四、IPS选购时需要关注其涉及的层面

　　在文章一开始，笔者就谈到过，Web服务器从上到下可以分为三层。如果任何一层出现漏洞，那么都会给服务器带来致命的打击。为此我们在选择IPS防御系统的时候，也需要关注，其选择的产品到底是否能够对这个三个层面构成一个立体的防御体系。

　　如针对Web网页程序的攻击，管理员需要评估产品是否会分析网页程序ud每一个HTTP请求，并根据常见的网页漏洞原理对每个客户端提交的HTTP请求进行攻击特征匹配。如果发现有可疑的请求，能够自动将攻击报文阻断并报警。

　　而对于中间层来说，需要IPS防御系统能够分析跟踪Web服务器中间层组建的攻击特点以及常见的漏洞，并在IPS系统中实现核心的防护措施。如对于SQLServer数据库服务器来说，IPS系统需要根据已有的信息，来判断SQLServer服务器是否存在可以被攻击的漏洞等等。

　　对于底层的操作系统来说，需要IPS系统能够对其提供防护。如系统需要分析常见操作系统的每一个可以被远程利用的漏洞，分析漏洞的原因和利用这个漏洞发生攻击的常见手段。并从历史的攻击案例中分析出攻击的特征。然后将这个结果与现有的数据流进行匹配，以判断是否有可以的攻击行为。

　　在选型时，安全技术人员需要评估IPS能否在以上三个层面提供足够安全的技术保障。如果不能股从技术层面进行测试的话，那么至少要看看其是否通过了相关的国际认证。如对于操作系统层的防火，可以考察其是否通过了微软的MAPP认证。因为只要通过了这个认证，那么厂商就可以提前获得微软的漏洞信息(在微软正式发布漏洞声明之前)。对于安全防护来说，有时候时间就是生命。提早一步知道系统的漏洞，那么就可以在攻击者发起攻击之前就采取防护措施。

　　另外有些厂商提供的IPS防御系统，其关注的内容并不是很全面。如只管住中间层和Web网页程序层的内容。他们认为操作系统层的安全可以有系统管理员来负责或者由微软的Update服务来实现。虽然这也有一定的道理，但是其会增加管理人员的工作量。需要同时从多个平台上来可以Web服务器的安全。这不是很理想。

　　五、根据Web服务器的规模来选择不同规格的产品

　　Web服务器是一个很特殊的应用。其客户多则有上亿，而少则可能只有几百个(如一个B/S架构的OA应用)。这就对IPS的选型提出了一个额外的挑战。因为所有的通信都需要经过IPS系统的检测。为此对于其性能肯定会造成一定程度的影响。

　　当Web服务的并发性访问数量比较高时，这个负面影响会非常的严重。此时对于IPS服务器就需要采用比较高的配置，以缩短检测过程所占用的时间。而对于规模比较小的应用，其流量本身就不是很大，此时采用的配置可以底一点。毕竟一分钱一分货。高配置与低配置在最后的结果上可能没有多少的差异，但是在性能上会相差很多。当然在价格上，也是一个天上、一个地下。

　　总之，在选择IPS防御系统的时候，要根据自己企业的Web规模来选择合适的规格。此时主要是从IPS的吞吐量，即性能角度进行考虑。一个基本的原则，就是尽可能的减少由于采用了IPS系统而给用户带来的负面影响。