從大量國(guó)內(nèi)外應(yīng)用案例分析，筆者認(rèn)為國(guó)內(nèi)用戶在部署IPS的時(shí)候，最好采取分階段、分層次的做法，這樣可以獲得最大的經(jīng)濟(jì)效益。
第一階段，用戶可以把IPS當(dāng)作一個(gè)傳統(tǒng)的IDS使用。畢竟是新設(shè)備，從穩(wěn)定性、處理能力和網(wǎng)絡(luò)狀態(tài)方面考慮，建議首先將IPS設(shè)備并聯(lián)接入。
第二階段，運(yùn)行一到兩周以后，如果用戶覺(jué)得使用上沒(méi)有問(wèn)題了，再進(jìn)行串聯(lián)接入，但是不要做任何數(shù)據(jù)的阻斷。這樣運(yùn)行一段時(shí)間后，如果IPS性能和檢測(cè)能力沒(méi)有問(wèn)題，用戶就可以知道自己網(wǎng)絡(luò)中經(jīng)常會(huì)發(fā)生什么事情了。
第三階段，在此基礎(chǔ)上，實(shí)施IPS阻斷策略，根據(jù)前兩階段的分析，用戶可以對(duì)感興趣的攻擊進(jìn)行阻斷，從而實(shí)現(xiàn)安全防御。
需要注意的是，從設(shè)備本身部署過(guò)程上劃分，這三個(gè)階段并非獨(dú)立，而是混合的。
比如企業(yè)購(gòu)買一臺(tái)擁有多個(gè)端口的Hi-End級(jí)IPS，網(wǎng)絡(luò)管理員可以在設(shè)備某一組端口上做in line，用來(lái)管理某一組鏈路，而在另外一些端口做scan或者其他串聯(lián)等應(yīng)用，所有的模式混合在一起工作。
特別是一些既有100Mbps端口，又有1000Mbps端口的IPS設(shè)備，接入到網(wǎng)絡(luò)以后，用戶可以用1000Mbps做in line阻斷，用100Mbps連接一些新建的網(wǎng)絡(luò)或者服務(wù)器群做scan，檢測(cè)是否有問(wèn)題。
另外，在一個(gè)IPS端口之下，還可以進(jìn)一步劃分VIPS，每個(gè)虛擬IPS中的策略也可以獨(dú)立配置，這對(duì)于國(guó)內(nèi)很多的IDC用戶非常有幫助，可以實(shí)現(xiàn)逐層對(duì)不同網(wǎng)段設(shè)置block，對(duì)收費(fèi)用戶實(shí)施安全LAN控制，對(duì)免費(fèi)用戶的LAN就不用做保護(hù)。
所以說(shuō)，分階段、分層次部署IPS，將會(huì)大大提升IPS的使用效益。