首先，防火墻作為一種獲取安全性的方法，有著不可替代的作用。它可以確定允許提供的服務，對受保護的網絡(即網點)的往返訪問進行控制，防止易受攻擊的協議的使用，對系統進行了集中的安全防范。
　　其次，IDS用來對網絡數據作深層次的檢測。如圖1所示，利用IDS探測器連接在集線器上，對一個網段進行監控，或者利用交換機端口拷貝的形式，對一個交換機的輸出端口進行監控，然后匯報給IDS服務器。一個IDS通常保存著已知攻擊特征庫，而IDS的作用就是對網絡流量中的數據包內容進行檢測，尋找可能的攻擊。當所監視的數據內容和特征庫的內容匹配時，IDS便發出報警信息。有些IDS系統能與其他設備相配合，對入侵做出簡單的響應。
　　上述典型系統的缺陷在于：雖然IDS系統能夠檢測出深層次的入侵和攻擊，但是其結構本身決定了它應對攻擊的脆弱性。它沒有能力直接防御入侵和攻擊,它對攻擊的反應，需要第二方的設備的聯動，或者需要人為干預。當它發現入侵攻擊的時候，往往攻擊者早已經得手撤退。
2 IDP網絡安全系統設計構想
　　針對IDS系統防御能力弱的缺點，IDP（Intrusion De-tection & Protection)系統的概念很快被提出來^[4]。IDP是指對計算機網絡上企圖入侵、正在進行的入侵或已經發生的入侵活動進行識別并且做出主動響應(阻止入侵活動或預先對攻擊性的流量進行自動攔截）。IDP系統的概念雖然提出一段時間了，但是一直沒有比較成型的方案。下面提出一種網關型的IDP系統方案，并用它構建網絡安全系統。
2.1 P²DR模型
　　P2DR是Policy(策略)、Protection(防護)、Detection(檢測)和Response(響應)的縮寫，P2DR安全模型是一個被廣泛認同的計算機系統的安全理論系統。它的指導思想比傳統靜態安全方案有突破性提高，特點是其動態性和基于時間性^[3]。其結構如圖2所示。

　　P2DR安全模型闡述了這樣一個結論：安全的目標實際上就是盡可能地增大保護時間，盡量減少檢測時間和相應時間。入侵檢測技術就是實現P2DR安全模型中的“Detection”部分的主要技術手段。積極的防御功能是“Protection”模塊的主要任務。在P2DR模型中，安全策略處于中心位置，安全策略是制定入侵檢測規則的一個重要信息來源，也是防御部分根據安全策略實現具體防御動作的準則。
　　從P²DR安全模型的角度看，IDS系統的缺點表現在雖然基本上實現了檢測和響應兩大模塊，但是其響應時間很長，不能及時、完全地實現防御功能模塊。只有能夠及時、完全地實現響應與防御功能模塊，才能完整地實現P²DR安全模型。下面提出的網關型IDP正是較完整地實現P²DR安全模型的解決方案。
2.2 基于網絡處理器的網關型IDP設計
　　本文提出的網關型IDP的設計是從IDS技術發展延伸而來的。設計的目標就是將其如同透明網關一樣，可以放置在需要保護的網段前，也可以放置在一臺特殊需要的服務器前。它對流過它的所有數據都進行檢測，并且根據安全策略和具體的規則體，做出是否容許通過的具體決定以及相應的回復與防御機制。
　　網關型IDP在設計上的難點在于需要對大量的數據作深層次的檢測處理，并且對檢測結果及時地做出反應。網絡處理器NP（Network Processor）的出現為解決這一難題提供了很好的手段。
　　網絡處理器NP是一種為網絡應用領域設計的專用指令處理器（ASIP）。它具備通用處理器（GPP）的編程靈活性，又擁有專用集成電路（ASIC）的高處理速度。目前NP是通過多個獨立總線的微引擎" title="微引擎">微引擎以及Push-Pull引擎來實現內部大量數據的交換的。這樣，內部的數據通道瓶頸就不復存在了。Intel公司IXP系列NP的級聯設計可以很容易地提高數據流處理能力^[6]。
　　基于NP的IDP系統采用嵌入式實時操作系統，軟件系統設計基本延續IDS的CIDF模型^[3](由以下組件組成：事件產生器，事件分析器，響應單元，事件數據庫）的設計。在設計中應該考慮如下幾個關鍵點：
　　(1)在MAC層增加對數據的標記模式，以便在響應單元能夠采取積極防御手段。
　　(2)大型IDP應考慮網絡時延和全局時鐘。
　　(3)保證設備本身的安全性。
　　(4)預留控制臺接口，以便報告日志信息，及時升級特征庫和修改檢測與防御策略。
2.3 用網關型IDP構建安全系統
　　用網關型IDP構建的安全網絡系統結構如圖3所示。

　　在圖3中，路由器作為外網的入口，起著網絡接口轉換以及屏蔽廣播包的作用。系統采用網關型IDP與防火墻協防的構架。
　　網關型IDP放置在網絡中需要檢測數據的通道，其檢測和防御規則根據安全策略預先設定，也可根據IDP控制臺安全策略的決定而設置。IDP控制臺和網關型IDP形成相對獨立的局域網。IDP控制臺作為管理窗口，也可以連接在內部網絡中，其安全保證這里不做詳述。
3 一個輕量級網關型IDP的設計
　　對多家中小企業的網絡使用情況進行了調查，其結果如下：
　　(1)網絡業務相對比較簡單：收發郵件，瀏覽網頁，https，telnet，ftp。
　　(2)對外帶寬一般不會超過10M，內部網絡一般采用百兆以太網組網。
　　(3)網絡安全需求明顯，但硬件成本投入較少，一般都有一個防火墻。
　　(4)人力成本投入較少，一般只有一個網絡管理員。
　　根據調查結果，針對中小企業網絡安全提出防火墻協同一個輕量級的網關型IDP的網絡安全系統方案。
　　防火墻采用只開放必要服務的策略(可以ping，收發郵件，瀏覽網頁，ssh，https，telnet，ftp），其他的訪問則全部丟棄，所有缺省的安全策略是拒絕所有(Deny All)的。輕量級的網關型IDP系統安裝時可考慮只安裝針對這些業務的規則體插件。
　　下面介紹輕量級網關型IDP的設計方案。
3.1 硬件結構
　　IXP1200是Intel公司生產的第一代網絡處理器。芯片內部集成了7個RSIC處理器，包括1個StrongArm和6個可編程的微引擎（MicroEngine）。其中，StrongArm最高可工作在232 MHz的主頻上，每個微引擎內部提供多個硬件線程，可用于任何要求高速信息包檢查、數據處理以及數據傳送的場合。IXP1200中使用的多線程是由硬件實現的，但是能夠通過軟件控制。由硬件實現多線程使得線程切換的零開銷成為可能。
　　以IXP1200為核心處理器提出的輕量級網關型IDP的硬件構架如圖4所示。

　　在圖4中，A口和B口作為需要檢測的以太網數據的入口和出口，對數據流的吞吐能力為100M；C口作為控制臺通訊接口；串口專門用于調試。
　　IX bus是Intel公司為網絡處理器特殊設計的總線，能夠在IXP1200和網絡設備(如MACs和SARs)間傳送數據塊。每條IX Bus的數據容量約為5.12Gbit（64×80Mbit）。
　　SDRAM的容量選為128MB(參考Snort2.0內存占用大約為78MB)；SRAM的容量選為4MB。
3.2 軟件結構
　　操作系統采用pSOSystem嵌入式實時操作系統。使用嵌入式實時操作系統有以下優點：
　　(1)對數據流處理的高效性，可以讓NP多線程并行處理的優勢得以發揮。
　　(2)系統本身的安全性很高，幾乎不會發生對嵌入式實時系統的攻擊。
　　本系統的處理流程圖如圖5所示。