天下网吧 >> 网吧方案 >> 安全方案 >> 正文

IPS 网络入侵者的克星(图)

    随着Internet应用的迅速普及,目前的应用系统发展与Web更加紧密,从办公系统到交易系统,这种趋势日益明显。由于Internet的开放性强,随之而来的安全问题也日益突出,对于大量出现的面向应用的攻击,传统的防火墙根本无能为力。在这样的情况下,IPS设备开始出现在企业用户的采购单中。

    IPS (入侵防御系统)的含义

  IPS是英文“Intrusion Prevention System”的缩写,中文意思是入侵防御系统。IPS 能够识别事件的侵入、关联、冲击和方向,并进行适当的分析,然后将合适的信息和命令传送给防火墙、交换机或其它网络设备以降低该事件的风险。在工作方式上,IPS串联于通信线路内,是既具有入侵检测功能,又能够实时中止网络入侵行为的新型安全设备。IPS由检测和防御两大系统组成,具备从网络到主机的防御措施和预先设定的响应设置。

  IPS可支持多种监控模式,如SPAN(接到Hub端口或交换机的映像端口)、TAP(通过分接器)、In-Line(串联)、Port Cluster(端口群集)等,用户可根据实际情况选择(图1)。采用串联方式的IPS通常位于防火墙之前,进出的数据包都要经过IPS检查,所以攻击数据流在到达目标之前,就会被IPS识别出来并丢弃或阻断,从而达到防御的目的。IPS的底层设计借鉴交换机和防火墙,使用专用集成电路ASIC或FPGA等,可以实现线速检测。IPS采用了多种检测技术,特征检测可以准确检测已知的攻击,特征库可以在线升级并且不须重新启动探测器,而且异常检测可以有效地检测新出现的攻击。相对于采用被动侦听方式的IDS(入侵检测系统),采用串联监控方式的IPS具有强大的主动响应能力,在攻击流到来之前,就可以丢弃数据包、终止会话、修改防火墙策略、实时报警或记录日志等,这种主动防御的响应能力正是企业网络安全真正需要的。

   

 
    
    目前,从保护对象上可将IPS分为三类:基于主机的入侵防护(HIPS)、基于网络的入侵防护(NIPS)和应用入侵防护(AIP)。IPS是位于应用服务器之前的网络信息安全设备,但并不是说IPS可以代替防火墙,防火墙是功能较为齐全的安全设备,而IPS的功能比较单一,它只能串联在网络上(类似于通常所说的网桥式防火墙),对防火墙所不能过滤的攻击进行过滤。IPS和防火墙的性能对比见附表。

  不过IPS 也面临很多挑战,比如IPS的设计原理要求它必须以嵌入模式工作在网络中,这就可能造成瓶颈问题或单点故障,用户可能会面对由IPS造成的拒绝服务问题,所有客户都将无法访问企业网络提供的应用。嵌入式的IPS设备一旦出现问题,就会严重影响网络的正常运转。即使 IPS 设备不出现故障,但它仍然是一个潜在的网络瓶颈,IPS设备必须与大容量的网络数据保持同步,尤其是当加载了数量庞大的检测特征库时,设计不够完善的 IPS 嵌入设备就会无法支持这种响应速度。大多数高端 IPS 产品供应商都通过使用自定义硬件来提高IPS的运行效率。

    附表:IPS和防火墙的性能对比

 

[1] [2] [3] 下一页

本文来源:天下网吧 作者:网吧方案

相关文章
没有相关文章
声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系Email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下