入侵检测系统IDS(“Intrusion Detection System”)可以对网络、系统的运行状况进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。而入侵防御系统IPS(“Intrusion Prevention System”)在入侵检测的基础上添加了防御功能,一旦发现网络攻击,可以根据该攻击的威胁级别立即采取抵御措施。两者的差别在于:
功能不同。入侵防御系统在入侵检测的基础之上还实现了防护的功能。
实时性要求不同。入侵防御必须分析实时数据,而入侵检测可以基于历史数据做事后分析。
部署方式不同。入侵检测一般通过端口镜像进行旁路部署,而入侵防御一般要串联部署。
如下图:
对于大部分企事业局域网来说,只要你接入了互联网,就会存在被入侵的可能。所以出于网络安全的考虑,每个局域网都应当部署一套或者数套入侵检测防御系统。基于上述区别,我们在选择产品时,可以考虑如下因素:
较为完整的安全解决方案,可以考虑在全网部署入侵检测系统,并在网络的边界点部署入侵防护系统。
若用户只需要网络安全状况的监控功能,只部署入侵检测系统即可。
比如WSG的“入侵防御”,既可以工作在旁路镜像模式下做入侵检测,也可以工作在入侵防御模式。满足各种安全防护的需要。