網絡入侵防御系統監控和分析企業的網絡流量來發現惡意活動，并通過切斷和/或阻止相關網絡連接來攔截這些活動。多年來，IPS一直被用在核心網絡位置，例如非常靠近防火墻來發現其他安全技術無法檢測到的各種基于網絡的攻擊。

網絡入侵防御系統的前身被稱為入侵檢測系統(IDS)，它提供與IPS相同類型的功能，區別在于IDS不能阻止惡意活動。大多數早期網絡入侵防御系統采用基于簽名的檢測技術，這些技術可根據特定蠕蟲病毒特有的字節序列，發現來自該蠕蟲的通信。網絡入侵防御系統則開始利用各種更為先進的檢測技術，它們可以理解應用協議和通信的復雜性，從而檢測基于應用的攻擊，以及在其他網絡堆棧層的攻擊。

現在有很多網絡入侵防御系統產品，它們主要有三種形式，而本文重點介紹的作為專用硬件和軟件產品的IPS，這種IPS直接部署到企業的網絡，以及虛擬設備以部署到服務器內虛擬網絡。

網絡入侵防御系統的架構

在入侵防御系統部署的核心是一個或多個傳感器，每個傳感器被戰略定位以監控特定網絡段的流量。在過去，企業為每個網絡段部署傳感器，但現在單個傳感器就可同步監控多個網絡段。為了監控關鍵網絡段，IPS傳感器通常部署在有著不同安全政策的網絡，例如互聯網連接點，或者內部用戶網絡連接到內部服務器網絡的位置。

除了硬件設備傳感器，有些供應商還提供虛擬設備傳感器，它們具有與硬件設備傳感器相同的監控和分析功能，但虛擬設備主要用于部署在運行虛擬機的服務器內，以監控這些虛擬機之間的虛擬網絡。在這種架構中，服務器中虛擬設備很有必要，因為虛擬機之間的網絡流量將不會傳輸到服務器之外。

IPS架構的另一個重要方面是管理。網絡入侵防御系統供應商通常提供集中管理控制臺，該控制臺可用于監控配置，并可維護所有IPS傳感器—無論是硬件還是虛擬。很多企業還選擇將其IPS產品配置為：讓來自IPS傳感器的數據可以復制到安全信息和事件管理產品或其他企業安全控制，用于進一步分析以及事故處理。這通常不再需要專用數據庫或為IPS日志提供長期存儲的其他方法。

IPS架構面對的最大問題是使用加密來保護網絡流量。這種安全做法可以保護網絡流量的內容，讓IPS傳感器不能進行分析，因此不能檢測加密流量內的攻擊。企業越來越多地部署IPS設備來發現網絡中流量沒有加密的地方，例如在虛擬專用網絡服務器解密傳入流量后。

網絡入侵防御系統的典型環境

網絡入侵防御系統幾乎可用于所有環境，因為它們可以檢測并阻止其他安全控制無法檢測的某些類型的攻擊。例如，大多數IPS可以解譯和分析數百(甚至數千)應用協議;這使它們可以檢測除電子郵件和Web流量之外的基于應用的攻擊，電子郵件和Web流量是其他安全控件最經常會涵蓋的應用。

然而，本文中探討的入侵防御產品(專用硬件和軟件)最適合中型和大型企業。這是因為與其他IPS形式相比，專有IPS硬件和軟件成本更高，并且，通過專有硬件和軟件可實現更高的性能和負載分離。

而在小型企業，專有IPS硬件和軟件的低部署率的主要原因是：下一代防火墻(NGFW)等其他企業安全技術中有可用的IPS模塊。企業通常只要支付更低的采購和部署成本就使用這些模塊，因為不需要額外的硬件;長期管理和維護也更加便宜，同時，IPS可作為NGFW的一部分來管理。如果小型企業有充足的資源，當然也可以選擇專有IPS產品，以獲得更高的性能、冗余性等。小型企業也越來越多地部署基于云的IPS服務，這可能可以代表企業來進行IPS監控和管理。

使用、部署和管理IPSes的成本

雖然硬件設備和虛擬設備入侵防御系統產品有著幾乎相同的功能，但在使用和部署的成本方面則存在顯著區別。

基于硬件設備的入侵防御產品的部署成本通常非常高大多數，因為企業需要大量傳感器設備來監控外圍和內部網絡的關鍵點，并且，每個設備可能都非常昂貴。但實際IPS部署成本并沒有那么高，只是企業可能需要中斷網絡來物理地將IPS傳感器插入到流量，以及重新配置網絡基礎設施來使用它們。

與硬件設備相比，虛擬設備可顯著降低使用和部署成本。由于不需要硬件，使用和部署成本相對較低，只需要軟件許可證以及安裝軟件到使用虛擬化技術的服務器。

在IPS管理方面，IPS技術已經被設計為盡可能地自動化，但企業可能仍需要投入大量資源來定制和優化每個IPS傳感器。IPS技術依靠各種檢測技術，然而，并非所有這些技術都萬無一失。眾所周知，IPS誤報率非常高(即良性活動被IPS錯誤判定為惡性)。近年來，這方面已經明顯好轉，但仍然會發生，所以IPS管理員必須警惕審查IPS警報，并調試檢測功能以盡量減少誤報率。如果企業在使用IPS的防御功能，這一點尤其重要，因為誤報率可能會導致良性流量被阻止。

管理網絡入侵防御系統

網絡入侵防御產品的目的是發現和阻止企業網絡中的惡意活動。IPS主要有三種形式，本文中重點專注于其中一種形式：通過專有硬件和軟件而不是硬件設備或虛擬設備提供的IPS。這兩種類型的設備平臺的功能幾乎相同，但在架構和部署成本方面，這兩者顯著不同。此外，雖然入侵防御產品幾乎有利于所有企業，但通過硬件或虛擬設備提供的IPS主要部署在中型和大型企業。小型企業則通常通過NGFW中的模塊或者基于云的IPS服務來獲取IPS功能。

在考慮使用基于硬件設備的IPS產品時，企業應該仔細評估部署特別是管理的潛在成本。盡管現在IPS供應商的技術已經高度自動化，企業仍然需要投入相當大的精力來監控和調查IPS警報、調試IPS檢測功能以及確保IPS在尋找最新的威脅。總之，企業投入更多精力來管理其IPS傳感器，將會從中獲得更多的價值。