-产经分析-范思立

　　几年前，著名市场研究机构曾抛出了IPS(入侵防御系统)将取代IDS(被动防护的防火墙、旁路监听)的惊人言论，一下子让IPS从默默无闻，突然变成备受瞩目的“明星”。而围绕IPS是否会取代IDS的争论，在安全业界始终没有中断过。

　　IPS 和IDS只有一字之差，从功能原理上说，两者都具有深度包检测、协议异常分析、审计取证管理等，但IPS所具备的阻断功能，已使其成为网络安全中的又一杀手锏。时至今日，IDS没有淡出，并在网络安全市场中，占稳了第三把交椅(仅在防火墙、防病毒之后)。而IPS也被越来越多的用户，列为采购计划之一。然而，IPS未来命运究竟如何呢？

　　日前，安氏领信刚刚发布新产品——LinkTrust IPS ，其总裁李红松说：“IDS虽然在网络安全中的主力军地位不会改变，但其‘只监听、不防御’的局限性，还是逐渐暴露出来。IPS则部分继承了IDS数据包深度分析和监控的能力，并能采用串入网络方式，直接对各类攻击进行阻断，从而使企业的应用业务免受威胁，并将成为未来企业安全采购中的主流产品。”

　　IPS出现有着特定的背景。根据中国互联网协会统计，中国去年发生的互联网安全事件比上年增加了一倍。而在2006年上半年，仅国家计算机网络应急技术处理协调中心共收到国内外的非扫描类网络安全事件6765件，平均每月1100多件，由此可见，网络攻击事件仍在不断增多，传统单一防护手段力不从心。

　　防火墙是企业安全防御体系中的主力军，以其为例，大部分工作在包过滤和状态检测之下，其原理是通过设置规则，把不符合安全策略的包都过滤掉。但防火墙不对内容进行检测，也无法检测那些链接或嵌入到普通流量中的恶意攻击代码。可以说，防火墙提供的是粗粒度、单一技术的防护，因此面对复杂、纵深的混合威胁，往往无计可施。尤其对目前日益猖獗的混合型攻击、恶意代码入侵、带宽滥用等威胁，防火墙的不足也越来越明显。

　　入侵检测一直被称为网络中的监视设备，只能提供旁路监听能力和审计功能，以及报警和记录能力。但入侵检测本身并不具备阻断攻击的能力，只有通过警报通知管理员，或者与防火墙联动，才能实现防御。另外，入侵检测通常需要专门技术人员来进行维护，否则很难完全发挥其效力。当然，在没有IPS之前，入侵检测也是网络安全体系不可缺少的部署，在阻断冲击波等针对系统漏洞的攻击中，IDS能够有效检验出异常攻击，通知用户采取措施。安全分析师董锐认为，传统的网络安全产品，普遍存在功能上的偏重，但企业面临的威胁却在不断变化和加剧，因此，新的安全技术和思维，已是势在必行。

　　作为一家以自主创新和产品领先著称的信息安全企业，安氏领信曾经在IDS领域，创造了多年第一的奇迹。安氏领信在拥有大量IDS客户群的基础上，对客户的深层需求作了大量的研究分析。最终安氏领信越来越深切地感受到，客户对兼具监测和防御功能的IPS产品，还是有强烈需求的。

　　安氏领信还在IPS设计中，进一步加强了解决误报等问题。李红松介绍：“安氏领信在IDS领域多年的优势，在LinkTrust IPS上也得到更好体现。”此外，新的IPS还引入动态防护体系的思想，通过先进的检测技术，以及环境感知和关联分析等，极大降低了误报率。在产品可靠性方面，LinkTrust IPS作了大量针对性的设计和改进。