1. 什麼是IPS？

IPS是英文"Intrusion Prevention Systems"的縮寫，中文意思是"入侵防禦系統"，IPS實現實時檢查和阻止入侵。

上文「網絡安全」安全設備篇（2）——IDS提到的IDS入侵檢測系統大多是被動防禦，而不是主動的，在攻擊實際發生之前，它們往往無法預先發出警報。而IPS入侵防禦系統，則傾向于提供主動防護，其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送後發出警報。

2. IPS原理

IPS引擎原理圖

IPS是通過直接嵌入到網絡流量中實現主動防禦的，即通過一個網絡端口接收來自外部系統的流量，經過檢查确認其中不包含異常活動或可疑内容後，再通過另一個端口将它傳送到内部系統中。通過這個過程，有問題的數據包以及所有來自同一數據流的後續數據包，都将在IPS設備中被清除掉。

IPS擁有衆多過濾器，能夠防止各種攻擊。當新的攻擊手段被發現後，IPS就會創建一個新的過濾器。所有流經IPS的數據包都被分類，分類的依據是數據包中的報頭信息，如源IP地址和目的IP地址、端口号和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續前進，包含惡意内容的數據包就會被丢棄，被懷疑的數據包需要接受進一步的檢查。

3. IPS分類

• 基于主機的入侵防護(HIPS)

HIPS通過在主機/服務器上安裝軟件代理程序，防止網絡攻擊入侵操作系統以及應用程序。基于主機的入侵防護能夠保護服務器的安全弱點不被不法分子所利用。基于主機的入侵防護技術可以根據自定義的安全策略以及分析學習機制來阻斷對服務器、主機發起的惡意入侵。HIPS可以阻斷緩沖區溢出、改變登錄口令、改寫動态鍊接庫以及其他試圖從操作系統奪取控制權的入侵行為，整體提升主機的安全水平。

• 基于網絡的入侵防護(NIPS)

NIPS通過檢測流經的網絡流量，提供對網絡系統的安全保護。由于它采用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網絡會話，而不僅僅是複位會話。同樣由于實時在線，NIPS需要具備很高的性能，以免成為網絡的瓶頸，因此NIPS通常被設計成類似于交換機的網絡設備，提供線速吞吐速率以及多個網絡端口。

NIPS必須基于特定的硬件平台，才能實現千兆級網絡流量的深度數據包檢測和阻斷功能。這種特定的硬件平台通常可以分為三類：一類是網絡處理器(網絡芯片)，一類是專用的FPGA編程芯片，第三類是專用的ASIC芯片。

• 應用入侵防護(AIP)

NIPS産品有一個特例，即應用入侵防護(Application Intrusion Prevention，AIP)，它把基于主機的入侵防護擴展成為位于應用服務器之前的網絡設備。AIP被設計成一種高性能的設備，配置在應用數據的網絡鍊路上，以确保用戶遵守設定好的安全策略，保護服務器的安全。NIPS工作在網絡上，直接對數據包進行檢測和阻斷，與具體的主機/服務器操作系統平台無關。

NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。随着處理器性能的提高，每一層次的交換機都有可能集成入侵防護功能。

4. IPS作用

IPS是對防病毒軟件和防火牆的補充，能有效阻止蠕蟲、病毒、木馬、拒絕服務攻擊、間諜軟件、VOIP攻擊以及點到點應用濫用。

上一篇：「網絡安全」安全設備篇（2）——IDS