现在IDS有必要做么，是不是淘汰了？该做IPS？

pcbean

bb 说的有一定道理....ids 跟 ips 的误报都看见了吧?...
想想..............

ayazero

IPS如何实现IPS的功能？

作为一个串联设备，7层协议解包，payload和（>1000）条规则进行hash匹配，延迟能让客户端觉得可以接受，什么误报漏报也就别提了，就这样的设备能够一直工作我就挺怀疑的

我觉得以现在的并行处理能力无论是X86还是ASIC抑或是NP架构都难以达到，其实IPS就是个噱头

还有那个UTM，可能处理速度会比IPS好一点，但是我也极力不推荐

如果一定要买IPS，只推一个产品，ISS的（$非常贵），其他的一律无视！如果这个东西上架后测试不行，那就把IPS这个名词直接划掉吧，就当没有这个东西好了

取而代之，解决问题的根源，客户端的问题应该在客户端解决，而不是一味着想着在GW处解决，

在GW仍采用传统的FW+并联IDS，内部可采用AD（域管理）+AV（防病毒、或HIPS企业版）+NAC（网络接入控制、身份认证）+WSUS（SMS）+终端管理（比AD强，钱多可以买）+（交换机）安全域划分+参考BS7799拟定管理制度……
有钱还可买个漏洞扫描（好听一点叫漏洞管理）

其实HIPS倒是可行的，把计算负载分散到终端，企业版就可以，当然上面的并非全要，终端管理是可选的

还有在当前的安全趋势下，想通过网关设备一劳永逸是根本不切实际的

最后，不要听那些厂商的人吓忽悠，80%以上的人根本不懂安全，说起来这个行业真可怜，对人的要求高了点

独孤九贱

原帖由 ayazero 于 2007-4-12 14:20 发表
IPS如何实现IPS的功能？

作为一个串联设备，7层协议解包，payload和（>1000）条规则进行hash匹配，延迟能让客户端觉得可以接受，什么误报漏报也就别提了，就这样的设备能够一直工作我就挺怀疑的

我觉得以 ...

楼上的实乃兄弟肺腑之言……

黑胡子

斑竹终于给出回答了
真是牛啊

chinaunix_li

谢谢以上热心朋友答复，使我有个大体了解。

wansion

好久不谈技术了，我是觉得各取所需，考虑投入产出原则，IDS也好，IPS也好，甚或是IPs、UTM看企来的需求了，我所见过的企业，电信的，把FW的所有功能关掉，只用来作NAT的也有，因为NS的NAT功能太强了，ASIC厉害，也有的就是统一上一个UTM，在UTM里甚至要作垃圾邮件过滤，当然是对带宽和CPU资源的极大浪费，但他不看重稳定性，速度什么的，所以也是一种实现方法，另外现在基本上IDS和IPs是一体的，布署方式不同，名称也就不一样了，甚至于IPS、IDP、UTM我觉得也差不多是一会事，只是取了一个不一样我名字，功能销有差别而已，至于品牌，我素来不信评测，花钱搞出来的，自己也作过很多，只信口碑，推荐Netscreen,ISS(IBM)，Checkpoint。

bati

IPS？UTM？
统一真的好么？
从社会分工的角度来说，我们有刑警，片儿警，缉毒警，还有航空警察，交通警察等等，各自也有不同的管辖范围和职责没说警察包打天下吧。
安全我想也是这个道理，毕竟社会建制发展了这么多年，那么多社会学家，政治家等等，我想他们智力也不比现在搞安全的人低多少吧，为啥也没找到统一的方案呢？
IPS－－－>误报了怎么办？别说你的系统0误报，测试优化都会做。
UTM－－－>试试看功能全开是个啥结果，有人说这个给中小企业用的，我就不懂那么多厂商忽悠千兆、万兆产品个什么劲儿？

源方

关键是ips国内做的都不太好。主要靠吹，呵呵
ids相对要成熟

benz-popor

说的有道理，但有时还是要支持国产的

good白芷

IPS这个东西，不管怎么吹得天花乱坠，总觉得就是个串连的ids而已。
退一万步讲，就算不考虑误报，不考虑7层解包带来的延迟，
ips比ids＋fw能好到哪里？
但是价格么，就贵的不是一点两点啊