快速了解關於IDS和IPS的安全區別

正如我們大家所知道的那樣，互聯網的無處不在已經完全改變了我們所知道的網絡。過去完全孤立的網絡現在連接到了全世界。這種無處不在的連接使企業能夠完成過去不可想象的任務。然而，與此同時還存在一個黑暗面。互聯網變成了網絡犯罪分子的天堂。這些網絡犯罪分子利用這種連接向企業發起了數量空前的多的攻擊。當互聯網最初開始流行的時候，企業開始認識到它們應該使用防火牆防止對它們實施的攻擊。防火牆通過封鎖沒有使用的TCP和UDP端口發揮作用。雖然防火牆在封鎖某些端口的攻擊是有效的，但是，有些端口對於HTTP、SMTP和POP3通信是有用的。為了保證這些服務工作正常，對這些常用的服務的對應的端口必須要保持開放的狀態。問題是，黑客已經學會了如何讓惡意通信通過這些通常開放的端口。

　　為了應付這種威脅，一些公司開始應用入侵檢測系統(IDS)。IDS的思路是監視經過你的防火牆的全部通信並且查找可能是惡意的通信。這個思路在理論上是非常好的，但是，在實際上，IDS系統由於某些原因的影響工作得並不好。

　　早期的IDS系統通過查找任何異常的通信發揮作用。當檢測到異常的通信時，這種行動將被記錄下來並且向管理員發出警報。這個過程很少出現問題。對於初始者來說，查找異常通信方式會產生很多錯誤的報告。經過一段時間之後，管理員會對收到過多的錯誤警報感到厭煩，從而完全忽略IDS系統的警告。

　　IDS系統的另一個主要缺陷是它們僅監視主要的通信。如果檢測到一種攻擊，它將提醒管理員采取行動。人們認為IDS系統采取的這種方法是很好的。總之，由於IDS系統會產生很多的錯誤報告，你真的願意讓IDS系統對合法的網絡通信采取行動嗎?

　　在過去的幾年裡，IDS系統已經有了很大的進步。目前，IDS系統的工作方式更像是一種殺毒軟件。IDS系統包含一個名為攻擊簽名的數據庫。這個系統不斷地把入網的通信與數據庫中的信息進行比較。如果檢測到攻擊行動，IDS系統就發出這個攻擊的報告。

　　比較新的IDS系統比以前的系統更准確一些。但是，這個數據庫需要不斷地更新以保持有效性。而且，如果發生了攻擊並且在數據庫中沒有相匹配的簽名，這個攻擊可能就會被忽略。即使這個攻擊被檢測到了並且被證實是一種攻擊，IDS系統除了向管理員發出警報和記錄這個攻擊之外沒有力量做出任何事情。

　　這就是入侵防御系統(IPS)的任務了。IPS與IDS類似，但是，IPS在設計上解決了IDS的一些缺陷。

　　對於初始者來說，IPS位於你的防火牆和網絡的設備之間。這樣，如果檢測到攻擊，IPS會在這種攻擊擴散到網絡的其它地方之前阻止這個惡意的通信。相比之下，IDS只是存在於你的網絡之外起到報警的作用，而不是在你的網絡前面起到防御的作用。

　　IPS檢測攻擊的方法也與IDS不同。目前有很多種IPS系統，它們使用的技術都不相同。但是，一般來說，IPS系統都依靠對數據包的檢測。IPS將檢查入網的數據包，確定這種數據包的真正用途，然後決定是否允許這種數據包進入你的網絡。

　　正如你所看到的，IDS和IPS系統有一些重要的區別。如果你要購買有效的安全設備，如果你使用IPS而不是使用IDS，你的網絡通常會更安全。