IPS（ Intrusion Prevention System）是电脑网络安全设施，是对防病毒软件（Antivirus Programs）和防火墙（Packet Filter, Application Gateway）的补充。 入侵防御系统（Intrusion-prevention system）是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

入侵防御系统基本原理

入侵防御系统是通过对网络流量进行实时检查和拦截，防止恶意攻击和威胁对网络和系统造成损害。具体来说，IPS首先通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。另外，IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。

简单地理解，IPS等于防火墙加上入侵检测系统，但并不是说IPS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品，它在基于TCP/IP协议的过滤方面表现出色，而且在大多数情况下，可以提供网络地址转换、服务代理、流量统计等功能。

和防火墙比较起来，IPS的功能比较单一，它只能串联在网络上，对防火墙所不能过滤的攻击进行过滤。

主要功能

1、入侵防护：实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、Dos 等恶意流量，保护企业信息系统和网络架构免受侵害， 防止操作系统和应用程序损坏或宕机。

2、Web 安全：基于互联网 Web 站点的挂马检测结果，结合 URL 信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵 害，及时、有效地第一时间拦截 Web 威胁。

3、流量控制：阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业 IT 产出率和收益率。

4、上网监管：全面监测和管理 IM 即时通讯、P2P 下载、网络游戏、在线视频，以及在线炒股等网络行为，协助企业辨识和限制非授权网络流量，更好地执行企业的安全策略。

入侵防御系统的类型

入侵防御系统通常分为多种类型。这些类型可由网络管理员自定义和更改。它们用作检测病毒的协议，并允许 IPS 相应地处理威胁。类型包括：

• 基于签名使用管理员和数据库预定义的签名来了解常见的网络威胁。因此，当它遇到文件时，它会按照提供给它的标准来判断它们。
• 基于策略可由管理员完全自定义，它甚至可以阻止非恶意文件。这只是在特定网络（例如工作场所）中进行控制的关键基础。
• 基于异常的策略处理网络中任何意外或不必要的活动。这允许 IPS 检测任何异常情况并采取相应行动。

• 网络入侵防御系统（NIPS）： 在网络层面上防御，监测和阻止整个网络上的攻击。
• 主机入侵防御系统（HIPS）： 在主机层面上防御，保护单个主机或终端设备免受攻击。
• 网络行为分析（NBA）： 通过分析网络流量和行为来检测潜在的威胁，具有一定的智能和学习能力。
• 无线入侵防御系统（WIPS）： 专注于保护无线网络，检测并防止无线网络中的入侵活动。

IPS的一个主要优点是它可以实时阻止攻击，这对于防止数据泄露或系统损坏至关重要。然而，IPS需要更多的资源来运行，因为它需要实时分析网络流量，并在检测到攻击时立即采取行动。

IPS解决了IDS无法阻断的问题，基本上以在线模式为主，系统提供多个端口，以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能，其特点是可以分析到数据包的内容，解决传统防火墙只能工作在4层以下的问题。和IDS一样，IPS也要像防病毒系统定义N种已知的攻击模式，并主要通过模式匹配去阻断非法访问。

部署方式

串联部署在具有重要业务系统或内部网络安全性、保密性较高的网络出口处。