IPS到底是什么?

　　“IPS可以阻断攻击，这正是IDS所做不了的，所以IPS是IDS的升级，是IDS的替代品”，可能很多人都会有这种看法。

　　我们先来看IPS的产生原因：

　　A：串行部署的防火墙可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。

　　B：旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为，作为防火墙的有益补充，但很可惜的是无法实时的阻断。

　　C： IDS和防火墙联动：通过IDS来发现，通过防火墙来阻断。但由于迄今为止没有统一的接口规范，加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果，如SQL注入、溢出攻击等)，使得IDS与防火墙联动在实际应用中的效果不显著。

　　于是就有下面的一种想法

　　IPS的起源

　　IPS产品的起源：一种能防御防火墙所不能防御的深层入侵威胁(入侵检测技术)的在线部署(防火墙方式)安全产品。

　　而为什么会有这种需求呢?是由于用户发现了一些无法控制的入侵威胁行为，这也正是IDS的作用。

　　入侵检测系统(IDS)对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全产品。

　　入侵防御系统(IPS)对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。

　　这也解释了IDS和IPS的关系，并非取代和互斥，而是相互协作：没有部署IDS的时候，只能是凭感觉判断，应该在什么地方部署什么样的安全产品，通过IDS的广泛部署，了解了网络的当前实时状况，据此状况可进一步判断应该在何处部署何类安全产品(IPS等)。