為了滿足用戶和業務的需求，時刻保持競爭優勢，企業不得不持續擴張網絡體係。然而，很多人可能不知道，網絡的每一次擴張，即便是一臺新計算機、一臺新服務器以及軟件應用平臺，都將給病毒、蠕蟲、黑客留下可乘之機，為企業網絡帶來額外的安全風險。同時，純病毒時代已經一去復返了，幾年前佔據著新聞頭條的計算機病毒事件（LoverLetter、Melissa和Michelangelo）在今天看來已經不是什麼新聞了，而取代它們的卻是破壞程度呈幾何增長的新型病毒。這種新型病毒被稱為混合型病毒，這種新病毒結合了傳統電子郵件病毒的破壞性和新型的基于網絡的能力，能夠快速尋找和發現整個企業網絡內存在的安全漏洞，並進行進一步的破壞，如拒絕服務攻擊，拖垮服務器，攻擊計算機或係統的薄弱環節。

    混合威脅不斷發展，單一的防護措施已經無能為力，企業需要對網絡進行多層、深層的防護才能有效。真正的深層防護體係不僅能夠發現惡意代碼，而且還能夠主動地阻止惡意代碼的攻擊。在當今混合威脅盛行的時代，只有深層防護才可以確保網絡的安全。談到深層防護體係，一定要談到入侵防護係統（IPS）。

    早在1980年，IDS的概念就已經產生了。在1990年，出現了世界上第一個網絡入侵檢測係統。在早期，網絡入侵檢測產品存在著各種各樣的問題，例如誤報、漏報太多，運行不夠穩定，高負載下性能太差，不能進行連接狀態分析等。但是，經歷過10年的發展和創新之後，IDS曾一度受到企業歡迎的解決方案。

    可是，當面臨當今不斷變發展的混合威脅時，IDS還是不足以阻斷當今網際網路中不斷發展的攻擊。在保護企業至關重要的服務器不受攻擊方面，IT和網絡安全經理面臨著眾多的挑戰。缺少專用的安全資源和越來越先進的攻擊方式是最令人頭疼的兩個問題。入侵檢測係統的一個主要問題是它不會主動在攻擊發生前阻斷它們。同時，許多入侵檢測係統基于簽名，所以它們不能檢測到新的攻擊或老式攻擊的變形，它們也不能對加密流量中的攻擊進行檢測。

    因為，絕大多數 IDS 係統都是被動的，而不是主動性的，也就是說，在攻擊實際發生之前，它們往往無法預先發出警報。入侵防護係統則傾向于提供主動性的防護，其設計旨在預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時或傳送後才發出警報。IPS 是通過直接嵌入到網絡流量中而實現這一功能的，即通過一個網絡端口接收來自外部係統的流量，經過檢查確認其中不包含異常活動或可疑內容後，再通過另外一個端口將它傳送到內部係統中。這樣一來，有問題的數據包，以及所有來自同一數據流的後續數據包，都能夠在 IPS 設備中被清除掉。

    IPS則是一種主動的、積極的入侵防范、阻止係統，其設計旨在預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成任何損失，而不是簡單地在惡意流量傳送時或傳送後才發出警報。它部署在網絡的進出口處，當它檢測到攻擊企圖後，它會自動地將攻擊包丟掉或採取措施將攻擊源阻斷。舉一個簡單的例子，IDS就如同火災預警裝置，火災發生時，它會自動報警，但無法阻止火災的蔓延，必須要有人來操作進行滅火。而IPS就像智能滅火裝置，當它發現有火災發生後，會主動採取措施滅火，中間不需要人的幹預。

    為了滿足市場和用戶的需求，McAfee推出了McAfee IntruShield入侵防護解決方案，該方案採用了業界最先進的實時網絡入侵檢測和防護體係，集成了多項專利技術包括特徵檢測、異常檢測和拒絕服務分析技術，從而能在幾千兆的網絡流量下進行準確和智能的檢測和防護。這種對創造性技術空前的駕馭能保護那些具有最嚴格要求的網絡，使其免遭已知攻擊、首次發生的未知攻擊，以及DoS攻擊的影響。

    IPS的出現不僅解決了目前其它安全解決方案不能解決的問題，而且還為企業節省了開銷。 美國的一家財務公司，在全球有12個分支機構，原來使用250個許可證的IDS產品，目前，用30個許可證的IPS產品就能實現全球網絡的入侵防護，而管理人員只需要3至4人，效率卻提高了6倍以上。從這個例子可以看出，IPS徹底取代了IDS，成為企業入侵防護的主流解決方案。從這個例子可以看出，IPS就應該是這個時代安全守護神。

    入侵檢測係統剛剛得到了普及，轉眼之間，它已經被稱為“過時的”係統了。這不僅說明，我們面臨的威脅更加復雜了，而且入侵檢測係統的確也已經過時了。因為，IDS 設備在設計時就根本沒有考慮 IPS 功能，它們是一種檢測機制，而不是預防手段。企業要想擁有一個高效、完整的網絡結構，深層防護理念一定是構建安全體係的航標。只有在它的指引下，才能真正地免遭混合威脅的侵擾。值得強調的是，入侵防護將是未來深層防護體係的核心，因為只有它才能夠檢測到攻擊，才能主動地阻止攻擊。(作者：朱敏/本文刊于《中國傳媒科技》2005.9)