IPS是如何實現深度檢測和入侵抵御的

　　隨著網絡攻擊技術的不斷提高和網絡安全漏洞的不斷發現，傳統防火墻技術加傳統IDS的技術，已經無法應對一些安全威脅。在這種情況下，IPS技術應運而生，IPS技術可以深度感知并檢測流經的數據流量，對惡意報文進行丟棄以阻斷攻擊，對濫用報文進行限流以保護網絡帶寬資源。

　　IPS如何實現深度檢測和入侵抵御

　　對于部署在數據轉發路徑上的IPS，可以根據預先設定的安全策略，對流經的每個報文進行深度檢測（協議分析跟蹤、特征匹配、流量統計分析、事件關聯分析等），如果一旦發現隱藏于其中網絡攻擊，可以根據該攻擊的威脅級別立即采取抵御措施，這些措施包括（按照處理力度）：向管理中心告警；丟棄該報文；切斷此次應用會話；切斷此次TCP連接。

　　在哪里部署

　　進行了以上分析以后，我們可以得出結論，辦公網中，至少需要在以下區域部署IPS，即辦公網與外部網絡的連接部位（入口/出口）；重要服務器集群前端；辦公網內部接入層。至于其它區域，可以根據實際情況與重要程度，酌情部署。

　　如何部署

　　在以下案例中，我們可以看到以IPS為核心的多種網絡深度檢測/實時抵御的方案；不同的方案，在不同的應用場景當中，可以適當地擴充或簡化。

　　一、 基于策略的安全防御

　　1. 位于辦公網入口的IPS通過應用層協議分析跟蹤和特征匹配，發現目的地為業務服務器A的HTTP數據流中隱藏有針對Windows操作系統的DCOM漏洞的惡意利用；

　　2. IPS將此安全事件上報至管理中心；

　　3. 管理中心獲取服務器A的基本信息；

　　4. 管理中心根據獲取的A的信息，判斷該訪問是否會造成危害，如果A不運行Windows操作系統或者A確實運行Windows但是已經打了針對DCOM漏洞的補丁，則A是安全的；

　　5. 根據情況，管理中心向IPS下發制定的安全策略；

　　6. IPS執行安全策略，放行或者阻斷此次連接請求。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]