网络安全产品之认识入侵防御系统

由于网络安全威胁的不断演变和增长。随着网络技术的不断发展和普及，网络攻击的种类和数量也在不断增加，给企业和个人带来了巨大的安全风险。传统的防火墙、入侵检测防护体系等安全产品在面对这些威胁时，存在一定的局限性和不足，无法满足当前网络安全的需求。入侵防御系统(IPS)作为一种主动防御的解决方案应运而生。它可以实时检测和防御网络流量中的恶意攻击和威胁，通过串接的方式部署在网络中，对入侵行为进行实时阻断，从而极大地降低了入侵的危害。入侵防御系统（IPS）的出现弥补了传统安全产品的不足，为网络安全提供了更加全面和有效的防护方案。前面介绍了入侵检测系统（IDS）《网络安全产品之认识入侵检测系统》，本文我们来认识一下入侵防御系统（IPS）。

一、什么是入侵防御系统

入侵防御系统（IPS） 是一种网络安全设施，主要用于监测和防御网络或系统活动中存在的恶意攻击和威胁。IPS能够监视网络流量和系统活动，检测已知和未知的攻击行为，一旦发现威胁，会立即启动防御机制，采取相应的措施来阻止或减轻攻击的影响。IPS倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。能够在保护网络和计算机系统免受攻击方面发挥强大的作用。

二、入侵防御系统的主要功能

1. 实时监测和防御：IPS能够实时监测网络流量和系统活动，一旦发现异常或恶意行为，能够立即启动防御机制，阻断恶意流量，防止攻击扩散。
2. 网络入侵防护：IPS能够提供针对多种协议和层面的防护，包括网络层、应用层和系统层，全面防御各种攻击，如缓冲区溢出攻击、木马、蠕虫等。实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、Dos等恶意流量，保护企业信息系统和网络架构免受侵害，防止操作系统和应用程序损坏或宕机。
3. 深度检测和分析：IPS具备深度包检测（DPI）技术，能够对数据包进行深入分析，识别隐藏在其中的恶意代码、恶意命令或恶意流量模式等。
4. 威胁情报整合：IPS能够整合威胁情报数据，了解最新的攻击手段、恶意软件、漏洞利用等信息，从而能够及时更新检测规则和防御策略。
5. 自定义防护策略：用户可以根据自己的需求，通过自定义特征码进行防护，使IPS更加适应特定环境下的安全需求。
6. Web安全：基于互联网Web站点的挂马检测结果，结合URL信誉评价技术，保护用户在访问被植入木马等恶意代码的网站时不受侵害，及时、有效地第一时间拦截Web威胁。
7. 流量控制和优化：阻断一切非授权用户流量，管理合法网络资源的利用，有效保证关键应用全天候畅通无阻，通过保护关键应用带宽来不断提升企业IT产出率和收益率。
8. 上网行为监控：全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频，以及在线炒股等网络行为，协助企业辨识和限制非授权网络流量，更好地执行企业的安全策略。

三、入侵防御系统的工作原理

入侵防御系统（IPS）的工作原理主要基于实时检测和拦截网络流量中的恶意攻击和威胁。IPS通过直接嵌入到网络流量中，对网络流量进行实时检查，对异常活动或可疑内容进行检查后，再通过其他端口将信息传送到内部系统中。如果出现问题的数据包以及其他来自同一源头的后续数据包，都能在IPS设备中预先被过滤掉，这样就可以阻止恶意攻击和威胁进入网络。IPS还可以提供主动保护，针对被明确判断为攻击行为、会对网络、数据造成危害的恶意行为提前进行检测和防御，降低或是减免使用者对异常状况的处理资源开销。

入侵防御系统的工作原理主要基于以下几个关键技术：

1. 流量分析：IPS能够实时监控网络流量，并对流量中的数据包进行分类、标记和检测。通过分析流量的协议、端口、流向等信息，以及数据包的载荷内容，IPS能够识别出异常流量和潜在的攻击行为。
2. 威胁情报：IPS通过收集和分析威胁情报数据，了解最新的攻击手段、恶意软件、漏洞利用等信息，从而能够及时更新检测规则和防御策略。威胁情报可以来自于网络威胁情报平台、安全社区、安全研究机构等。
3. 深度包检测（DPI）：DPI技术可以对数据包进行深度内容检测，识别出数据包中的各种应用层协议和内容特征。通过DPI技术，IPS能够检测出隐藏在数据包中的恶意代码、恶意命令或恶意流量模式等。
4. 行为分析：IPS通过分析网络流量中数据包的行为模式，能够识别出异常行为和潜在的攻击行为。例如，IPS可以检测出未经授权的网络扫描、恶意扫描等行为，并采取相应的防御措施。
5. 防御规则：IPS通过预设的防御规则，能够根据不同的攻击类型和场景，采取不同的防御措施。例如，对于已知的攻击手段，IPS可以采取过滤、阻断、隔离等措施；对于未知的攻击手段，IPS可以采取动态防御、沙箱隔离等措施。

入侵防御系统通过实时检测、分析网络流量和行为，以及采用威胁情报、深度包检测、行为分析和防御规则等技术手段，实现对网络安全的主动防护和实时防御。

四、入侵防御系统的分类

入侵防御系统（IPS）有多种分类方式，以下是常见的几种分类：

1. 基于部署方式的分类：
   ● 串联部署：IPS串联部署在网络中，能够实时检测并阻断攻击流量，对正常的网络流量不产生影响。
   ● 并联部署：IPS并联部署不会对网络流量产生影响，不会造成数据延迟、丢包等问题。
2. 基于应用场景的分类：
   ● 网络入侵防御系统（NIPS）：普遍安装在需要保护的网段中，对网段中传输的各种数据包进行实时监视，并对这些数据包进行分析和检测。如果发现入侵行为或可疑事件，入侵防御系统就会发出警报甚至切断网络连接。
   ● 主机入侵防御系统（HIPS）：通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统及应用程序，保护服务器的安全弱点不被不法分子所利用。
3. 基于防护对象的分类：
   ● 应用入侵防御系统（AIPS）：专门针对应用层进行防护的入侵防御系统。
   ● 数据库入侵防御系统（DBIPS）：专门针对数据库层进行防护的入侵防御系统。
4. 基于技术原理的分类：
   ● 基于特征的入侵防御系统：通过匹配攻击特征来检测和防御攻击。
   ● 基于行为的入侵防御系统：通过分析网络流量和行为来检测和防御攻击。
5. 基于安全策略的分类：
   ● 主动防御系统：主动防御系统能够预防、检测并快速响应各种攻击，它通常包括防火墙、入侵检测系统、漏洞扫描器和其他安全组件。
   ● 被动防御系统：被动防御系统主要用于监视和记录网络流量和活动，它通常包括网络监控工具、日志分析器和审计工具等。

以上分类方式并不是互斥的，有些IPS产品可能同时具备多种分类的特点。在实际应用中，需要根据具体需求选择适合的IPS产品。

五、入侵防御与防火墙的区别

入侵防御与防火墙是两种不同的网络安全技术，它们在保护网络安全方面各有侧重。
防火墙主要是通过对网络流量进行过滤和阻止，来保护网络免受未经授权的访问和攻击。它是一种被动的防御方式，根据预设的规则对进出网络的数据包进行控制，只允许符合规则的数据包通过。防火墙可以阻止大多数已知的攻击，但对于一些新的、未知的攻击手段，防火墙可能无法进行有效防御。

入侵防御则是一种更深入的防护方式，它通过对网络流量进行实时监控和分析，发现和阻止潜在的网络攻击行为。与防火墙相比，入侵防御具有更强的主动性和防御能力。它不仅可以检测和防御已知的攻击手段，对于一些未知的攻击，入侵防御系统也可以通过行为分析、深度包检测等技术手段进行检测和防御。此外，入侵防御系统还可以提供实时的检测和响应功能，一旦发现异常流量或攻击行为，可以立即采取相应的防御措施，如隔离、过滤等，从而降低网络受到攻击的风险。

综上所述，防火墙主要是对网络流量进行过滤和阻止，以防止未经授权的访问和攻击；而入侵防御则通过对网络流量进行实时监控和分析，发现和阻止潜在的网络攻击行为，提供更深入的防护。在实际应用中，可以将防火墙和入侵防御系统结合使用，以实现对网络安全的全面保护。

六、入侵防御系统的优势和局限性

入侵防御系统（IPS）的优势主要包括：

1. 实时阻断攻击：设备采用直路方式部署在网络中，能够在检测到入侵时，实时对入侵活动和攻击性网络流量进行拦截，将对网络的入侵降到最低。
2. 深层防护：新型的攻击都隐藏在TCP/IP协议的应用层里，入侵防御能检测报文应用层的内容，还可以对网络数据流重组进行协议分析和检测，并根据攻击类型、策略等确定应该被拦截的流量。
3. 全方位防护：入侵防御可以提供针对蠕虫、病毒、木马、僵尸网络、间谍软件、广告软件、CGI（Common Gateway Interface）攻击、跨站脚本攻击、注入攻击、目录遍历、信息泄露、远程文件包含攻击、溢出攻击、代码执行、拒绝服务、扫描工具、后门等攻击的防护措施，全方位防御各种攻击，保护网络安全。
4. 内外兼防：入侵防御不但可以防止来自于企业外部的攻击，还可以防止发自于企业内部的攻击。系统对经过的流量都可以进行检测，既可以对服务器进行防护，也可以对客户端进行防护。
5. 可扩展性：IPS可以提供可扩展的安全性，随着网络流量的增长，IPS可以相应地扩展其能力，以满足不断增长的安全需求。

然而，入侵防御系统也存在一些局限性：

1. 误报和漏报：IPS可能会误报或漏报某些正常流量或攻击流量，这可能导致正常业务流量被拦截或攻击流量被漏过。
2. 处理能力：IPS需要处理大量的网络流量，因此需要高性能的处理能力来确保实时检测和拦截攻击。
3. 部署复杂性：IPS的部署相对复杂，需要正确配置以确保其正常工作并发挥最佳效果。
4. 无法防御未知威胁：IPS主要依赖于已知的威胁特征来检测和防御攻击，对于未知威胁的防御能力有限。

虽然入侵防御系统存在一些局限性，但在提供实时保护和深度防护方面具有显著优势。

七、入侵防御系统的使用方式

入侵防御系统（IPS）通常通过串联部署在具有重要业务系统或内部网络安全性、保密性较高的网络出口处。

八、入侵防御系统与其他安全设备的集成

入侵防御系统通过高效的集成引擎，实现流量分析、异常或攻击行为的告警及阻断、2～7层安全防护控制等功能，并可以可视化展示用户行为和网络健康状况。与入侵检测系统（IDS）相比，IPS不仅能检测入侵的发生，更能通过一定的响应方式，实时终止入侵行为的发生和发展，实时保护信息系统不受实质性的攻击。

此外，IPS还可以提供DoS/DDoS检测及预防机制，辨别合法数据包与DoS/DDoS攻击数据包，保证企业在遭受攻击时也能使用网络服务。

入侵防御系统（IPS）可以与其他多种安全设备集成，以提高整个网络的安全性。以下是一些常见的集成方式：

1. 与防火墙集成：防火墙是网络安全的基础设施，可以控制网络流量的进出。IPS可以与防火墙集成，利用防火墙的过滤功能，将恶意流量或攻击源阻断在外，从而降低网络受到攻击的风险。
2. 与反病毒软件集成：反病毒软件可以对网络流量和文件进行病毒扫描和清除。IPS可以与反病毒软件集成，在检测到恶意流量或攻击时，及时清除其中的病毒，保护网络免受病毒的侵害。
3. 与漏洞扫描器集成：漏洞扫描器可以对网络中的主机和设备进行漏洞扫描和风险评估。IPS可以与漏洞扫描器集成，在检测到漏洞或潜在的攻击时，及时提醒或修复漏洞，提高网络的安全性。
4. 与日志分析工具集成：日志分析工具可以对网络设备、服务器和应用系统的日志进行分析和处理。IPS可以与日志分析工具集成，将检测到的异常行为和攻击记录到日志中，方便后续的分析和处理。
5. 与安全事件管理（SIEM）系统集成：SIEM系统可以对各种安全设备和系统的日志进行收集、整合和分析。IPS可以与SIEM系统集成，将检测到的安全事件上报给SIEM系统，实现统一的安全事件管理和响应。

总的来说，入侵防御系统是一种能够防御防火墙所不能防御的深层入侵威胁的在线部署安全产品，是对防病毒软件和防火墙的补充。在实际应用中，可以根据具体需求和网络环境选择适合的集成方式，以提高整个网络的安全性。

---

博客：http://xiejava.ishareread.com/