IPS主动式防护 多层深层保护企业网络

随着核心应用业务逐渐网络化，网络安全成为企业网络管理人员最急需解决的问题，“系统入侵”目前是威胁企业网络信息安全的首要元凶，系统漏洞屡被攻击，病毒在网络泛滥，主动防御和应用安全的压力日益增大，我们需要一个能够实时有效的安全防护系统。

安全防护系统是一个多层次的保护机制，它既包括企业的安全策略，又包括防火墙、防病毒、入侵防护等多种产品的解决方案。传统的，我们会仅用防火墙或防毒墙来反击，但因为他们主要是防御直接的可疑流量，面对黑客攻击水平的不断提高，及内部因计算机操作而存在的安全隐患等混合威胁的不断发展，这种单一的防护措施已经显得力不从心。

IDS入侵检测系统一直以来充当了安全防护系统的重要角色，IDS技术是通过从网络上得到数据包进行分析，从而检测和识别出系统中的未授权或异常现象。IDS注重的是网络监控、审核跟踪，告知网络是否安全，发现异常行为时，自身不作为，而是通过与防火墙等安全设备联动的方式进行防护。

IDS目前是一种受到企业欢迎的解决方案，但其目前存在以下几个显著缺陷：一是网络缺陷(用交换机代替可共享监听的HUB使IDS的网络监听带来麻烦，并且在复杂的网络下精心的发包也可以绕过IDS的监听);二是误报量大(只要一开机，报警不停);三是自身防攻击能力差等缺陷，所以，IDS还是不足完成网络安全防护的重任。

IDS的缺陷，成就了IPS的发展，IPS技术能够对网络进行多层、深层、主动的防护以有效保证企业网络安全，IPS的出现可谓是企业网络安全的革命性创新。简单地理解，IPS等于防火墙加上入侵检测系统，但并不代表IPS可以替代防火墙或IDS。

防火墙在基于TCP/IP协议的过滤方面表现非常出色，IDS提供的全面审计资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。

下面，我们来分析一下市场上主流的IPS生产厂商，看看他们在设计IPS产品时，是如何有效实现IPS的主动入侵防护功能的。

从安全厂商来看，国外品牌McAfee、ISS、Juniper、Symantec、华为3Com，国内品牌如冰峰网络、绿盟科技等众多厂商都有多款百兆和千兆的IPS产品，国产品牌(如冰峰网络)的千兆IPS产品的性能相对过去，更是有了长足的发展，对大流量网络的适应能力明显增强。从对这些主流IPS 产品的评测来看，一个稳定高效的IPS产品，需要具备以下几个方面的能力：

检测机制：

由于需要具备主动阻断能力，检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。据Juniper 的工程师介绍，Juniper产品中使用包括状态签名、协议异常、后门检测、流量异常、混合式攻击检测在内的“多重检测技术”，以提高检测和阻断的准确程度。

McAfee 公司则在自己的实验室里加强了对溢出型漏洞的研究和跟踪，把针对溢出型攻击的相应防范手段推送到IPS 设备的策略库中。国内品牌冰峰网络在IPS设备中采用了漏洞阻截技术，通过研究漏洞特征，将其加入到过滤规则中，IPS就可以发现符合漏洞特征的所有攻击流量，在冲击波及其变种大规模爆发时，直接将其阻断，从而赢得打补丁的关键时间。

弱点分析：

IPS产品的发展前景取决于攻击阻截功能的完善。引入弱点分析技术是IPS完善攻击阻截能力的更要依据，IPS厂商通过分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征，使IPS 能够主动保护脆弱系统。由于软件漏洞是不法分子的主要攻击目标，所以几乎所有IPS厂商都在加强系统脆弱性的研究。

ISS、赛门铁克分别设立了漏洞分析机构。McAfee也于日前收购了从事漏洞研究的 Foundstone公司，致力于把漏洞分析技术与入侵防护技术结合起来，Juniper设有一个专门的安全小组，密切关注新的系统弱点和蠕虫，国内的IPS厂商，如绿盟科技、冰峰网络等，虽然没有自己独立的弱点分析机构，但也在严密关注相关权威机构发布的弱点分析报告，及时更新过滤机制。

应用环境：

IPS 的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的，而对于另外的用户来说就是正常流量，这就需要IPS能够针对用户的特定需求提供灵活而容易使用的策略调优手段，以提高检测准确率。McAfee、Juniper、ISS、冰峰网络等公司同时都在IPS中提供了调优机制，使IPS通过自学习提高检测的准确性。

全面兼容：

所有的用户都希望用相对少的投入，建设一个最安全、最易管理的网络环境。IPS如若需达到全面防护工作，则还要把其它网络管理功能集成起来，如网络管理、负载均衡、日志管理等，各自分工，但紧密协作。