随着网络攻击技术的不断发展，对安全技术提出了新的挑战。防火墙技术和IDS技术由于自身的局限性难以应对，并且随着网络应用的发展和网络结构的日趋复杂，这种局限性表现得越来越突出。

通常，人们认为防火墙可以保护处于它身后的网络不受外界的侵袭和干扰。但是，传统防火墙在使用的过程中暴露出以下的不足和弱点：第一，传统的防火墙在工作时，入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门；第二，防火墙完全不能防止来自网络内部的袭击，通过调查发现，将近 65%的攻击都来自网络内部，对于那些对企业心怀不满或假意卧底的员工来说，防火墙形同虚设；第三，防火墙主要针对网络层与传输层进行检测与拦截，但对来自应用层的深层攻击行为就显得无能为力。防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，如针对Web服务的Code Red蠕虫等。

入侵检测系统（IDS）可以弥补防火墙的不足，为网络提供安全监控，并且在发现入侵的初期采取相应的防护手段。IDS系统作为必要的附加手段，已经为大多数组织机构的安全构架所接受。

但是，与此同时，大家也逐渐意识到IDS所面临的问题：第一，IDS系统是以旁路被动的方式工作，只能检测攻击，而不能有效阻止攻击；第二，随着网络速度的加快，即使IDS检测出攻击行为并报警，网络管理人员也可能来不及对入侵做出响应。蠕虫、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪。即使某些设备采用与防火墙联动的方式来阻止攻击，通常也只是一种“事后”补救的措施，存在明显的漏洞。IDS与防火墙之间到目前为止，还没有一个统一的接口规范，加上越来越频发的“瞬间攻击”（即一个会话就可以达成攻击效果，如SQL注入攻击、溢出攻击等），使得IDS与防火墙联动在实际应用中效果并不显著。

基于防火墙与IDS的局限性，入侵防御系统（Intrusion Prevention System，IPS）成为新一代的网络安全技术。

入侵防御系统，是在入侵检测系统（IDS）的基础上，结合防火墙技术，采用在线工作模式，增加了事件处理及安全防护功能，能够主动对安全事件进行响应。入侵防御系统可以深度感知检测数据流量，对恶意报文进行丢弃，主动阻止这些异常的或是具有伤害性的网络行为。

入侵防御系统串联在网络中，保证所有的网络数据都要经过IPS设备，IPS对网络流量中的恶意数据包进行检测，对攻击性的流量进行自动拦截，使它们无法造成损失。IPS如果检测到攻击企图，就会自动将攻击包丢掉或采取措施阻断攻击源，而不把攻击流放进内部网络。

入侵检测系统（IDS）对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全产品。

入侵防御系统（IPS）对那些被明确判断为攻击行为，会对网络、数据造成危害的恶意行为进行检测和防御，降低或是减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。(www.daowen.com)

IPS产品的入侵检测技术在沿用传统IDS的检测技术的基础上，针对各种网络攻击技术提出更细粒度的检测技术，实现深度检测，并使用多种综合检测机制，以提高检测的精度。

从功能角度分析，入侵防御系统具有以下特点：

（1）IPS是一种主动的、积极的入侵防范和组织系统。

IPS的设计目标旨在准确监测网络异常流量，自动对各类攻击性的流量，尤其是应用层的威胁进行实时阻断，而不是简单地在监测到恶意流量的同时或之后才发出告警。IPS是通过直接串联到网络链路中而实现这一功能的。它部署在网络的进出口处，当它检测到攻击企图后，会自动将攻击包丢掉或采取措施将攻击源阻断，使攻击包无法到达目标，从而可以从根本上避免黑客的攻击。

（2）IPS为企业网络提供“虚拟补丁”。

IPS预先、自动拦截黑客攻击、蠕虫、网络病毒、DDoS等恶意流量，使攻击无法到达目的主机，这样即使没有及时安装最新的安全补丁，企业网络仍然不会受到损失。IPS 给企业提供了时间缓冲，在厂商就新漏洞提供补丁和更新之前确保企业的安全。

（3）IPS对网络流量进行整形与控制。

目前企业网络的带宽资源经常被严重占用，主要是在正常流量中夹杂了大量的非正常流量，如蠕虫病毒、DoS攻击等恶意流量，以及P2P下载、在线视频、垃圾邮件、网上聊天、网络游戏等垃圾流量，造成网络堵塞。IPS可以过滤正常流量中的恶意流量，同时对垃圾流量进行阻断和控制，规范用户网络行为，净化用户网络空间。应该说，入侵防御系统注重访问控制和主动防御，而不仅仅是检测攻击和记录日志，弥补了入侵检测系统（IDS）的不足，实现了技术和功能两个层面的跨越。