【IT168 安全】在许多人看来，入侵检测和入侵防御没什么区别，很多做入侵检测的厂商同时也做入侵防御，甚至连它们的缩写“IDS”和“IPS”都这么的相像。那么这两款产品有区别吗?区别在哪?入侵防御和UTM之间该如何选择?未来它们将会如何发展，本文将就这几个问题做一一分析。

　　用户选择之惑

　　从出现先后顺序来看，入侵检测无疑是前辈：甚至最早的入侵防御产品就是在入侵检测产品的基础上改造而成。

　　顾名思义，入侵检测产品就是对入侵行为进行检查的产品，那为什么要检测入侵呢?大家都知道，入侵检测技术起源于审计，是由于需要/想知道网络里到底发生过什么事情，毕竟网络世界不像真实世界这样可视化。

　　而和入侵检测有着共同基础的入侵防御产品则不然，它的重点是防护，看上去更像我们熟悉的防火墙产品。当然，入侵防御也有和传统防火墙不一样的地方：防火墙的规则是允许具备某些特征的数据包通过，比如TCP80端口的数据包，在Web服务跟前，就是被允许通过的;而入侵防御的规则刚好相反，不允许具备某些特征的数据包通过，某一个数据包携带的数据被认定为溢出攻击，就将被拒绝通过。当然，还有一种说法就是，防火墙关注的是会话层以下的网络数据，而入侵防御则关注会话层-应用层的数据。有一定技术基础的朋友一定能很快看出上面的问题，“且慢，这根本就不是问题，我完全可以做到只让那些符合某些规则(防火墙规则)，又不具备某些特征(入侵特征)的数据通过”。“至于防火墙不关注会话层以上的数据，这就更简单了，不论以前是由于什么原因不关注，现在开始也分析好了，只要性能能跟上，技术上没有困难”。

　　没错，正是上面提到的所谓区别在硬件技术和检测技术的发展面前都已经不是问题了，所以才会使得UTM这一概念获得人们的认可：我们喜欢防火墙式的一劳永逸，我们需要入侵防御的应用层威胁防护，于是我们把这两个功能在一个硬件上实现了。一些安全厂商/用户并不能区别单独的入侵防御产品和UTM产品中的入侵防御之间的区别，于是就陷入了一个误区：我应该选择入侵防御还是UTM?如果入侵防御可以在UTM中实现，是不是以后就没有单独的入侵防御产品了?