入侵防御系统（IPS）在金融机构中应用

核心提示： 首先，IPS部署采用HA的部署结构(如下图1示)，入侵防御系统（IPS）在金融机构中应用(3)，并采用链路健康状态作为主备切换条件，即同时监控链路的物理状态及网络路径的检测，即不仅要求IPS产品能够实现高可用性需求，而且还需具备产品的持续支持能力，保障在设备及链路出现故障的情况下，能够及时切换;

首先，IPS部署采用HA的部署结构(如下图1示)，并采用链路健康状态作为主备切换条件，即同时监控链路的物理状态及网络路径的检测，保障在设备及链路出现故障的情况下，能够及时切换;

其次，IPS防护链路配备软、硬Bypass，能够保障在设备本身硬件、软件故障时，避免单点故障造成业务中断;

最后，在IPS上启用流量管理功能，为每个办公业务终端设定互联网流量的上限及并发会话数上限，同时为业务数据设定保障带宽，最大限度的保业务数据的可用性。

图1采用HA的部署结构部署IPS

2.保障业务的安全性设计

此设计的目标是保障业务安全高效运行，最大限度的发挥IPS的应用层防护能力。

具体方案是：在IPS上配置安全防护策略，启用防攻击、入侵防御、防病毒及上网行为管理等功能，对应用层威胁进行全面防护，同时针对P2P、IM、网络游戏等占用互联网带宽的应用进行限制，保障业务安全运行。此外，在入侵防御的核心功能上，通过对入侵防御特征库的定期升级，来保证IPS设备能够识别和防御最新的威胁。

3.统一管理方案设计

如何将多台IPS进行统一管理监控、如何将IPS设备纳入已有网管系统，是总行及分行的多台IPS部署后面临的最大挑战。

在统一管理方面，启明星辰公司的天清IPS提供集中管理平台，能对IPS设备实施统一管理，实现了设备分组管理、统一安全策略配置、特征库升级文件下发及统一报表分析功能，方便了IPS设备管理工作，关键是保证了全行IPS安全防护策略的统一，部署方式如下图2所示。

图2 启明星辰天清IPS集中管理平台

在网管系统方面，天清IPS提供了标准的数据接口SNMP，方便将IPS设备纳入网管系统进行管理。同时，IPS设备可同时向本地日志管理平台及SOC平台发送Syslog运行日志，方便SOC系统对IPS设备日志的搜集和监控。

小结

综上所述，随着互联网环境的日益复杂，银行互联网业务的风险需要特别关注，针对应用层的威胁，IPS产品无疑是最佳防护方案。

然而，IPS产品在选择、部署及应用等多方面，也都充满了挑战。银行用户需要将一切工作都围绕着保障业务可靠性的第一目标来开展，这也同时对IPS厂商提出了如下考验，即不仅要求IPS产品能够实现高可用性需求，而且还需具备产品的持续支持能力，从而才能保障产品的持续稳定应用。