IPS入侵检测系统的作用，它和IDS有什么区别？

 IPS的英文全称是Intrusion Prevention System，中文翻译叫做入侵防御系统，简单说就是网络里24小时站岗的主动保安

可以实时识别、拦截网络攻击、病毒入侵、异常扫描等危险行为，它会深度检查进出网络的每一条数据流量，匹配攻击特征、识别异常行为，发现风险直接就阻断连接，从源头守住安全

IPS入侵防御系统是什么？

网络防护员

IPS：就是串在网络线路中间的安全功能或硬件，所有进出网络的数据都会经过它，它会实时检查每一段流量，识别入侵、病毒、违规访问等危险行为。一旦发现问题就会直接将其拦截并丢弃、切断对方的连接，同时发出提醒

所以它和那种只报警不处理的检测工具不一样，它是主动拦截风险，家里的路由器防火墙、光猫安全防护、企业网关安全模块，都是简化版的IPS，用来保护家庭、监控、办公网络不被攻击，不泄露隐私

特征库：它记录了一套已知网络攻击、病毒、漏洞行为规律的数据库，IPS就是靠它识别坏人和恶意流量。它会识别每一份网络数据，和库里的攻击特征做比对，对上了就会判定为威胁并拦截

但因为攻击手段一直在更新，所以这个特征库也必须定期升级，才能防住新病毒和新型入侵方式

在线阻断：就是指IPS需要串在主网络线路上，所有的流量都没有第二条路可绕，只能让它逐个检查，只要抓到攻击数据包就会直接丢弃、断开连接，做到实时拦截

这就是IPS主要的能力了，也是它和只告警但不拦截的IDS不一样的地方

网络安全小课堂

IDS：指入侵网络系统，但它只能监控网络里的异常流量，发现攻击后只能告警提醒你，不会主动拦截或切断连接，简单讲就是只能看、只能报，但不能动手阻止攻击

IPS就是在IDS的基础上，增加了主动阻断功能，防护能力会更强

数据包：我们上网的所有信息，都会被拆分出一段段很小的数据单元传输，这个就是数据包了，IPS的工作就是股则逐个检查数据包，判断里面有没有攻击、病毒等危险内容，以此来实现安全检测

串联部署：就是把IPS接在网络主干线路中间，外网和内网所有的流量都必须经过它，企业组网一般都要单独硬件串联部署，家庭环境不需要额外设备，它的功能会直接集成在光猫、路由器的内部，实现同样的防护效果

一些关于安全防护的误区

IPS可以和防火墙互相替代吗？

不能，因为二者的功能不同，所以不能互相替代，二者需要搭配使用才是正确的做法，很多人觉得防火墙和IPS都是防网络攻击的，功能差不多，没必要画蛇添足

但防火墙就像是大门的门禁，只管谁能进门、谁不能进门，比如只允许自家设备连网、禁止陌生IP访问，它只看设备的IP和端口，不管进来的流量有没有病毒

而IPS就像是进门的安检员，不管谁进来、不管是不是被允许的，它都会检查一遍，出问题直接当场拦下

家庭用不到IPS吗？

不是的，家庭同样需要它，一般路由器和光猫内置的轻量化防护功能是自动开启的，只有这样才能保护隐私和设备安全，但是这个要看设备的型号是否高端，很多也是没有的

很多家庭是只有几台手机的，没有电视和电脑监控，但哪怕这种简单的场景都是有必要做防护的，因为我们日常上网的时候都很有可能点到不良链接，就很有可能导致手机、监控等设备被破解

但也不用太担心，因为一般的路由器和光猫都会有基础的防护功能

IPS开启后网速会变慢吗？

不会的，开启后几乎不影响家用网速，担心网速变慢而关闭它反而会有很多风险，现在的IPS都是靠硬件加速，快速比对特征，检查一个数据包只需要几毫秒而已

正常家用、办公场景，几乎都感觉不到任何延迟，根本不会拖慢网速

网速慢更多是信号、环境的干扰