在我們上一次網絡廣播中，我們了解了這些瘋狂的首字母縮略詞IDS和IPS的遺留問題以及它們與UTM軟件模塊的相似之處。每個人都喜歡引物和簡單的描述性定義，所以讓我們一起思考一下。

IDS

入侵檢測傳感器（IDS）是一種最明顯可以檢測到的東西;但是有什么事情？最終它可能是任何東西，但幸運的是大多數供應商都包含大量的“簽名”和/或檢測東西的方法。我想要檢測什么？對于每個網絡，這個答案會有所不同，盡管通常它會尋找不尋常的流量。什么不尋常？簡單來說，它是您不希望在網絡上流量的流量，無論是策略/濫用（IM，游戲等）還是最新的惡意軟件。

正如他們在房地產中所說：它的位置，位置，位置。不是機架中的位置，而是IDS將監控的網絡部分。監控入口/出口點的流量將顯示進出的情況（當然，在防火墻策略批準之后），但可能不允許您看到遠程辦公室連接到核心組件。

您不想做的一件事是檢查防火墻公共端的流量。監控內部交換機上的所有流量（如LAN或DMZ）將允許IDS監控用戶活動或密鑰服務器，但不會發現網絡其他部分發生的事情。除非您擁有無限的資源，否則您可能無法監控網絡上的所有內容，因此關鍵決策將是哪個流量最重要，哪個網段提供最佳優勢。

IDS可以被動地監控多個網段，并可以監控IPS或UTM永遠不會看到的流量，例如完全停留在LAN或DMZ內的流量。因此，IDS可以在桌面計算機上發出警報，攻擊LAN上的其他桌面計算機，這是IPS或UTM因內聯而錯過的內容。

IPS與IDS

IPS（入侵防御傳感器）在大多數情況下都是IDS，除了它可以對當前流量進行內聯操作。這聽起來很棒嗎？好幾乎。 IPS和UTM本質上必須是內聯的，因此只能看到進出區域的流量。一個巨大的問題是IPS可以防止業務合法或創收流量（IPS，記住，可以改變流量）。 IPS操作包括drop，reset，shun或custom腳本操作，所有這些操作都會在簽名匹配時立即發生。如果IPS丟棄合法流量，這種可能的負面行為會使負責安全的人現在對收入損失負責。根據我們的經驗，只要您還利用區分IPS的關鍵組件，IPS設備就能成為出色的工具。

確保您的IPS設備能夠“失效打開”;這意味著如果應用程序的任何部分發生故障，甚至機箱發生故障（任何人都會斷電），該設備將繼續通過流量。沒有人想要一塊阻礙數據流動的磚塊。

還要意識到實際上只有一小部分簽名可以被允許對流量采取行動。為了幫助減少誤報率，應該有一個非常明確的家庭網或受保護的范圍，允許面向方向的簽名更有效。您還需要花費大量時間查看警報和事件輸出，以確保允許采取措施的簽名按預期工作。您可以在每次簽名更新時花更多時間預先花費更多時間，查看供應商選擇采取行動的簽名，并考慮這會如何影響您的流量。我們已經看到這種方法在防火墻在“開放”網段之間不是很受歡迎的環境中效果最好。

UTM設備中基于軟件的模塊

這將我們帶入統一威脅管理（UTM）設備中基于軟件的模塊。關于這些設備的關鍵項目恰好是缺點，盡管這并沒有降低它們的功效。顯然，它們只能位于UTM本身所在的位置。通常，這是您的Internet網關或LAN和DMZ之間的訪問控制點的交接點。在這種情況下，UTM將無法查看DMZ或LAN上的所有系統到系統流量，而只能看到來自該段的流量。

此外，UTM不是專用平臺，因此傾向于具有更高的誤報率（盡管這越來越好）。在高CPU或內存利用率的情況下，它們將關閉軟件模塊以保留設備的主要功能，作為防火墻。這是與不是專用平臺相關的重要一點，有助于證明對專用設備的請求是合理的。如果您擁有的是這樣的設備，我們會說它！從您的網絡進出流量比看到根本沒有任何IDS要好得多。請您的供應商驗證他們是否在防火墻策略后對邏輯流量進行了邏輯檢查，如果您的設備進入保存模式或始終看到高資源利用率，請務必立即通知自己。

因此，總之，比較IDS，IPS和UTM

這三者中沒有一個是“設置并忘記它”的設備。 每天都會出現新的惡意軟件和利用和檢測的載體。 無論您的選擇如何，您都會經常在簽名事件/警報輸出中重復進行維護，并且需要更新和管理您的策略，尤其是在IPS的情況下。 更新可以自動應用于所討論的任何設備，但這并不能免除人工審查的需要。 每天留出一些時間來檢查您的設備，并考慮關閉在您的環境中沒有任何作用的簽名組（想想“基于策略”）并精確調整其他噪音。

我們所寫的所有警示性聲明都希望不會嚇到你。 在您的環境中進行流量檢查是了解網絡流量的好方法。

原文：https://www.alienvault.com/blogs/security-essentials/ids-ips-and-utm-whats-the-difference

本文：http://pub.intelligentx.net/ids-vs-ips-vs-utm-whats-difference