看似IDS和IPS重叠,实则不同

　　对于“IDS和IPS(IDP)谁更满足用户需求?”这个问题，给人一个二选一的感觉。对于IDS和IPS的业界讨论，也从2003年 Gartner公司副总裁Richard Stiennon发表的一份名为《入侵检测已寿终正寝，入侵防御将万古长青》的报告开始在安全业界掀起不小的波动。经过了这么长时间的反复文字争论，以及观看近来的产品开发和市场反馈，冷静的业界人士和客户已经看到这根本不是一个二选一的问题。回答这个问题和回答“IDS和防火墙谁更满足用户需求?”“IPS和防火墙谁更满足用户需求?”这些问题是一样的。

　　“用户需求”是什么?

　　分析哪个产品更加满足用户需求，就需要我们真正看清用户的安全需求到底是什么。

　　很显然，用户需要的不是单一的产品，也不是众多产品的简单堆砌。现在一个比较流行的说法就是“信息安全保障体系(系统)”。也就是用户的安全是要靠众多技术产品、服务和管理等要素组合成一个完整的体系，来解决所面临的安全威胁保护自己的信息资产和业务。

　　下图是启明星辰提出的一个用户应当考虑建立的信息安全保障体系的示意图：

　　在上面的安全保障框架中，不同的产品、服务、措施会在不同的地方发挥作用。比如，PKI和生物鉴别机制在“鉴别认证”领域，入侵检测在“监测、监控和预警”领域，防火墙和IPS在“访问控制”领域，数据加密和内容过滤在“内容安全”领域，等等。讨论不同的安全技术领域那个更加符合用户的需求，其实不如探讨如何让各种安全技术如何有效地协同工作。

　　当然，有些技术会跨越多个技术领域，比如VPN就兼具访问控制和内容安全两个方面。IPS就是另外一个例子，其技术涉及到访问控制和检测两个方面。

　　IPS真的能够替代防火墙和IDS吗?有了包子，是不是就不需要馒头和肉丸?这里面关键要看IPS到底覆盖了多少?

　　安全功能满足安全需求，不是文字游戏

　　提供IPS(IDP)的厂商常常声称其IPS能够兼具防火墙的网关防御能力和入侵检测的深度检测。

　　“某某IPS可以精确检测各种攻击行为。某某IPS部署在…深度检查每一个进出的数据包。当检测出恶意流量时，该设备就会丢弃相应连接，使之不能进入网络。”

　　上面是典型的宣传IPS的说法。但是，应当说这是对于客户的误导。因为，紧紧将两个词汇拼合在一起，是不能真正解决问题的。