IDS和IPS雖然一個字母隻差，但是部署方式以及其功能有明顯的區别。首先我們從部署方式上講起。

IDS網絡拓撲部署

一、IDS入侵檢測（旁路部署）

專業上講IDS是依照一定的安全策略，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。打個比喻——假如防火牆是一幢大廈的門鎖，那麼IDS就是這幢大廈裡的監視系統。一旦小偷進入了大廈，或内部人員有越界行為，隻有實時監視系統才能發現情況并發出警告。與防火牆不同的是，IDS入侵檢測系統是一個旁路監聽設備，沒有也不需要跨接在任何鍊路上，無須網絡流量流經它便可以工作。因此，對IDS的部署的唯一要求是：IDS應當挂接在所有所關注的流量都必須流經的鍊路上。在這裡，“所關注流量”指的是來自高危網絡區域的訪問流量和需要進行統計、監視的網絡報文。IDS在交換式網絡中的位置一般選擇為：盡可能靠近攻擊源、盡可能靠近受保護資源。當然IDS也可以和防火牆進行聯動的來阻攔入侵的行為。

IDS的原理

這些位置通常是：1、服務器區域的交換機上；2、Internet接入路由器之後的第一台交換機上；3、重點保護網段的局域網交換機上

IPS的網絡拓撲部署

二、IPS入侵防禦（串行部署）

IPS系統是電腦網絡安全設施，是對防病毒軟件和防火牆的補充。 IPS系統是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。對于部署在數據轉發路徑上的IPS，可以根據預先設定的安全策略，對流經的每個報文進行深度檢測（協議分析跟蹤、特征匹配、流量統計分析、事件關聯分析等），如果一旦發現隐藏于其中網絡攻擊，可以根據該攻擊的威脅級别立即采取抵禦措施，這些措施包括（按照處理力度）：向管理中心告警；丢棄該報文；切斷此次應用會話；切斷此次TCP連接。

辦公網中，需要在以下區域部署IPS：

1、辦公網與外部網絡的連接部位（入口/出口）；

2、重要服務器集群前端；

3、辦公網内部接入層。

4、至于其它區域，可以根據實際情況與重要程度，酌情部署。

IPS與IDS的區别?

A、IPS對于初始者來說，是位于防火牆和網絡的設備之間的設備。這樣，如果檢測到攻擊，IPS會在這種攻擊擴散到網絡的其它地方之前阻止這個惡意的通信。而IDS隻是存在于你的網絡之外起到報警的作用，而不是在你的網絡前面起到防禦的作用。

B、IPS具有檢測已知和未知攻擊并具有成功防止攻擊的能力而IDS沒有

C、IDS的局限性是不能反擊網絡攻擊，因為IDS傳感器基于數據包嗅探技術，隻能眼睜睜地看着網絡信息流過。IPS可執行IDS相同的分析，因為他們可以插入網内，裝在網絡組件之間，而且他們可以阻止惡意活動

如何選擇入侵檢測産品，什麼時候該選擇入侵防禦産品呢?

從産品價值角度講：入侵檢測系統注重的是網絡安全狀況的監管。入侵防禦系統關注的是對入侵行為的控制。與防火牆類産品、入侵檢測産品可以實施的安全策略不同，入侵防禦系統可以實施深層防禦安全策略，即可以在應用層檢測出攻擊并予以阻斷，這是防火牆所做不到的，當然也是入侵檢測産品所做不到的。從産品應用角度來講：為了達到可以全面檢測網絡安全狀況的目的，入侵檢測系統需要部署在網絡内部的中心點，需要能夠觀察到所有網絡數據。如果信息系統中包含了多個邏輯隔離的子網，則需要在整個信息系統中實施分布部署，即每子網部署一個入侵檢測分析引擎，并統一進行引擎的策略管理以及事件分析，以達到掌控整個信息系統安全狀況的目的。而為了實現對外部攻擊的防禦，IPS系統需要部署在網絡的邊界。這樣所有來自外部的數據必須串行通過入侵防禦系統，IPS系統即可實時分析網絡數據，發現攻擊行為立即予以阻斷，保證來自外部的攻擊數據不能通過網絡邊界進入網絡。IDS系統的核心價值在于通過對全網信息的分析，了解信息系統的安全狀況，進而指導信息系統安全建設目标以及安全策略的确立和調整，而入侵防禦系統的核心價值在于安全策略的實施—對黑客行為的阻擊；IDS系統需要部署在網絡内部，監控範圍可以覆蓋整個子網，包括來自外部的數據以及内部終端之間傳輸的數據，入侵防禦系統則必須部署在網絡邊界，抵禦來自外部的入侵，對内部攻擊行為無能為力。

歡迎大家關注信息系統集成vlog，不定時有幹貨分享。