新年伊始，Gartner发布了

入侵防御&检测魔力象限

Magic Quadrant for Intrusion Detection and Prevention Systems

中国有4家厂商上榜

▼

这4家公司分别是

绿盟、启明星辰、山石网科和华为

虽然都扎堆在苦逼象限，但仍然值得庆贺

如果我没记错

这应该是Gartner首次把IPS和IDS合并发布

而过去几年只有IPS的魔力象限

为什么会合并这两个市场？

我个人的猜测是：

① 随着NGFW、UTM这类集成化的安全防御产品和WAF这类细分型防御产品的流行，独立的IPS应用场景越来越少，已经难以撑起一个独立市场。

②这两年APT防御、威胁情报、大数据安全行情不错，IDS可以作为非常重要的数据源，终于摆脱了多年来“聊胜于无”的状态，大刷存在感。

Gartner统计的这块市场只包含独立的IPS和IDS，包括物理的、虚拟的，含本地部署和云端部署，但并不包含集成IPDS功能的其他安全产品(比如NGFW、UTM、APD等等)

根据Gartner的研究，2016年全球独立IDPS的市场容量为17.6亿美金，而Gartner预测从2017年开始，独立IDPS市场容量会持续下滑，到2018年预计为15.9亿美金(2015年的数字是16.9亿美金)。

↓

中国厂商究竟表现如何？

绿盟是最早入围象限的（从2012年开始），从今年象限位置看，也是国内厂商中表现最好。

以下为Gartner评语：

绿盟IDPS产品拥有10个物理型号，吞吐能力从300Mbps到20Gbps，并提供4个虚拟型号，在最新的NGIPS中，集成了沙盒监测模块。

优势：在中国和亚太地区拥有扎实的客户群，是短名单的常客；绿盟目前新推的NGIPS，主打应用控制、反恶意软件和威胁情报，在其重点市场区域拥有不错的口碑；客户服务做得不错；

告诫：在国外缺乏存在感，在北美及其他区域尚未建立大的渠道体系；

启明星辰属于新入榜选手(以往届的IPS魔力象限为参照物)，作为国内安全“大”厂，启明在Gartner报告中的出镜率远低于华为、绿盟、山石、深信服等公司，但最近却接连入围了UTM和IDPS的象限，这种投入倾斜说明启明也想去国际市场喝点汤了。

以下为Gartner评语：

启明安全产品种类众多，在IDPS分类上，除去传统形态产品，还有支持VMware和Openstack的虚拟版本，另外也登陆了阿里云、腾讯云和华为云的MarketPlace。

优势：策略配置接口友好；提供诸如恶意代码检测与防御、基于先进算法的SQL注入攻击防御能力等高级威胁的检测及防御能力；支持基于公有云交付；

告诫：启明只是IPS市场追随者，没有对友商形成竞争力的“杀手锏”；局限于中国国内市场；IPS和IDS是完全独立的产品线，管理界面、安全特征库、特性都是分开的。

山石网科是首度入选IPS相关象限，从最初的防火墙到现在，Hilstone已经扩展出多条产品线，在NssLabs的测试中，山石IPS也有不错的表现。

以下为Gartner评语：

山石提供12个IDPS型号，其中5个面向全球销售，处理性能从350Mbps到4Gbps，攻击特征库一部分来自内部研发，一部分购买自趋势科技。

优势：产品价格性能比较好，低延迟，是中端市场不错的选择；受访客户认为山石产品易管理和配置；在网络市场上比较专注。

告诫：缺少高端产品，目前最高IPS处理能力只有4Gbps(IMIX流量)；缺少威胁情报、高级威胁监测等功能；不支持在线补丁和热升级；产品缺少第三方认证资质。

华为是IPS魔力象限的常客，从2013年开始就入围，但和绿盟一样，从来没有冲出过Niche Players象限。

以下为Gartner评语：

华为IDPS产品线NIP最早发布于2004年，提供8个型号，处理性能从800Mbps到15Gbps，支持SSL可视化和基于威胁情报的阻断。

优势：NIP Manager软件的界面颇受青睐，尤其是安装配置和策略模板；在追求高性价比的中型客户中很有品牌影响力。

告诫：尽管华为在EMEA区域有庞大的渠道体系，但NIP产品在非中国地区鲜能进入短名单；跟业内领导品牌相比，华为IDPS签名库数量处于劣势；缺少嵌入式和云化的IDPS产品，也没有沙盒功能模块。

↓

领导者是什么状态？

思科自从收购Sourcefire、合并Firepower之后，实力提升不少，最近几年一直排名首位，目前拥有22个型号的IDPS产品，最高处理性能达到90Gps，在ISR、ASA、Meraki MX产品中，也具备类似的IDPS特性。在Gartner的点评中，让人印象比较深刻的是，思科IDPS对公有云部署模式的漠视，目前仍不支持AWS和Azure。

Intel 安全（McAfee）排在领导者象限第二位，而从16年9月开始，McAfee又重新从Intel品牌中分离出来，独闯天下。

新MaAfee拥有网络安全、服务器安全、内容安全、DLP、SIEM、终端安全全系列产品。IDPS产品包含18个物理型号，3个虚拟型号，性能低至100Mbps，高至40Gbps，用户使用McAfee IDPS的模式，以在线阻断（IPS模式）为主。

在优势上，与VMware NSX配合相得益彰，在告诫方面，Gartner认为从Intel拆分会有不利影响，同时，由于McAfee将NGFW产品线出售给Forcepoint，无法再进行捆绑销售，对其在整体网络安全的竞争力会有所削弱。

趋势安全能够进入领导者象限，得益于从HPE收购了TippingPoint，而这个产品最初是属于3COM的。趋势IDPS拥有业内最高的检测性能(超过100Gbps)，基于DVLabs建立起来的0day防御能力，也是其特色。

↓

IDPS领域未来8大趋势

①业内领导者已经开始鼓吹NGIDPS：向更高性能(线速)和更丰富深度监测手段迈进(而不仅限于签名、规则和策略)，比如应用和用户感知、情境感知、内容感知、用户扩展、威胁情报信誉服务、历史分析、基础路由与NAT等等

②APT威胁防御，已经成为NGIDPS的重要功能

③IDPS市场持续整合，但内网部署、云部署和托管式安全服务等场景的应用会上升。

④很多的IDPS会被NGFW集成，但独立产品仍然会保留。

⑤IDS仍然产品会有广泛应用

⑥端点环境的应用会越来越重要(Endpoint Context Is Increasingly Important and Available)

⑦回溯分析在IDS应用场景下凸显价值。

⑧威胁情报的发展会深度影响IDPS。

近年IPS象限

▼

2015

↓

2014

↓

2013

↓