一、什么是入侵防御系統(tǒng)

二、入侵防御系統(tǒng)的主要功能

1. 實(shí)時(shí)監(jiān)測(cè)和防御：IPS能夠?qū)崟r(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量和系統(tǒng)活動(dòng)，一旦發(fā)現(xiàn)異?；驉阂庑袨椋軌蛄⒓磫?dòng)防御機(jī)制，阻斷惡意流量，防止攻擊擴(kuò)散。
2. 網(wǎng)絡(luò)入侵防護(hù)：IPS能夠提供針對(duì)多種協(xié)議和層面的防護(hù)，包括網(wǎng)絡(luò)層、應(yīng)用層和系統(tǒng)層，全面防御各種攻擊，如緩沖區(qū)溢出攻擊、木馬、蠕蟲(chóng)等。實(shí)時(shí)、主動(dòng)攔截黑客攻擊、蠕蟲(chóng)、網(wǎng)絡(luò)病毒、后門(mén)木馬、Dos等惡意流量，保護(hù)企業(yè)信息系統(tǒng)和網(wǎng)絡(luò)架構(gòu)免受侵害，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。
3. 深度檢測(cè)和分析：IPS具備深度包檢測(cè)（DPI）技術(shù)，能夠?qū)?shù)據(jù)包進(jìn)行深入分析，識(shí)別隱藏在其中的惡意代碼、惡意命令或惡意流量模式等。
4. 威脅情報(bào)整合：IPS能夠整合威脅情報(bào)數(shù)據(jù)，了解最新的攻擊手段、惡意軟件、漏洞利用等信息，從而能夠及時(shí)更新檢測(cè)規(guī)則和防御策略。
5. 自定義防護(hù)策略：用戶可以根據(jù)自己的需求，通過(guò)自定義特征碼進(jìn)行防護(hù)，使IPS更加適應(yīng)特定環(huán)境下的安全需求。
6. Web安全：基于互聯(lián)網(wǎng)Web站點(diǎn)的掛馬檢測(cè)結(jié)果，結(jié)合URL信譽(yù)評(píng)價(jià)技術(shù)，保護(hù)用戶在訪問(wèn)被植入木馬等惡意代碼的網(wǎng)站時(shí)不受侵害，及時(shí)、有效地第一時(shí)間攔截Web威脅。
7. 流量控制和優(yōu)化：阻斷一切非授權(quán)用戶流量，管理合法網(wǎng)絡(luò)資源的利用，有效保證關(guān)鍵應(yīng)用全天候暢通無(wú)阻，通過(guò)保護(hù)關(guān)鍵應(yīng)用帶寬來(lái)不斷提升企業(yè)IT產(chǎn)出率和收益率。
8. 上網(wǎng)行為監(jiān)控：全面監(jiān)測(cè)和管理IM即時(shí)通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻，以及在線炒股等網(wǎng)絡(luò)行為，協(xié)助企業(yè)辨識(shí)和限制非授權(quán)網(wǎng)絡(luò)流量，更好地執(zhí)行企業(yè)的安全策略。

三、入侵防御系統(tǒng)的工作原理

1. 流量分析：IPS能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)流量，并對(duì)流量中的數(shù)據(jù)包進(jìn)行分類、標(biāo)記和檢測(cè)。通過(guò)分析流量的協(xié)議、端口、流向等信息，以及數(shù)據(jù)包的載荷內(nèi)容，IPS能夠識(shí)別出異常流量和潛在的攻擊行為。
2. 威脅情報(bào)：IPS通過(guò)收集和分析威脅情報(bào)數(shù)據(jù)，了解最新的攻擊手段、惡意軟件、漏洞利用等信息，從而能夠及時(shí)更新檢測(cè)規(guī)則和防御策略。威脅情報(bào)可以來(lái)自于網(wǎng)絡(luò)威脅情報(bào)平臺(tái)、安全社區(qū)、安全研究機(jī)構(gòu)等。
3. 深度包檢測(cè)（DPI）：DPI技術(shù)可以對(duì)數(shù)據(jù)包進(jìn)行深度內(nèi)容檢測(cè)，識(shí)別出數(shù)據(jù)包中的各種應(yīng)用層協(xié)議和內(nèi)容特征。通過(guò)DPI技術(shù)，IPS能夠檢測(cè)出隱藏在數(shù)據(jù)包中的惡意代碼、惡意命令或惡意流量模式等。
4. 行為分析：IPS通過(guò)分析網(wǎng)絡(luò)流量中數(shù)據(jù)包的行為模式，能夠識(shí)別出異常行為和潛在的攻擊行為。例如，IPS可以檢測(cè)出未經(jīng)授權(quán)的網(wǎng)絡(luò)掃描、惡意掃描等行為，并采取相應(yīng)的防御措施。
5. 防御規(guī)則：IPS通過(guò)預(yù)設(shè)的防御規(guī)則，能夠根據(jù)不同的攻擊類型和場(chǎng)景，采取不同的防御措施。例如，對(duì)于已知的攻擊手段，IPS可以采取過(guò)濾、阻斷、隔離等措施；對(duì)于未知的攻擊手段，IPS可以采取動(dòng)態(tài)防御、沙箱隔離等措施。
   
   

四、入侵防御系統(tǒng)的分類

1. 基于部署方式的分類：
   ● 串聯(lián)部署：IPS串聯(lián)部署在網(wǎng)絡(luò)中，能夠?qū)崟r(shí)檢測(cè)并阻斷攻擊流量，對(duì)正常的網(wǎng)絡(luò)流量不產(chǎn)生影響。
   ● 并聯(lián)部署：IPS并聯(lián)部署不會(huì)對(duì)網(wǎng)絡(luò)流量產(chǎn)生影響，不會(huì)造成數(shù)據(jù)延遲、丟包等問(wèn)題。
2. 基于應(yīng)用場(chǎng)景的分類：
   ● 網(wǎng)絡(luò)入侵防御系統(tǒng)（NIPS）：普遍安裝在需要保護(hù)的網(wǎng)段中，對(duì)網(wǎng)段中傳輸?shù)母鞣N數(shù)據(jù)包進(jìn)行實(shí)時(shí)監(jiān)視，并對(duì)這些數(shù)據(jù)包進(jìn)行分析和檢測(cè)。如果發(fā)現(xiàn)入侵行為或可疑事件，入侵防御系統(tǒng)就會(huì)發(fā)出警報(bào)甚至切斷網(wǎng)絡(luò)連接。
   ● 主機(jī)入侵防御系統(tǒng)（HIPS）：通過(guò)在主機(jī)/服務(wù)器上安裝軟件代理程序，防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)及應(yīng)用程序，保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用。
3. 基于防護(hù)對(duì)象的分類：
   ● 應(yīng)用入侵防御系統(tǒng)（AIPS）：專門(mén)針對(duì)應(yīng)用層進(jìn)行防護(hù)的入侵防御系統(tǒng)。
   ● 數(shù)據(jù)庫(kù)入侵防御系統(tǒng)（DBIPS）：專門(mén)針對(duì)數(shù)據(jù)庫(kù)層進(jìn)行防護(hù)的入侵防御系統(tǒng)。
4. 基于技術(shù)原理的分類：
   ● 基于特征的入侵防御系統(tǒng)：通過(guò)匹配攻擊特征來(lái)檢測(cè)和防御攻擊。
   ● 基于行為的入侵防御系統(tǒng)：通過(guò)分析網(wǎng)絡(luò)流量和行為來(lái)檢測(cè)和防御攻擊。
5. 基于安全策略的分類：
   ● 主動(dòng)防御系統(tǒng)：主動(dòng)防御系統(tǒng)能夠預(yù)防、檢測(cè)并快速響應(yīng)各種攻擊，它通常包括防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描器和其他安全組件。
   ● 被動(dòng)防御系統(tǒng)：被動(dòng)防御系統(tǒng)主要用于監(jiān)視和記錄網(wǎng)絡(luò)流量和活動(dòng)，它通常包括網(wǎng)絡(luò)監(jiān)控工具、日志分析器和審計(jì)工具等。
   
   

五、入侵防御與防火墻的區(qū)別

六、入侵防御系統(tǒng)的優(yōu)勢(shì)和局限性

1. 實(shí)時(shí)阻斷攻擊：設(shè)備采用直路方式部署在網(wǎng)絡(luò)中，能夠在檢測(cè)到入侵時(shí)，實(shí)時(shí)對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，將對(duì)網(wǎng)絡(luò)的入侵降到最低。
2. 深層防護(hù)：新型的攻擊都隱藏在TCP/IP協(xié)議的應(yīng)用層里，入侵防御能檢測(cè)報(bào)文應(yīng)用層的內(nèi)容，還可以對(duì)網(wǎng)絡(luò)數(shù)據(jù)流重組進(jìn)行協(xié)議分析和檢測(cè)，并根據(jù)攻擊類型、策略等確定應(yīng)該被攔截的流量。
3. 全方位防護(hù)：入侵防御可以提供針對(duì)蠕蟲(chóng)、病毒、木馬、僵尸網(wǎng)絡(luò)、間諜軟件、廣告軟件、CGI（Common Gateway Interface）攻擊、跨站腳本攻擊、注入攻擊、目錄遍歷、信息泄露、遠(yuǎn)程文件包含攻擊、溢出攻擊、代碼執(zhí)行、拒絕服務(wù)、掃描工具、后門(mén)等攻擊的防護(hù)措施，全方位防御各種攻擊，保護(hù)網(wǎng)絡(luò)安全。
4. 內(nèi)外兼防：入侵防御不但可以防止來(lái)自于企業(yè)外部的攻擊，還可以防止發(fā)自于企業(yè)內(nèi)部的攻擊。系統(tǒng)對(duì)經(jīng)過(guò)的流量都可以進(jìn)行檢測(cè)，既可以對(duì)服務(wù)器進(jìn)行防護(hù)，也可以對(duì)客戶端進(jìn)行防護(hù)。
5. 可擴(kuò)展性：IPS可以提供可擴(kuò)展的安全性，隨著網(wǎng)絡(luò)流量的增長(zhǎng)，IPS可以相應(yīng)地?cái)U(kuò)展其能力，以滿足不斷增長(zhǎng)的安全需求。
   
   

1. 誤報(bào)和漏報(bào)：IPS可能會(huì)誤報(bào)或漏報(bào)某些正常流量或攻擊流量，這可能導(dǎo)致正常業(yè)務(wù)流量被攔截或攻擊流量被漏過(guò)。
2. 處理能力：IPS需要處理大量的網(wǎng)絡(luò)流量，因此需要高性能的處理能力來(lái)確保實(shí)時(shí)檢測(cè)和攔截攻擊。
3. 部署復(fù)雜性：IPS的部署相對(duì)復(fù)雜，需要正確配置以確保其正常工作并發(fā)揮最佳效果。
4. 無(wú)法防御未知威脅：IPS主要依賴于已知的威脅特征來(lái)檢測(cè)和防御攻擊，對(duì)于未知威脅的防御能力有限。

七、入侵防御系統(tǒng)的使用方式

入侵防御系統(tǒng)（IPS）通常通過(guò)串聯(lián)部署在具有重要業(yè)務(wù)系統(tǒng)或內(nèi)部網(wǎng)絡(luò)安全性、保密性較高的網(wǎng)絡(luò)出口處。

八、入侵防御系統(tǒng)與其他安全設(shè)備的集成

入侵防御系統(tǒng)通過(guò)高效的集成引擎，實(shí)現(xiàn)流量分析、異常或攻擊行為的告警及阻斷、2～7層安全防護(hù)控制等功能，并可以可視化展示用戶行為和網(wǎng)絡(luò)健康狀況。與入侵檢測(cè)系統(tǒng)（IDS）相比，IPS不僅能檢測(cè)入侵的發(fā)生，更能通過(guò)一定的響應(yīng)方式，實(shí)時(shí)終止入侵行為的發(fā)生和發(fā)展，實(shí)時(shí)保護(hù)信息系統(tǒng)不受實(shí)質(zhì)性的攻擊。

此外，IPS還可以提供DoS/DDoS檢測(cè)及預(yù)防機(jī)制，辨別合法數(shù)據(jù)包與DoS/DDoS攻擊數(shù)據(jù)包，保證企業(yè)在遭受攻擊時(shí)也能使用網(wǎng)絡(luò)服務(wù)。

入侵防御系統(tǒng)（IPS）可以與其他多種安全設(shè)備集成，以提高整個(gè)網(wǎng)絡(luò)的安全性。以下是一些常見(jiàn)的集成方式：

1. 與防火墻集成：防火墻是網(wǎng)絡(luò)安全的基礎(chǔ)設(shè)施，可以控制網(wǎng)絡(luò)流量的進(jìn)出。IPS可以與防火墻集成，利用防火墻的過(guò)濾功能，將惡意流量或攻擊源阻斷在外，從而降低網(wǎng)絡(luò)受到攻擊的風(fēng)險(xiǎn)。

2. 與反病毒軟件集成：反病毒軟件可以對(duì)網(wǎng)絡(luò)流量和文件進(jìn)行病毒掃描和清除。IPS可以與反病毒軟件集成，在檢測(cè)到惡意流量或攻擊時(shí)，及時(shí)清除其中的病毒，保護(hù)網(wǎng)絡(luò)免受病毒的侵害。

3. 與漏洞掃描器集成：漏洞掃描器可以對(duì)網(wǎng)絡(luò)中的主機(jī)和設(shè)備進(jìn)行漏洞掃描和風(fēng)險(xiǎn)評(píng)估。IPS可以與漏洞掃描器集成，在檢測(cè)到漏洞或潛在的攻擊時(shí)，及時(shí)提醒或修復(fù)漏洞，提高網(wǎng)絡(luò)的安全性。

4. 與日志分析工具集成：日志分析工具可以對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器和應(yīng)用系統(tǒng)的日志進(jìn)行分析和處理。IPS可以與日志分析工具集成，將檢測(cè)到的異常行為和攻擊記錄到日志中，方便后續(xù)的分析和處理。
5. 與安全事件管理（SIEM）系統(tǒng)集成：SIEM系統(tǒng)可以對(duì)各種安全設(shè)備和系統(tǒng)的日志進(jìn)行收集、整合和分析。IPS可以與SIEM系統(tǒng)集成，將檢測(cè)到的安全事件上報(bào)給SIEM系統(tǒng)，實(shí)現(xiàn)統(tǒng)一的安全事件管理和響應(yīng)。

博客：http://xiejava.ishareread.com/