【TechTarget中国原创】入侵检测系统(Intrusion Detection System，IDS)以及它们的近亲---入侵防御系统(Intrusion Prevention System，IPS)是网络安全的入侵警报器。我们知道，防火墙只能阻止通信量，而一个IDS能够检测出恶意通信量(如果存在恶意通信的话)，然后向系统管理员或者IT安全人员发出警报。而IPS则不仅仅能察觉恶意入侵，还能试图对其修复。

　　对于拥有错综复杂的网络的大公司，很自然的需要安装和设置这种检测系统以及防范系统。IDS和IPS通常是较大规模网络安全结构的一部份，并且是随着防火墙一道安装的。

　　但是对于只有小型网络和若干IT工作人员的中小型企业(SMB)来说，IDS可能显得有点奢侈。而且，还需要有工作人员能全天全周侯待命以监控IDS。然而，中小型企业光有防火墙来实施保护是不够的。

　　这里有两种使用IDS和IPS的低预算方案，中小型企业可以考虑尝试。你可以使用适合较小公司小型网络的产品，或者也可以利用外包商们专为中小型企业提供的检测和预警服务。

　　但在你做任何决定之前，请先考虑一下评测IDS或者IPS的基本标准：你的网络的规模和范围，需要保护的数据和基础设施的类型，以及IDS将如何融入你现有的事故应对策略。

　　网络的规模和范围：你的网络的规模和范围是很重要的，因为IDS就像任何其他网络中的应用程序，可能影响网络性能。IDS只是一种安全硬件，和你的防火墙以及病毒、垃圾邮件、内容管理过滤器一样。对于一个极小的网络来说，它会是一个很大的负担。如果是这样的话，具有良好处理能力的防火墙，会比完备的IDS更好控制。记住，防火墙能阻止不必要的通信量，但并不总会记录它。IDS记录不必要的通信量，但不一定能阻止它，除非还有IPS。所以防火墙和IDS就像是硬币的正反面，功能互补?lt;/p>

　　另外，最近有很多产品结合了IDS、防火墙、过滤以及其他功能，成为一种全能便利的应用软件。当中小型企业在考虑为小型网络购买一个价廉物美的设备时，可以考虑考虑这种产品。

　　数据和基础设施类型：中小型企业绝不能单单依赖IDS来实施保护。IDS应该是一个多层防御系统的一部份，这个防御系统还应包括防火墙、安全进入管理、和桌面服务器硬件硬化。

　　另外，要想真正有效实施保护，入侵检测系统必须被安装在防火墙的两边以及内网和外网的通信量流入的网关处。IDS并不是独立工作。它需要检测从各方来的通信量，无论是来自内部的还是外部的。把不同网段的检测结果进行比较，那么就能确定攻击的来源或者试图入侵的恶意程序了。内部攻击相当普遍，而且可以被确定，例如通过IDS对内部(而不是外部)网段可疑活动的检测。

　　为了让IDS融入你当前的应对策略，应当对你的服务器上存储的东西进行详细的风险分析：

　　1. 是可能导致客户身份暴露或者对你公司提起诉讼的重要客户信息吗?还是不仅仅关乎个人利益的人口和销售数据呢?

　　2. 你的服务器存储了私人公司信息或者计划吗?

　　3. 你的服务器存储了包括工资税和社会安全号码的员工信息吗?

　　如果数据风险不高，那么简单的防火墙就足以防止入侵。据说，黑客经常先闯入较低保护的系统作为后门，然后进入关键系统。低风险系统和存有高风险数据的服务器是隔离的吗?在安装IDS时，不仅要考虑数据风险级别，也要考虑系统结构和低风险到高风险的可进入性。

　　审查系统时，要检查它如何发送警报和发给谁。如果你的IT店只有一个人，那这个人能够应付得了没完没了的事故警报吗?而且其中很多可能是假警报。应该发送电子邮件吗?IDS系统还会产生大量日志数据，大多数起不到任何作用。评测数据---及时处理以检测出真正的入侵---确实不容易。这种情况下，可以考虑使用那些可以帮助审查警报数据，并且能从黑客例行试探网络的普通无用数据找出真正入侵的产品。