IPS （入侵防御系统）的含义

　　IPS是英文“Intrusion Prevention System”的缩写，中文意思是入侵防御系统。IPS 能够识别事件的侵入、关联、冲击和方向，并进行适当的分析，然后将合适的信息和命令传送给防火墙、交换机或其它网络设备以降低该事件的风险。在工作方式上，IPS串联于通信线路内，是既具有入侵检测功能，又能够实时中止网络入侵行为的新型安全设备。IPS由检测和防御两大系统组成，具备从网络到主机的防御措施和预先设定的响应设置。

　　IPS可支持多种监控模式，如SPAN（接到Hub端口或交换机的映像端口）、TAP（通过分接器）、In-Line（串联）、Port Cluster（端口群集）等，用户可根据实际情况选择（图1）。采用串联方式的IPS通常位于防火墙之前，进出的数据包都要经过IPS检查，所以攻击数据流在到达目标之前，就会被IPS识别出来并丢弃或阻断，从而达到防御的目的。IPS的底层设计借鉴交换机和防火墙，使用专用集成电路ASIC或FPGA等，可以实现线速检测。IPS采用了多种检测技术，特征检测可以准确检测已知的攻击，特征库可以在线升级并且不须重新启动探测器，而且异常检测可以有效地检测新出现的攻击。相对于采用被动侦听方式的IDS（入侵检测系统），采用串联监控方式的IPS具有强大的主动响应能力，在攻击流到来之前，就可以丢弃数据包、终止会话、修改防火墙策略、实时报警或记录日志等，这种主动防御的响应能力正是企业网络安全真正需要的。

　　目前，从保护对象上可将IPS分为三类：基于主机的入侵防护（HIPS）、基于网络的入侵防护（NIPS）和应用入侵防护（AIP）。IPS是位于应用服务器之前的网络信息安全设备，但并不是说IPS可以代替防火墙，防火墙是功能较为齐全的安全设备，而IPS的功能比较单一，它只能串联在网络上（类似于通常所说的网桥式防火墙），对防火墙所不能过滤的攻击进行过滤。IPS和防火墙的性能对比见附表。

　　不过IPS 也面临很多挑战，比如IPS的设计原理要求它必须以嵌入模式工作在网络中，这就可能造成瓶颈问题或单点故障，用户可能会面对由IPS造成的拒绝服务问题，所有客户都将无法访问企业网络提供的应用。嵌入式的IPS设备一旦出现问题，就会严重影响网络的正常运转。即使 IPS 设备不出现故障，但它仍然是一个潜在的网络瓶颈，IPS设备必须与大容量的网络数据保持同步，尤其是当加载了数量庞大的检测特征库时，设计不够完善的 IPS 嵌入设备就会无法支持这种响应速度。大多数高端 IPS 产品供应商都通过使用自定义硬件来提高IPS的运行效率。

　　附表：IPS和防火墙的性能对比

　　预先拦截节约防范时间

　　如果你是一位企业信息安全工程师，也许会有过这样的感触：IM与各种P2P 服务大举“侵占”企业网络带宽，即使带宽增加得再多都会觉得网络不畅，更别提木马进驻、蠕虫乱窜、资料外泄等等。最大的问题是，目前大多数传统的防火墙对于夹杂在合法数据中的DoS攻击、蠕虫病毒、木马软件等威胁几乎没有有效的反击措施，特别是大部分防火墙检查的层次主要集中在传输层以下，即使是优秀的防火墙，其深度检测能力也不太强，对于大量出现的面向应用的攻击根本无能为力。而IPS却拥有这样的防御能力，IPS完全可以满足网络安全防护的需要，它可以在检测到潜在危险时马上找出并且阻止攻击者，这一切可以在攻击者掩盖自己的脚印之前完成。

　　IPS的设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免它们造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS实现实时检查和阻止入侵的原理在于它拥有数量众多的过滤器，能够防止各种攻击，当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层次检查数据包的内容。如果有攻击者利用Layer2（介质访问控制层）至Layer7（应用层）的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer3或Layer4进行检查，不能检测应用层的内容。对于安全工程师而言，IPS的最大好处是能够节省采取防范行动的时间。

　　IPS典型方案分析

　　在上文中，我们已经提到IPS是串联于通信线路中的，因此企业用户需要在以下某一区域部署IPS：办公网与外部网络的连接部位（入口/出口），重要服务器集群前端或办公网内部接入层。至于其它区域，可以根据实际情况与重要程度酌情部署。下面我们通过具体的案例，让大家更进一步了解以IPS为核心的网络深度检测/实时防御的方法。

    案例1：学校关于IPS的应用

　　某中学包括两个初中部、一个高中部和两个行政楼，有1000多名师生。学校需要一整套融合有线和无线，支持VoIP应用、远程接入、高性能和高安全性兼备的网络解决方案。在评估了包括CISCO、Nortel和3Com的解决方案后，选择并部署了3Com 的安全解决方案，其中安全防御的核心设备是TippingPoint X505集成安全平台，如图2所示。

　　X505部署在Internet接入路由器和核心交换机之间，提供防火墙、VPN、入侵防御和网页内容过滤等功能，避免了部署多台独立安全设备的可能，控制了采购成本，简化了管理。过去如果学校的老师或学生的电脑感染了病毒、蠕虫或中了木马，在通过VPN连接到学校内网后，就会传染内网的其他用户，造成很大的麻烦。现在，VPN连接终结在X505上，只要在基于Web的安全管理界面上打开IPS功能，就可以检测VPN隧道内是否存在恶意流量并立即拦截，而且数字疫苗的自动更新也很及时，增强了保护数百台内网主机免遭攻击的能力。X505的网页内容过滤功能还能帮助老师过滤对学生成长不利的不良网站。

　　案例2：电信公司关于IPS的应用

　　某电信公司在国内31个省均设立了分公司，该公司的企业网为分公司提供信息平台，采用分布式管理。在办公系统的Internet出口上有时会遭遇大量未知攻击，当攻击成功后会导致企业业务中断、机密信息泄露甚至无法访问互联网等多种问题。由于网络攻击和流氓软件的危害，对公司的信息安全构成了一定的威胁。公司希望能够降低企业内部数据泄露的风险，不仅要有监测能力，还要在第一时间实现主动防护，确保业务连续运行，阻止来自互联网的攻击，保护企业内部网不受威胁。因此，企业急须搭建在第一时间能够实现主动防护、精准且全面的威胁防护网络系统。 

　　基于该公司的需求，McAfee为客户提供了一套精准全面的威胁防护网络解决方案——McAfee Network Security Platform，它采用了具有风险识别功能的IPS，针对零时间攻击和DoS攻击，以及间谍软件、恶意软件和Botnet 病毒，提供了较好的安全防护。具体部署则使用双机热备结构的In-Line模式（图3）。通过McAfee Network Security Platform的部署可实现以下功能：通过对相关的警告和攻击进行智能识别和拦截，使运营效率显著提高；对攻击进行实时拦截准确性较强，不影响合法数据流；强大的取证功能提供了与入侵识别、关联程度、入侵方位、影响和分析等有关的准确信息。不间断管理确保了重要网络保护的连续性，并且支持企业灾难恢复策略；集成的用户身份验证功能提供了有效的管理及用户管理；自动流程使用户无须重启传感器即可实时完成签名更新。 

IPS 网络入侵者