今天有空，侃一下IPS入侵设备，有说得不对的地方请指正。
　　
　　关于IPS（入侵防御系统），实际上以前还只有IDS（入侵检测系统）的概念，两者的区别这里不谈，在未来IPS将有可能会取代IDS．本贴先给安全新手讲讲IPS和防火墙系统的区别，这样大家能更好的理解IPS入侵防御的概念。
　　
　　首先我个人觉得，用IPS设备做入侵防御与用防火墙做入侵防御是两个完全不同的概念，不要认为防火墙上封了某些TCP端口也能做入侵防范那它就是IPS设备了，这是不对的。通俗来讲，IPS很“透明”，它位于Internet和内网防火墙的中间，你可以把IPS设备想像成一根网线，拓朴图体现出来是这样：
　　
　　Internet===>IPS====>Firewall====>LAN
　　
　　大家不应把IPS想像得很复杂.中低端的IPS设备上就两个网口，一进一出，只要我们在安装上做到整个网段的流量能够流过它就行，它甚至可以说就是一台交换机，因为某些厂商为了譬免IPS设备的单点故障（一台设备坏影响全网），甚至做了一个功能：一旦IPS设备检测到它自己的系统出了问题它自动就会变成一台交换机了，这是一个很有用的功能，也说明了IPS的布署结构其实很简单。
　　
　　从技术层面来讲：
　　1、防火墙主要是从OSI四层以下来做入侵的防范（譬如封端口、封IP），这样虽然可以封掉一些依靠固定端口攻击的病毒或者木马，但现在的黑客基本上都是针对合法的端口来攻击（譬如80、443），这些端口我们必须放到公网上去，于是黑客利用IP欺骗、DOS等手段集中火力搞这些合法的端口导致网络瘫痪，而我们对这种攻击没有任何办法。这时候，IPS设备就有用武之地了，IPS的工作原理是基于应用层的“特征码”来比对每一个流过自身的数据包，一旦它在自己的数据库中找到了对应的病毒或者攻击包特有的“特征”，那它就直接把这些数据包给挡掉，不管你是不是通过正常的端口来攻击，它都能检测出来，所以它成了黑客们最不愿遇到的网络设备之一．
　　
　　2、现在新型的IPS入侵防御设备（譬如华为3COM的200E），它检测和对比攻击数据包特征码的过程是利用高速的硬件芯片（ASIC芯片)来完成的（早期的IPS和IDS不知是否这样？），它所消耗的CPU和内存值都非常的小，某些厂商甚至号称它们的IPS设备能够做到“线速”转发！而某些包过滤防火墙和路由器在对数据包的处理上则是依靠本身的IOS系统来完成（新型的防火墙应该都是硬件了）----这也就是我们常说的硬件防火墙和软件防火墙的区别了，我们看一台防火墙是否属于硬件防火墙，就是看它对数据包的处理上是不是依靠硬件芯片来完成的，如果是芯片处理那它就是硬的，如果是靠IOS系统本身来处理，那它就是软的．大家可以用三层交换机与路由器的原理来理解以上的概念；
　　
　　前几天，我正好为一个客户处理了一起攻击事件，对方的网络原本只有两台Firewall对外挡在出口，管理员也在上面做了非常详尽的网络访问策略，但突然有一天，他们的网站打不开了，查了很久也找不出来原因，我过去一检查，首先发现有非常多的TCP连接，把服务器的80端口给拖得死死的，有时候也能打开但非常的慢，初步怀疑是受到了外网80端口的攻?