UTM设备有入侵防御的功能，而在UTM出现时，也出现了入侵防御系统（IPS）这种设备形态。那么，UTM设备中的入侵防御功能与专门的入侵防御（IPS）之间是什么关系呢？

　　1 从位置看区别

　　具备入侵防御功能的设备通常部署在两个位置：服务器前或网络出口。UTM设备部署在网络出口位置，其入侵防御功能通常是防御木马、蠕虫、网络滥用及针对常见操作系统底层的溢出攻击。而专业的IPS设备通常部署在服务器前，主要是保护Web业务、数据库业务等，重点是针对SQL注入、跨站脚本攻击、应用层DDoS攻击等威胁进行防御。

　　从部署位置上可以看出，UTM中的入侵防御功能与专业的IPS设备是相互补充的。

　　2 从保护对象看区别

　　UTM部署在网络出口位置，保护目标是网络，网络是主机、服务器、网络设备的动态集合，这个保护目标并不明确；因此，UTM的入侵防御功能主要针对普适的、面向基础操作系统或软件的攻击进行检测和防御。

　　而专业的IPS设备部署在服务器前，主要是保护Web业务、数据库业务等，保护对象非常明确，这类IPS设备的发展重点就是解决用户的业务安全，包括针对SQL注入、跨站脚本攻击、应用层DDoS攻击等威胁进行防御。也就是说，由于UTM设备的保护对象不明确，因此其入侵防御功能面向系统安全（防御溢出攻击）及连接安全（阻断木马连接）；而专业的IPS设备由于保护对象非常明确，因此主要面向业务安全（Web业务、数据库业务等）。

　　3 从发展趋势看区别

　　对于UTM设备，目前业界已经有了较为明确、公认的定义，而IPS产品的定义则很不统一。部分设备商的IPS实际上更接近于UTM，除了入侵防御功能，还具备防火墙、VPN甚至防病毒的功能，这部分IPS设备会逐步过渡到UTM市场中，趋于融合，最终形成规模较大的UTM市场。

　　而另外一些设备商，特别是技术实力较为领先的厂商，则认为IPS应该专精于业务安全，致力于深入的入侵研究，研发专业化的IPS设备，不追求大而全。从长远来看，IPS设备会逐渐聚焦Web业务安全，与UTM中的入侵防御功能有明显的区别，走向不同的位置，实现不同的价值。