入侵防御系统（Intrusion Prevention System，IPS）是这段时间网络安全业内比较热门的一个词，这种既能及时发现又能实时阻断各种入侵行为的安全产品，自面世那天起，就受到各大安全厂商和用户的广泛关注。

　　有人认为，入侵防御系统（IPS）就是入侵检测系统（Intrusion Detection System，IDS）的升级产品，有了IPS，就可以替代以前的IDS系统，这也正是gartner 在2003年发表那篇著名的“IDS is dead” 的理由。

　　从入侵防御系统的起源来看，这个“升级说”似乎有些道理：Network ICE公司在2000年首次提出了IPS这个概念，并于同年的9月18日推出了BlackICE Guard，这是一个串行部署的IDS，直接分析网络数据并实时对恶意数据进行丢弃处理。

　　但这种概念一直受到质疑，自2002年IPS概念传入国内起，IPS这个新型的产品形态就不断地受到挑战，而且各大安全厂商、客户都没有表现出对IPS的兴趣，普遍的一个观点是：在IDS基础上发展起来的IPS产品，在没能解决IDS固有问题的前提下，是无法得到推广应用的。

　　这个固有问题就是“误报”和“滥报”，IDS的用户常常会有这种苦恼：IDS界面上充斥着大量的报警信息，经过安全专家分析后，被告知这是误警。但在IDS旁路检测的部署形式下，这些误警对正常业务不会造成影响，仅需要花费资源去做人工分析。而串行部署的IPS就完全不一样了，一旦出现了误报或滥报，触发了主动的阻断响应，用户的正常业务就有可能受到影响，这是所有用户都不愿意看到和接受的。正是这个原因，导致了IPS概念在05年之前的国内市场表现平淡。

　　随着时间的推进，自2006年起，大量的国外厂商的IPS产品进入国内市场，各本土厂商和用户都开始重新关注起IPS这一并不新鲜的“新”概念。从功能上来看，IDS是一种并联在网络上的设备，它只能被动地检测网络遭到了何种攻击，它的阻断攻击能力非常有限，一般只能通过发送TCP reset包或联动防火墙来阻止攻击。“IDS+FW”也无法防御应用层的攻击，而且仅仅能报警，联动时延太长，很多“单包攻击”无法抵御。
IPS则是一种主动的、积极的入侵防范、阻止系统，它部署在网络的进出口处，当它检测到攻击企图后，对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报，同时在应用层的内容检测基础上加上主动响应和过滤功能，弥补了传统的主流网络安全技术不能完成更多内容检查的不足。
稳定性
防火墙和入侵检测产品两个产品防御攻击会使系统很复杂，任何一个产品发生故障都会导致安全防范体系的崩溃，而且防火墙和入侵检测产品的互动没有一个被广泛认可的通用标准，用户在采购安全产品的时候，不得不考虑到不同产 品的交互性问题，从而限制了用户选择产品的范围。IPS的稳定性已经逐渐得到大家的认可。
综合投资
防火墙加入侵检测系统两个产品的维护成本比较高，综合投资远远大于IPS。