从2003年Gartner公司副总裁Richard Stiennon发表的《入侵检测已寿终正寝，入侵防御将万古长青》报告引发的安全业界震动至今，关于入侵检测系统与入侵防御系统之间关系的讨论已经趋于平淡，2006年IDC年度安全市场报告更是明确指出入侵检测系统和入侵防御系统是两个独立的市场，给这个讨论画上了一个句号。可以说，目前无论是从业于信息安全行业的专业人士还是普通用户，都认为入侵检测系统和入侵防御系统是两类产品，并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现，给用户带来新的困惑：到底什么情况下该选择入侵检测产品，什么时候该选择入侵防御产品呢？笔者曾见过用户进行产品选择的时候在产品类型上写着“入侵检测系统或者入侵防御系统”。这说明用户还不能确定到底使用哪种产品，显然是因为对两类产品的区分不够清晰所致，其实从产品价值以及应用角度来分析就可以比较清晰的区分和选择两类产品。

　　从产品价值角度讲：入侵检测系统注重的是网络安全状况的监管。用户进行网络安全建设之前，通常要考虑信息系统面临哪些威胁；这些威胁的来源以及进入信息系统的途径；信息系统对这些威胁的抵御能力如何等方面的信息。在信息系统安全建设中以及实施后也要不断的观察信息系统中的安全状况，了解网络威胁发展趋势。只有这样才能有的放矢的进行信息系统的安全建设，才能根据安全状况及时调整安全策略，减少信息系统被破坏的可能。

　　入侵防御系统关注的是对入侵行为的控制。当用户明确信息系统安全建设方案和策略之后，可以在入侵防御系统中实施边界防护安全策略。与防火墙类产品可以实施的安全策略不同，入侵防御系统可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是入侵检测产品所做不到的。

　　从产品应用角度来讲：为了达到可以全面检测网络安全状况的目的，入侵检测系统需要部署在网络内部的中心点，需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。

　　而为了实现对外部攻击的防御，入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统，入侵防御系统即可实时分析网络数据，发现攻击行为立即予以阻断，保证来自外部的攻击数据不能通过网络边界进入网络。
如上分析，入侵检测系统的核心价值在于通过对全网信息的分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整，而入侵防御系统的核心价值在于安全策略的实施—对黑客行为的阻击；入侵检测系统需要部署在网络内部，监控范围可以覆盖整个子网，包括来自外部的数据以及内部终端之间传输的数据，入侵防御系统则必须部署在网络边界，抵御来自外部的入侵，对内部攻击行为无能为力。明确了这些区别，用户就可以比较理性的进行产品类型选择：

　　若用户计划在一次项目中实施较为完整的安全解决方案，则应同时选择和部署入侵检测系统和入侵防御系统两类产品。在全网部署入侵检测系统，在网络的边界点部署入侵防御系统。

　　若用户计划分布实施安全解决方案，可以考虑先部署入侵检测系统进行网络安全状况监控，后期再部署入侵防御系统。

　　若用户仅仅关注网络安全状况的监控（如金融监管部门，电信监管部门等），则可在目标信息系统中部署入侵检测系统即可。

　　合理的选择产品类型之后，下一个问题就是选择什么样的入侵检测系统或者入侵防御系统才能最有效的发挥作用呢？启明星辰认为，任何产品的开发应该围绕着核心产品价值展开，产品的各种能力都应该为核心产品价值服务。因此入侵检测系统应该是能够全面检测网络中各类安全事件，也就是说检测的全面性是考量入侵检测产品的优劣的主要标准；而入侵防御系统应该是能够精确阻断关键网络威胁，也就是说对关键网络威胁的防御能力以及防御的准确性是考量入侵防御系统优劣的主要标准。启明星辰是国内入侵检测类产品的领导企业，其研发的天阗入侵检测产品已经有八年的历史，该系列产品能够全面检测出网络中的各类攻击以及网络异常情况，并通过天阗管理中心综合分析可以及时有效的呈现出网络的安全状况，指导用户进行下一步的安全建设或者安全策略的调整。2007年初，凭借多年的技术积累，启明星辰又推出了天清系列入侵防御系统，该系列产品的研发目标即锁定为“精确阻断”。天清入侵防御系统可以精确的阻断DOS/DDOS、溢出攻击、网络嗅探扫描、蠕虫病毒等各类关键网络攻击，尤其是其区别于其他同类产品的抗SQL注入攻击模块，可以阻断当前最流行也是最难判断的SQL注入攻击，由于该系列产品最大限度的满足了用户需求，一经推出就获得了用户的极大好评。相信通过天阗入侵检测系统与天清入侵防御系统的协同工作，启明星辰可以为用户提供更加全面的安全解决方案。