入侵防御系统 IPS

入侵防御系统简介

• Intrusion Prevention System：IPS
• 位于防火墙和网络的设备之间，依靠对数据包的检测进行防御（检查入网的数据包，确定数据包的真正用途，然后决定是否允许其进入内网）。
• 能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备，能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
• 防火墙可以拦截底层攻击行为，但对应用层的深层攻击行为无能为力。IPS是对防火墙的补充。
• IPS是串行部署，部署后会对网络造成一定的延时影响，因此，对网络要求高的公司，可能会选择部署IDS（IDS是旁路部署）。
• 当IPS出现故障，系统崩掉了，会自动启用软件Bypass，即此时不对所有的包进行检测，也不对所有的包进行拦截，全部放过。

入侵防御系统功能

• 在ISO/OSI网络层次模型中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很微弱。而防病毒软件主要在第五到第七层起作用。
• 为了弥补防火墙和防病毒软件二者在第四到第五层之间留下的空档，几年前，工业界已经有入侵检测系统（IDS：Intrusion Detection System）投入使用。入侵检测系统在发现异常情况后及时向网路安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然，亡羊补牢，犹未为晚，但是，防卫机制最好应该是在危害形成之前先期起作用。
• 随后应运而生的入侵响应系统（IRS：Intrusion Response Systems）作为对入侵检测系统的补充能够在发现入侵时，迅速作出反应，并自动采取阻止措施。而入侵防御系统则作为二者的进一步发展，汲取了二者的长处。

入侵防御系统类型

• 单机入侵防御系统（HIPS：Hostbased Intrusion Prevension System）
• 网络入侵防御系统（NIPS：Network Intrusion Prevension System）

入侵防御系统部署

• 入侵检测系统部署在服务器区域前端
• 部署模式通常为网桥模式、透明模式，也有部署为路由模式