雖然大部分單位與企業的系統都具備防火牆，但在被植入後門程式之類的情下仍舊無法保證安全性。除了防火牆之外增設的第二道防禦機制便是IDS和IPS，那IDS和IPS具體又是什麼東西呢？今天就要來聊聊這兩個防禦機制。

IDS

入侵檢測系統(Intrusiom-detection system)是一種安全工具，用於檢測網路的流量及活動狀況以預防可能的攻擊、入侵或異常行為。

主要依靠監聽網路封包的形式，針對運行的狀況來進行監測

入侵檢測系統可以偵測三種攻擊行為：

• 網路探測偵查：未經授權使用的弱點掃描系統如NESSUS、NMAP等工具
• 非法存取：入侵系統使得可以竊取的權限提升
• 阻斷服務攻擊(DoS)：使得網路服務或伺服器無法繼續正常服務，如昨天提到的HTTP flood、SYN flood

IPS

IPS可以說是IDS的升級版。

入侵防禦系統(Intrusion-prevention system)通常部屬於內網，以供即時性的觀測來源和目的地之間的流量是否有異常，而有異常的時候也能採取自動化的預防動作。

由於入侵防禦系統是由入侵檢測系統衍生而來的，相較於IDS它更為主動，能夠做到即時阻斷來源IP、斷開連結等。

它主要根據簽名認證的方式，比對簽名資料庫並檢查漏洞與攻擊手法

優缺點

IDS不會影響效能，但由於其被動的特性它並不會主動阻擋。IPS雖然能夠主動阻擋，但如果靈敏度沒設置可能會影響效能甚至是誤判的情況發生。

總之入侵監測系統和入侵防禦系統兩者皆是除了防火牆以外重要的網路安全工具。常常有人誤認這兩者是防火牆的一種，但其實它們更接近防火牆的輔助系統而已。

參考資料

入侵偵測與入侵預防的差異性
什麼是IPS（入侵防禦系統）？