时通讯、网游、视频）等，极大地困扰着用户，给企业的信息网络造成严重的破坏。

随着网络入侵事件的不断增加和黑客攻击水平的不断提高，一方面企业网络感染病毒、遭受攻击的速度日益加快，另一方面企业网络受到攻击作出响应的时间却越来越滞后。解决这一矛盾，传统的防火墙或入侵检测技术(IDS)显得力不从心，这就需要引入一种全新的技术-入侵防护（Intrusion Prevention System，IPS）。

随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。在这种情况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。