眾所周知，防火墻、IDS是目前網(wǎng)絡(luò)安全市場(chǎng)中最厲害的兩員猛將。

現(xiàn)在，市場(chǎng)上又出現(xiàn)了一種新趨勢(shì)，將兩者合二為一，統(tǒng)一成一種產(chǎn)品，可以檢測(cè)入侵，還可以實(shí)時(shí)防御，它的名字就叫IDP（Intrusion Detection & Prevention）。

I(yíng)DP（Intrusion Detection & Prevention）入侵檢測(cè)和防御產(chǎn)品，是指不但能檢測(cè)入侵的發(fā)生，而且能通過一定的響應(yīng)方式，實(shí)時(shí)地中止入侵行為的發(fā)生和發(fā)展，實(shí)時(shí)地保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性攻擊的一種智能化的安全產(chǎn)品。它是目前網(wǎng)絡(luò)安全技術(shù)中比較新的產(chǎn)品，IPS（Intrusion Prevention System，入侵防御系統(tǒng)）是IDP的另外一種稱呼。

或許大家會(huì)問，我們的網(wǎng)絡(luò)系統(tǒng)已經(jīng)布置了防火墻和IDS，網(wǎng)絡(luò)系統(tǒng)已經(jīng)很安全了，IDP產(chǎn)品又能給我們帶來什么好處呢？

通常，人們認(rèn)為防火墻可以保護(hù)處于它身后的網(wǎng)絡(luò)不受外界的侵襲和干擾。但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，傳統(tǒng)防火墻在使用的過程中暴露出以下的不足：一、傳統(tǒng)的防火墻在工作時(shí)，入侵者可以偽造數(shù)據(jù)繞過防火墻或者找到防火墻中可能敞開的后門；二、防火墻完全不能防止來自網(wǎng)絡(luò)內(nèi)部的襲擊，通過調(diào)查發(fā)現(xiàn)，將近65%的攻擊都來自網(wǎng)絡(luò)內(nèi)部，對(duì)于那些對(duì)企業(yè)心懷不滿或假意臥底的員工來說，防火墻形同虛設(shè)；三、由于防火墻性能上的限制，通常它不具備實(shí)時(shí)監(jiān)控入侵的能力；四、防火墻對(duì)于病毒的侵襲也是束手無策。

正因?yàn)槿绱?，那些認(rèn)為在Internet入口處設(shè)置防火墻系統(tǒng)就足以保護(hù)企業(yè)網(wǎng)絡(luò)安全的想法是不切實(shí)際的。也正是這些因素引起了人們對(duì)入侵檢測(cè)技術(shù)的研究及開發(fā)。入侵檢測(cè)系統(tǒng)（IDS）可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)提供實(shí)時(shí)的監(jiān)控，并且在發(fā)現(xiàn)入侵的初期采取相應(yīng)的防護(hù)手段，IDS系統(tǒng)作為必要附加手段。已經(jīng)為大多數(shù)組織機(jī)構(gòu)的安全構(gòu)架所接受。

經(jīng)過近幾年的發(fā)展，IDS產(chǎn)品開始步入一個(gè)快速的成長(zhǎng)期，用戶也開始認(rèn)可IDS在網(wǎng)絡(luò)安全防御中不可替代的作用。但是，與此同時(shí)，大家也逐漸意識(shí)到IDS所面臨的問題：一、較高的漏報(bào)率和誤報(bào)率；二、對(duì)IDS系統(tǒng)的管理和維護(hù)比較難，它需要安全管理員有足夠的時(shí)間、精力及豐富的知識(shí)，以保持傳感器的更新和安全策略的有效；三、當(dāng)IDS系統(tǒng)遭受拒絕服務(wù)攻擊時(shí)，它的失效開放機(jī)制使得黑客可以實(shí)施攻擊而不被發(fā)現(xiàn)（IDS系統(tǒng)的失效開放機(jī)制是指，一旦系統(tǒng)停止作用，整個(gè)網(wǎng)絡(luò)或主機(jī)就變成開放的。這與防火墻的失效關(guān)閉機(jī)制正好相反，防火墻一旦失效，整個(gè)網(wǎng)絡(luò)是不可訪問的）；四、最重要的是，IDS系統(tǒng)是以被動(dòng)的方式工作，只能檢測(cè)攻擊，而不能阻止攻擊。

新品IDP彌補(bǔ)IDS不足 與防火墻緊密互動(dòng)

由于IDS系統(tǒng)的局限性，市場(chǎng)上又出現(xiàn)了IDP產(chǎn)品。目前的IDP產(chǎn)品可以認(rèn)為是IDS系統(tǒng)的替代品，它同樣可以分為網(wǎng)絡(luò)型IDP和主機(jī)型IDP。與IDS相比，IDP最大的特點(diǎn)就在于，它不但能檢測(cè)到入侵的發(fā)生，而且有能力中止入侵活動(dòng)的進(jìn)行；并且，IDP能夠從不斷更新的模式庫(kù)中發(fā)現(xiàn)各種各樣新的入侵方法，從而做出更智能的保護(hù)性操作，并減少漏報(bào)和誤報(bào)。

大家知道，在目前的網(wǎng)絡(luò)安全防御體系中，防火墻與IDS系統(tǒng)之間是可以實(shí)現(xiàn)互動(dòng)的，從而實(shí)現(xiàn)最大程度的安全。那么，防火墻和IDP產(chǎn)品之間將又會(huì)實(shí)現(xiàn)怎樣的互動(dòng)呢？筆者在這里做一個(gè)大膽的猜想，當(dāng)然，這種猜想來源于防火墻和IDS系統(tǒng)之間互動(dòng)的實(shí)現(xiàn)方式。

通過開放接口實(shí)現(xiàn)互動(dòng)

一種是通過開放接口來實(shí)現(xiàn)互動(dòng)。即防火墻或者IDP產(chǎn)品開放一個(gè)接口供對(duì)方調(diào)用，按照一定的協(xié)議進(jìn)行通信，傳輸警報(bào)。這種方式比較靈活，防火墻可以行使它第一層防御的功能——訪問控制，IDP系統(tǒng)可以行使它第二層防御的功能——檢測(cè)入侵，丟棄惡意通信，確保這個(gè)通信不能到達(dá)目的地，并通知防火墻進(jìn)行阻斷。而且，這種方式不影響防火墻和IDP產(chǎn)品的性能，對(duì)于兩個(gè)產(chǎn)品的自身發(fā)展比較好。但是，由于是兩個(gè)系統(tǒng)的配合，所以要重點(diǎn)考慮防火墻和IDP產(chǎn)品互動(dòng)的安全性。

緊密集成實(shí)現(xiàn)互動(dòng)

另一種是實(shí)現(xiàn)緊密集成，即把IDP技術(shù)與防火墻技術(shù)集成到同一個(gè)硬件平臺(tái)上，在統(tǒng)一的操作系統(tǒng)管理下有序地運(yùn)行。這種方式實(shí)際上是把兩種產(chǎn)品集成到一起，所有通過這個(gè)硬件平臺(tái)的數(shù)據(jù)不僅要接受防火墻規(guī)則的驗(yàn)證，還要被檢測(cè)判斷是否有攻擊，以達(dá)到真正的實(shí)時(shí)阻斷。值得注意的是，這種安全平臺(tái)與一些廠商提倡的“胖防火墻”的概念有著本質(zhì)的區(qū)別?！芭址阑饓Α笔且苑阑饓δ転橹?，其它的安全功能只是作為一種補(bǔ)充，它在本質(zhì)上還是防火墻。

對(duì)于這種緊密集成的安全平臺(tái)，由于IDP產(chǎn)品和防火墻本身都是很龐大的系統(tǒng)，所以實(shí)施的難度比較大，集成后的性能也會(huì)受很大的影響。同時(shí)，如果集成的話，不會(huì)僅僅只集成IDP與防火墻兩種技術(shù)，而一定會(huì)把更多的安全技術(shù)集成到一起，從而構(gòu)成多個(gè)安全產(chǎn)品的緊密結(jié)合——入侵防御系統(tǒng)（IPS）。