入侵防护系统（IPS）是被放置在传统的物理网络区域内的，不可能轻易地融入到一个虚拟的环境中，尤其是虚拟网络流量。一个基于主机的入侵检测系统（IDS）在虚拟机上仍可以正常运行，但它现在将使用其从共享工具上提取的资源，使得防御网络不能正常安装。

　　IDS/IPS安全实施战略如下所述：

　　位于主机和网络层的入侵检测系统和防御系统是当今信息安全的主要产品。然而随着虚拟技术的出现，许多网络安全专家已经意识到传统的入侵检测系统已经不能如以前融入到传统的企业基础设施中一样融入或是在虚拟的网络或系统中工作。

　　例如，网络入侵检测可能会更加困难，因为主要平台供应商的默认虚拟交换机不允许用来建立交换端 口分析器（SPAN）或镜像端口，防止流量被复制到入侵检测系统（IDS）传感器。同样地，入侵防护系统（IPS）是被放置在传统的物理网络区域内的，不 可能轻易地融入到一个虚拟的环境中，尤其是虚拟网络流量。一个基于主机的入侵检测系统（IDS）在虚拟机上仍可以正常运行，但它现在将使用其从共享工具上 提取的资源，使得防御网络不能正常安装。

　　幸运的是，有很多的方法可以用来调整IDS/IPS 实施策略和监控虚拟系统流量。这就是我们要在此提出的。对于初学者来说，VMware公司的虚拟交换机或端口组分为“混合模式”，在这种模式下一个虚拟 IDS传感器可以在相同的虚拟部件上监测到流量。此外，流量可能会到达被物理IDS传感器监控的接口。现在有许多有效的开放源码和第三方虚拟交换机是可以 用操作传统交换机的方法来操作的。

　　对于思杰系统公司（Citrix Systems Inc.），内核虚拟机（KVMs），和甲骨文公司（Oracle Corp.）的VirtualBox的平台来说，开放虚拟交换标准（Open vSwithch）提供了一个完全特定的虚拟交换机，这为流量镜像和流量监控建立了SPAN端口。思科系统公司（Cisco Sywtems Inc.）的Nexus 1000V商业交换机具有相同的功能，并使用著名的思科IOS命令行界面。这些交换机都支持流量数据采集和分析，也可以用于系统和网络之间的形为监控。

　　除了重新设计他们的系统和使用更多的多功能虚拟交换机以外，网络安全专家们应该研究虚拟设备格式化的开放源码和商业入侵检测及防御办法。许多著 名的企业，如Sourcefire Inc.，惠普TippingPoint和IBM ISS，也已经将其现有的IDS和IPS平台转移到一个虚拟设备中。这些虚拟设备都可以很容易地融入到虚拟网络中，提供虚拟机之间，虚拟和物理网络之间的 流量监控。

　　如今市场上专业的虚拟产品是Reflex Systems LLC、 Catbird Networks 和HyTrust等公司的产品，这些产品在虚拟环境中提供基础的流量监控与分析。虽然他们并非真正命名为入侵检测系统，但是这些产品可以增加一个更为传统 的IDS / IPS，用来进行粒状的流量监控和访问控制以及为虚拟网络获得更大的安全行为分析。