入侵防护系统(IPS)是被放置在传统的物理网络区域内的，不可能轻易地融入到一个虚拟的环境中，尤其是虚拟网络流量。一个基于主机的入侵检测系统(IDS)在虚拟机上仍可以正常运行，但它现在将使用其从共享工具上提取的资源，使得防御网络不能正常安装，那使得防御网络不能正常安装的原因以及解决办法都有哪些呢?

位于主机和网络层的入侵检测系统和防御系统是当今信息安全的主要产品。然而随着虚拟技术的出现，许多网络安全专家已经意识到传统的入侵检测系统已经不能如以前融入到传统的企业基础设施中一样融入或是在虚拟的网络或系统中工作。

下面我们来看具体操作步骤：

第一步，点击开始菜单/设置/控制面板/管理工具，双击打开本地安全策略，选中IP 安全策略，在本地计算机，在右边窗格的空白位置右击鼠标，弹出快捷菜单，选择创建 IP 安全策略(如右图)，于是弹出一个向导。在向导中点击下一步按钮，为新的安全策略命名;再按下一步，则显示安全通信请求画面，在画面上把激活默认相应规则左边的钩去掉，点击完成按钮就创建了一个新的IP 安全策略。

第二步，右击该IP安全策略，在属性对话框中，把使用添加向导左边的钩去掉，然后单击添加按钮添加新的规则，随后弹出新规则属性对话框，在画面上点击添加按钮，弹出IP筛选器列表窗口;在列表中，首先把使用添加向导左边的钩去掉，然后再点击右边的添加按钮添加新的筛选器。

第三步，进入筛选器属性对话框，首先看到的是寻址，源地址选任何 IP 地址，目标地址选我的 IP 地址;点击协议选项卡，在选择协议类型的下拉列表中选择TCP，然后在到此端口下的文本框中输入135，点击确定按钮(如左图)，这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器，它可以防止外界通过135端口连上你的电脑。

点击确定后回到筛选器列表的对话框，可以看到已经添加了一条策略，重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口，为它们建立相应的筛选器。

重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略，建立好上述端口的筛选器，最后点击确定按钮。

第四步，在新规则属性对话框中，选择新 IP 筛选器列表，然后点击其左边的圆圈上加一个点，表示已经激活，最后点击筛选器操作选项卡。在筛选器操作选项卡中，把使用添加向导左边的钩去掉，点击添加按钮，添加阻止操作(右图)：在新筛选器操作属性的安全措施选项卡中，选择阻止，然后点击确定按钮。

第五步、进入新规则属性对话框，点击新筛选器操作，其左边的圆圈会加了一个点，表示已经激活，点击关闭按钮，关闭对话框;最后回到新IP安全策略属性对话框，在新的IP筛选器列表左边打钩，按确定按钮关闭对话框。在本地安全策略窗口，用鼠标右击新添加的 IP 安全策略，然后选择指派。

对于许多机构来说，最关键的问题应该是：我们需要多少监控?现有的硬件设施可以监测流量和虚拟网络，大多数的机构却很少这样做，如果有的话，也只是监测系统间特定的网络段。但是，对于那些想要或者需要一个更高的入侵检测和防御水平的人来说，好消息就是，在网络和主机层面上也有众多的选择。不管怎样，由于虚拟化越来越普遍，毫无疑问，虚拟IDS和IPS技术也会变得越来越普遍。

(责任编辑：管理员)