在許多人看來，入侵檢測和入侵防御沒什么區(qū)別，很多做入侵檢測的廠商同時也做入侵防御，甚至連它們的縮寫“IDS”和“IPS”都這么的相像。那么這兩款產(chǎn)品有區(qū)別嗎？區(qū)別在哪？入侵防御和UTM之間該如何選擇？未來它們將會如何發(fā)展，本文將就這幾個問題做一一分析。

用戶選擇之惑

從出現(xiàn)先后順序來看，入侵檢測無疑是前輩：甚至最早的入侵防御產(chǎn)品就是在入侵檢測產(chǎn)品的基礎(chǔ)上改造而成。

顧名思義，入侵檢測產(chǎn)品就是對入侵行為進(jìn)行檢查的產(chǎn)品，那為什么要檢測入侵呢？大家都知道，入侵檢測技術(shù)起源于審計，是由于需要/想知道網(wǎng)絡(luò)里到底發(fā)生過什么事情，畢竟網(wǎng)絡(luò)世界不像真實世界這樣可視化。

而和入侵檢測有著共同基礎(chǔ)的入侵防御產(chǎn)品則不然，它的重點是防護，看上去更像我們熟悉的防火墻產(chǎn)品。當(dāng)然，入侵防御也有和傳統(tǒng)防火墻不一樣的地方：防火墻的規(guī)則是允許具備某些特征的數(shù)據(jù)包通過，比如TCP 80端口的數(shù)據(jù)包，在Web服務(wù)跟前，就是被允許通過的；而入侵防御的規(guī)則剛好相反，不允許具備某些特征的數(shù)據(jù)包通過，某一個數(shù)據(jù)包攜帶的數(shù)據(jù)被認(rèn)定為溢出攻擊，就將被拒絕通過。當(dāng)然，還有一種說法就是，防火墻關(guān)注的是會話層以下的網(wǎng)絡(luò)數(shù)據(jù)，而入侵防御則關(guān)注會話層-應(yīng)用層的數(shù)據(jù)。有一定技術(shù)基礎(chǔ)的朋友一定能很快看出上面的問題，“且慢，這根本就不是問題，我完全可以做到只讓那些符合某些規(guī)則（防火墻規(guī)則），又不具備某些特征（入侵特征）的數(shù)據(jù)通過”。“至于防火墻不關(guān)注會話層以上的數(shù)據(jù)，這就更簡單了，不論以前是由于什么原因不關(guān)注，現(xiàn)在開始也分析好了，只要性能能跟上，技術(shù)上沒有困難”。

沒錯，正是上面提到的所謂區(qū)別在硬件技術(shù)和檢測技術(shù)的發(fā)展面前都已經(jīng)不是問題了，所以才會使得UTM這一概念獲得人們的認(rèn)可：我們喜歡防火墻式的一勞永逸，我們需要入侵防御的應(yīng)用層威脅防護，于是我們把這兩個功能在一個硬件上實現(xiàn)了。一些安全廠商/用戶并不能區(qū)別單獨的入侵防御產(chǎn)品和UTM產(chǎn)品中的入侵防御之間的區(qū)別，于是就陷入了一個誤區(qū)：我應(yīng)該選擇入侵防御還是UTM？如果入侵防御可以在UTM中實現(xiàn)，是不是以后就沒有單獨的入侵防御產(chǎn)品了？

入侵防御還是UTM？

這其實不能算是問題，UTM剛出現(xiàn)時很少有人選擇，原因很簡單：性能。有些號稱UTM的設(shè)備在打開入侵防御功能后性能衰減嚴(yán)重，這使得UTM并未像想象中那樣獲得開門紅。但摩爾定律的力量是強大的，隨著硬件技術(shù)的發(fā)展，在效率不降低的情況下在一個盒子里完成多項工作，已經(jīng)成為現(xiàn)實。

這是不是就意味著UTM可以全面取代入侵防御產(chǎn)品呢？我們應(yīng)當(dāng)還記得前面提到的：防火墻是配置允許規(guī)則，規(guī)則外禁止，而入侵防御是配置禁止規(guī)則，規(guī)則外允許。相信很多人都會聽說過這么一個功能：bypass，就是在串行設(shè)備遇到軟件/硬件問題時，強制進(jìn)入直通狀態(tài)，以避免網(wǎng)絡(luò)斷開的一種技術(shù)。這個技術(shù)只在入侵防御產(chǎn)品中有應(yīng)用，而不出現(xiàn)于防火墻產(chǎn)品中，這是為什么呢？誠然，在防火墻處于非透明模式下，bypass也無法保障通訊的通暢：比如說NAT模式下，防火墻內(nèi)外網(wǎng)絡(luò)不在一個網(wǎng)段，即使物理上強制直通，也會由于找不到路由而無法通訊。（說到這里筆者就要插一句了，曾見到有些入侵防御的技術(shù)要求中一方面要求提供路由接入模式，一方面又要求支持bypass，簡直就是不知所云）。但是最根本的原因還在于防火墻與入侵防御兩種截然不同的數(shù)據(jù)處理流程：防火墻是只允許那些被允許的數(shù)據(jù)進(jìn)入，即使在自身出現(xiàn)問題的情況下，也不能讓未受允許的數(shù)據(jù)進(jìn)入，所以防火墻不可能有bypass功能。而入侵防御剛好相反，其目標(biāo)是保護后端的設(shè)備不受威脅行為的影響提供正常的服務(wù)，如果自身出現(xiàn)問題了，寧愿切換為通路，也不影響后端業(yè)務(wù)的運營，所以，bypass設(shè)備是必須的。

這里需要補充一點，有些朋友看到上面的描述，可能會對入侵防御的“寬宏大量”表示不理解：bypass后就變成無防護狀態(tài)了，太可怕了。其實，一般來說，入侵防御產(chǎn)品的bypass都是與其watchdog技術(shù)相結(jié)合的，watchdog保障了故障進(jìn)程能自動恢復(fù)，所以真正處在bypass無防護狀態(tài)下的時間并不長，一次bypass切換（防護——無防護——再次開始防護）可以在數(shù)秒鐘內(nèi)完成，并不會因此而使得網(wǎng)絡(luò)長時間失去保護。

可以看出，入侵防御產(chǎn)品的未來之路就是保護后端服務(wù)不受威脅影響而能正常開展業(yè)務(wù)。UTM類產(chǎn)品可以有入侵防御的模塊，但由于結(jié)合了防火墻、AV等其它功能，使得其關(guān)注的目標(biāo)必定是批量化的攔截，無暇專注于后端服務(wù)。入侵防御和UTM相比，可以用一個生活中的小例子來呼應(yīng)：入侵防御就是個人保鏢，而UTM就是小區(qū)保安，兩者都是保護目標(biāo)的安全，但由于受保護目標(biāo)不同（保鏢的目標(biāo)聚焦，而保安的目標(biāo)不聚焦）使得這兩種類似的職業(yè)都有單獨存在的必要。

到底需要入侵防御還是UTM？取決于保護的目標(biāo)主體。如果用以保護整個網(wǎng)絡(luò)，那么應(yīng)當(dāng)選擇UTM，除了入侵防御之外，還可依據(jù)用戶需求提供防病毒、VPN等網(wǎng)關(guān)級安全應(yīng)用。如果用以保護某一臺或多臺服務(wù)器（群），那么就應(yīng)當(dāng)選擇入侵防御。當(dāng)然這是有前提的，那就是入侵防御產(chǎn)品需要對服務(wù)器防護有相應(yīng)針對性的特性，比如啟明星辰公司的天清入侵防御產(chǎn)品，就專注發(fā)掘了Web服務(wù)防護功能。

再看入侵檢測產(chǎn)品，與入侵防御產(chǎn)品作為控制工具相對的，入侵檢測產(chǎn)品給使用者提供了一個可視化的平臺，通過這個平臺，用戶可以清楚地了解網(wǎng)絡(luò)里到底發(fā)生了什么事情，當(dāng)然，結(jié)論的產(chǎn)生還是需要加入大量的人工分析。比如，網(wǎng)絡(luò)嗅探，入侵防御或者類似的控制工具，所關(guān)注的只是“禁止這一行為”，但嗅探可能來自于內(nèi)部員工的正常網(wǎng)絡(luò)檢查行為，這就需要一個界面來告訴使用者，嗅探行為是誰干的、是否違規(guī)等等，而這就是入侵檢測產(chǎn)品的作用所在。當(dāng)你需要了解網(wǎng)絡(luò)安全狀況的時候，購買入侵檢測產(chǎn)品將會是一個合適的選擇。
入侵防御還是入侵檢測？

即使有了基于前文的認(rèn)知，但當(dāng)前還有這樣的言論出現(xiàn)：入侵檢測能做的事，入侵防御都可以做，入侵防御是入侵檢測的升級/換代產(chǎn)品。

前文提到，入侵檢測所關(guān)注的是可視化，對入侵檢測來說，最重要的是 “呈現(xiàn)”。“呈現(xiàn)”主要取決于兩點，一是呈現(xiàn)的內(nèi)容，二是呈現(xiàn)的效果。呈現(xiàn)的內(nèi)容表現(xiàn)在，事件是否更新及時，數(shù)據(jù)是否抓取完全。和入侵防御不一樣，入侵檢測產(chǎn)品是旁路部署甚至多點部署的，對整個網(wǎng)絡(luò)進(jìn)行監(jiān)視。呈現(xiàn)的效果表現(xiàn)在是否能方便地從產(chǎn)品界面上獲得有效信息，以便對接下來的工作進(jìn)行指導(dǎo)：禁止或允許某些安全規(guī)則，評價某個區(qū)域的安全建設(shè)效果等。

而入侵防御則更關(guān)注“防護”，準(zhǔn)確而及時的防護，其關(guān)注重點并不是全局信息（而只是關(guān)鍵服務(wù)器群），也不關(guān)注信息分析。這導(dǎo)致了入侵檢測和入侵防御在面對事件時的不同態(tài)度：入侵檢測關(guān)注可疑事件，即使不能判斷為具體的攻擊行為，也要進(jìn)行記錄和分析備案；而入侵防御關(guān)注的都是明確的事件，是威脅就堅決予以阻斷，不能認(rèn)定為威脅則予以放行。而在用戶交互界面層面，也有不同的態(tài)度：入侵檢測關(guān)注信息展現(xiàn)，以圖表呈現(xiàn)全面的信息以協(xié)助分析；入侵防御則不需要關(guān)注信息之間的關(guān)聯(lián)，事件對入侵防御而言只是一個阻斷報告的數(shù)據(jù)來源。

所以，在選擇入侵檢測產(chǎn)品的時候，需要關(guān)注如下因素：它是否能保障“呈現(xiàn)”無障礙，是否提供了一些新的特性可以方便地看到想看的信息，使用者是否可以快速利用它“呈現(xiàn)”的內(nèi)容做出相應(yīng)的決策判斷。

當(dāng)然，作為安全廠商，所需要做的就是，當(dāng)開發(fā)入侵檢測產(chǎn)品的時候，任何功能特性，都應(yīng)當(dāng)圍繞“呈現(xiàn)”這個詞來做，用戶需要一個可視化平臺。因為只有“呈現(xiàn)”，才是入侵檢測的精髓，是入侵檢測依然存在，不被其它產(chǎn)品取代的根本。