用户在选购IPS时，应重点考虑哪些因素？

　　可自由切换模式的IPS

　　11月30日，赛门铁克公司发布了最新的IPS产品Symantec Network Security 7100 （SNS7100）系列。其千兆级入侵防护功能和创新的一键防护能力引起了媒体记者的极大兴趣。

　　所谓“一键防护功能”，也就是说，用户在部署SNS7100系统后，只需要轻松地通过单击一下鼠标，就可以根据不同的安全策略，在IDS（入侵检测）模式和IPS（入侵防御）模式下自由切换。

　　特别值得一提的是，一键防护功能不改变网络结构的原有部署方式，即对任何以太网网络都是透明的，因而可在提供安全威胁防范能力的同时，确保业务连续性。

　　据赛门铁克公司中国区技术经理郭训平介绍，SNS7100系列继承了赛门铁克以往IDS产品的所有优点，迎合了当前用户对IPS的需求。

　　IDS，还是IPS，这个已经被业界炒作了1年多的老话题，是否还有新意呢？在接受本刊记者专访时，郭训平给出了肯定的回答，并详细阐述了给用户的采购建议。

　　IDS，IPS是不是矛和盾的关系？

　　既然IPS有如此好的功能，那为什么用户不丢弃IDS，转而投向IPS？同一厂商既有IDS产品，又有IPS产品，如何向用户客观介绍两类产品各自的优缺点？

　　针对记者的这些疑问，郭训平表示，用户的需求是多样的，赛门铁克会尊重不同用户的选择。为了保护原有用户的投资，赛门铁克将对原有的IDS产品用户继续提供延续性的支持，不断升级。但目前已经开始建议所有的用户都采用IPS产品。

　　从现有的市场现状来看，IPS技术是在IDS技术基础上，发展而来的。因此，从纯技术的角度来讲，IPS是可以替代IDS的，况且它还具有主动防御和阻截的功能。郭训平认为，IDS和IPS不是矛和盾的关系，这两类产品将会在一定时期内同时存在。但对于赛门铁克来说，发展IPS将是一种趋势。

　　的确，由于IDS只具备入侵检测的功能，而没有入侵防御的功能，即没有对安全威胁进行“阻截”的功能。因此，IPS的优势就显现出来了。

　　IDS还是IPS，用户在抱怨什么？

　　记者在采访中了解到，对于IDS产品的误报率问题，一直是很多用户抱怨较多的问题。但相对于对误报率的抱怨，用户更大的抱怨是，针对IDS很多的报警，他们必须手动来工作，如流量分析、网络设置等。

　　对一些大型企业用户来说，由于不同的管理员分管不同的工作领域，如网络的配置、系统的管理等，一旦IDS的误报频频发生，协调工作就非常繁杂，令人头疼。

　　在误报率方面，IPS要比IDS低得多，而且可以实现自动配置。

　　用户的抱怨其实还来自另一个方面，那就是当真正的安全威胁降临时，可能因为平时频频的误报而放松警惕。

　　用户的抱怨和迟疑是有一定道理的，因为IPS技术还很新，没有人愿意自己成为试验品。但安全厂商的努力也有目共睹。

　　IPS，值得关注！

　　关于IPS，用户需要回答的6个问题

　　1.部署IPS后，如何尽可能地减少对网络性能的影响？

　　2.部署IPS后，是否会减少误报率？

　　3.部署IPS后，管理和配置是否简便、容易？

　　4.如果选购了IPS，部署和实施是否方便？

　　5.部署IPS后，图文混排等报告功能是否人性化，友好？

　　6.部署IPS后，事件关联的功能如何？

　　Symantec Network Security 7100 系列

　　Symantec Network Security 7100系列集成了新型的入侵抑制统一网络引擎（Intrusion Mitigation Unified Network Engine，简称IMUNE）。IMUNE通过将多种检测技术（如协议异常检测、漏洞攻击拦截、签名识别、拒绝服务和扫描检测以及IDS躲避检测）结合在一起，重新定义了全面网络保护的标准。

　　IMUNE架构是可以实时检测并阻止现今不断变化的安全威胁的一种方法，它可以阻止蠕虫传播，并且精确地阻止恶意威胁。IMUNE架构防止客户遭受入侵和恶意代码、网络基础结构攻击、应用程序利用、扫描、探测、DoS拒绝服务攻击、后门、缓冲器溢出以及像MS Blaster和SQL Slammer这样混合威胁等的攻击。

　　IPS的8大特点

　　在保护企业至关重要的服务器不受攻击方面，IT和网络安全经理面临着众多的挑战。缺少专用的安全资源和越来越先进的攻击方式是最令人头疼的两个问题。

　　尽管在过去，入侵检测系统（IDS）是一种受到企业欢迎的解决方案，它还是不足以阻断当今互联网中不断发展的攻击。IDS的一个主要问题是，它不会主动在攻击发生前阻断它们。同时，许多IDS基于签名，所以它们不能检测到新的攻击或老式攻击的变形，它们也不能对加密流量中的攻击进行检测。

　　那么，企业还有什么选择呢？IPS是不是一种更好的选择呢？

　　入侵防护系统（IPS）不仅可进行检测，还能在攻击造成损坏前阻断它们，从而将IDS提升到一个新水平。IDS和IPS的明显区别在于：IPS阻断了红色代码、尼姆达和SQL Slammer，而IPS用户在每一次攻击后都需花费数百万美元进行病毒清除工作。

　　真正的入侵防护解决方案，可使企业不必进行分析即可采取措施保护系统。同时，它可防止攻击对您的操作系统、应用程序和数据造成损坏。McAfee公司认为，一个理想的入侵防护解决方案应该包括以下8大特点：

　　1. 主动、实时预防攻击

　　IPS解决方案应该提供对攻击的实时预防和分析。它应该在任何未授权活动开始前找出攻击，并防止它进入重要的服务器资源。 McAfee IntruShield独特的体系结构集成了多项专利技术，包括：特征检测，异常检测和拒绝服务分析技术等。从而能在几千兆的网络流量下进行准确和智能的检测和防护，使企业免遭已知攻击、首次发生的未知攻击，以及DoS攻击的影响。

　　2. 补丁等待保护

　　补丁管理是一个复杂的过程。在补丁被开发和安装之间，聪明的黑客会对服务器和重要数据造成破坏，McAfee IntruShield入侵防护解决方案可为系统管理员提供补丁等待期内的保护和足够的时间，以测试并安装补丁。

　　3. 保护每个重要的服务器

　　服务器中有最敏感的企业数据，是大多数黑客攻击的主要目标。所以，拥有专门为服务器保护订制的入侵防护解决方案十分重要。通过对IntruShield进行配置，可以设定对服务器的专门保护方案，从而为企业的重要的资源提供深层防护。

　　4. 签名和行为规则

　　检测入侵最有效的方法是采取混合方式，即整合针对具体攻击的签名和行为规则的力量。这一混合方式可提供已知和未知攻击保护，而同时将误报率保持在最低，从而无须做出任何损失性让步。

　　5. 深层防护

　　强大的安全都是基于深度防御的概念，可进行深层防护。IntruShield独特的体系结构集成了多项专利技术，这种创造性的技术能保护那些具有严格要求的网络。

　　6. 可管理性

　　理想的入侵防护解决方案可使安全设置和政策被各种应用程序、用户组和代理程序利用，从而降低安装并维护大型安全产品的成本。

　　McAfee IntruShield高度自动、易于管理且有很大的灵活性，可分阶段实施安装，从而避免当今原有入侵探测系统不可避免的误报，从而可使客户能够制定正确的政策，以在他们独特的IT基础架构中阻断攻击。

　　7. 可扩展性

　　企业级入侵防护解决方案必须可升级，以满足企业不断发展的需求，而同时保持最高水平的安全。可扩展性体现在可支持众多受保护的服务器、支持大流量和支持分散型安全管理，以满足大型分散式企业的需求。

　　8. 经验证的防护技术

　　企业要选择的IPS解决方案是否采用了业界先进的新技术，是否经过充分测试、使用，并在受到持续不断地维护，这一点很重要。

　　随着互联网的飞速发展，网络成了企业发展的基础架构。当企业在不断拓展网络架构时，企业面临的安全问题也变得越来越复杂了。

　　因为，网络的每一次扩张都为蠕虫病毒和恶意代码创造了新的攻击点，这些攻击对企业来讲都具有非常大的风险。

　　名词解释：IDS VS IPS

　　1、 入侵检测是指：“通过对行为、安全日志或审计数据或其他网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”(国标GB/T18336)。

　　2、 当把入侵防护产品看成是一定安全目标的系统时，我们可称之为入侵防护系统（IPS）。(摘自：公安部计算机信息系统安全产品质量监督检验中心——入侵防御产品安全检验规范)

　　3、 IPS的检测功能类似于IDS，但IPS检测到攻击后会采取行动阻止攻击，可以说IPS是基于IDS的、是建立在IDS发展的基础上的新生网络安全产品。