IPS的基础知识-网络安全系统集成与建设

1.IPS的含义

随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。在这种情况下，入侵防御系统（Intrusion Prevention System，IPS）技术应运而生。对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），如果一旦发现隐藏于其中的网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括：向管理中心报警、丢弃该报文、切断此次应用会话、切断此次TCP连接、对滥用报文进行限流以保护网络带宽资源等。

2.IPS与IDS的区别

IPS是位于防火墙和网络设备之间的设备。如果检测到攻击，IPS会在这种攻击扩散到网络的其他地方之前阻止这个恶意的通信。而IDS只是存在于网络之外，起到报警的作用，而不是在网络前面起到防御的作用。

IPS检测攻击的方法也与IDS不同。一般来说，IPS依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入网络。

目前普遍认为入侵检测系统和入侵防御系统是两类产品，并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现，给用户带来了选择上的困惑。

从产品价值角度讲：入侵检测系统（IDS）对那些异常的、可能是入侵行为的数据进行检测和报警，告知使用者网络中的实时状况，并提供相应的解决、处理方法，是一种侧重于风险管理的安全产品。入侵防御系统（IPS）对那些被明确判断为具有攻击性、会对网络和数据造成危害的恶意行为进行检测和防御，降低或减免使用者对异常状况的处理资源开销，是一种侧重于风险控制的安全产品。与防火墙类产品、入侵检测产品可以实施的安全策略不同，入侵防御系统可以实施深层防御安全策略，即可以在应用层检测出攻击并予以阻断，这是防火墙所做不到的，当然也是入侵检测产品所做不到的。

从产品应用角度来讲：为了达到可以全面检测网络安全状况的目的，入侵检测是旁路部署甚至多点部署的。如果信息系统中包含了多个逻辑隔离的子网，则需要在整个信息系统中实施分布部署，即每个子网部署一个入侵检测分析引擎，并统一进行引擎的策略管理以及事件分析，以达到掌控整个信息系统安全状况的目的。于是呈现的效果表现在是否能方便地从产品界面上获得有效信息，以便对接下来的工作进行指导：禁止或允许某些安全规则、评价某个区域的安全建设效果等。所以入侵检测系统的核心价值在于通过对全网信息的分析，了解信息系统的安全状况，进而指导信息系统安全建设目标以及安全策略的确立和调整。(www.xing528.com)

而入侵防御则更关注“防护”，它提供准确而及时的防护，然而其关注重点并不是全局信息，也不是信息分析。这导致了入侵检测和入侵防御在面对事件时的不同态度：入侵检测关注可疑事件，即使不能判断为具体的攻击行为，也要进行记录和分析备案；而入侵防御关注的都是明确的事件，是威胁就坚决予以阻断，不能认定为威胁的则予以放行。而在用户交互层面，也有不同的态度：入侵检测关注信息展现，以图表形式呈现全面的信息以协助分析；入侵防御则不需要关注信息之间的关联，事件对入侵防御而言只是一个阻断报告的数据来源。所以，入侵防御系统的核心价值在于安全策略的实施。

所以，IDS和IPS的关系，并非取代和互斥，而是相互协作：没有部署IDS的时候，只能是凭感觉判断，应该在什么地方部署什么样的安全产品，通过IDS的广泛部署，了解了网络的当前实时状况，据此状况可进一步判断应该在何处部署何类安全产品（如IPS等）。

3.IPS的主要功能

（1）精确阻断

入侵防御系统作为串接部署的设备，确保用户业务不受影响是一个重点，错误的阻断必定影响正常业务，在错误阻断的情况下，各种所谓扩展功能、高性能都是一句空话。这就引出了IPS设备所应该关心的重点———精确阻断，即精确判断各种深层的攻击行为，并实现实时的阻断。精确阻断解决了由于IPS的误报和滥报，使得串接设备形成新的网络故障点的问题。

（2）深层防御

作为一款防御入侵攻击的设备，防御各种深层入侵行为是第二个重点，这也是IPS区别于其他安全产品的本质特点。与精确阻断相结合，产生了保障深层防御情况下的精确阻断，即在确保精确阻断的基础上，尽量多地发现攻击行为。