IDS和IPS区别 | KOGE’s BLOG

1. 入侵检测系统(IDS)

IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种入侵企图、入侵行为或者入侵结果，以保证网络系统资源的机密性、完整性和可用性。

我们做一个比喻——假如防火墙是一幢大厦的门锁，那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

与防火墙不同的是，IDS入侵检测系统是一个旁路监听设备，没有也不需要跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署的唯一要求是：IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里，“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

1.1 IDS在交换式网络中的位置

一般选择为：尽可能靠近受保护资源。这些位置通常是：

服务器区域的交换机上

Internet接入路由器之后的第一台交换机上

重点保护网段的局域网交换机上

2. 入侵防御系统(IPS)

IPS是英文“Intrusion Prevention System”的缩写，中文意思是入侵防御系统。　　随着网络入侵技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。在这种情况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断入侵，对滥用报文进行限流以保护网络带宽资源。　　对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），如果一旦发现隐藏于其中网络入侵，可以根据该入侵的威胁级别立即采取抵御措施，这些措施包括（按照处理力度）：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。

2.1 IPS在办公网络中的位置

办公网与外部网络的连接部位（入口/出口）

重要服务器集群前端；办公网内部接入层

3. IPS与IDS的区别、选择

IPS对于初始者来说，是位于防火墙和网络的设备之间的设备。这样，如果检测到入侵，IPS会在这种入侵扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。

3.1 检测入侵的方法不同

一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。　　目前无论是从业于信息安全行业的专业人士还是普通用户，都认为入侵检测系统和入侵防御系统是两类产品，并不存在入侵防御系统要替代入侵检测系统的可能。

3.2 到底什么情况下该选择入侵检测产品，什么时候该选择入侵防御产品呢?

3.2.1 从产品价值角度讲

入侵检测系统注重的是网络安全状况的监管。

入侵防御系统关注的是对入侵行为的控制。

与防火墙类产品、入侵检测产品可以实施的安全策略不同，入侵防御系统可以实施深层防御安全策略，即可以在应用层检测出入侵并予以阻断，这是防火墙所做不到的，当然也是入侵检测产品所做不到的。

3.2.2 从产品应用角度来讲

部署

为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。

而为了实现对外部入侵的防御，入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统，入侵防御系统即可实时分析网络数据，发现入侵行为立即予以阻断，保证来自外部的入侵数据不能通过网络边界进入网络。

核心价值

入侵检测系统IDS的核心价值在于通过对全网信息的收集、分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整。

入侵防御系统IPS的核心价值在于对数据的深度分析及安全策略的实施—对入侵行为的阻击。

简述

入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据，入侵防御系统则必须部署在网络边界，抵御来自外部的入侵，对内部入侵行为无能为力。IPS可以理解为深度filewall。

参考文章

https://cloud.tencent.com/developer/article/1529082

💡

本文章仅提供学习使用，有任何问题，欢迎您在底部评论区留言，一起交流~