IPS是如何實現(xiàn)深度檢測和入侵抵御的

　　隨著網(wǎng)絡(luò)攻擊技術(shù)的不斷提高和網(wǎng)絡(luò)安全漏洞的不斷發(fā)現(xiàn)，傳統(tǒng)防火墻技術(shù)加傳統(tǒng)IDS的技術(shù)，已經(jīng)無法應(yīng)對一些安全威脅。在這種情況下，IPS技術(shù)應(yīng)運(yùn)而生，IPS技術(shù)可以深度感知并檢測流經(jīng)的數(shù)據(jù)流量，對惡意報文進(jìn)行丟棄以阻斷攻擊，對濫用報文進(jìn)行限流以保護(hù)網(wǎng)絡(luò)帶寬資源。

　　IPS如何實現(xiàn)深度檢測和入侵抵御

　　對于部署在數(shù)據(jù)轉(zhuǎn)發(fā)路徑上的IPS，可以根據(jù)預(yù)先設(shè)定的安全策略，對流經(jīng)的每個報文進(jìn)行深度檢測（協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計分析、事件關(guān)聯(lián)分析等），如果一旦發(fā)現(xiàn)隱藏于其中網(wǎng)絡(luò)攻擊，可以根據(jù)該攻擊的威脅級別立即采取抵御措施，這些措施包括（按照處理力度）：向管理中心告警；丟棄該報文；切斷此次應(yīng)用會話；切斷此次TCP連接。

　　在哪里部署

　　進(jìn)行了以上分析以后，我們可以得出結(jié)論，辦公網(wǎng)中，至少需要在以下區(qū)域部署IPS，即辦公網(wǎng)與外部網(wǎng)絡(luò)的連接部位（入口/出口）；重要服務(wù)器集群前端；辦公網(wǎng)內(nèi)部接入層。至于其它區(qū)域，可以根據(jù)實際情況與重要程度，酌情部署。

　　如何部署

　　在以下案例中，我們可以看到以IPS為核心的多種網(wǎng)絡(luò)深度檢測/實時抵御的方案；不同的方案，在不同的應(yīng)用場景當(dāng)中，可以適當(dāng)?shù)財U(kuò)充或簡化。

　　一、 基于策略的安全防御

　　1. 位于辦公網(wǎng)入口的IPS通過應(yīng)用層協(xié)議分析跟蹤和特征匹配，發(fā)現(xiàn)目的地為業(yè)務(wù)服務(wù)器A的HTTP數(shù)據(jù)流中隱藏有針對Windows操作系統(tǒng)的DCOM漏洞的惡意利用；

　　2. IPS將此安全事件上報至管理中心；

　　3. 管理中心獲取服務(wù)器A的基本信息；

　　4. 管理中心根據(jù)獲取的A的信息，判斷該訪問是否會造成危害，如果A不運(yùn)行Windows操作系統(tǒng)或者A確實運(yùn)行Windows但是已經(jīng)打了針對DCOM漏洞的補(bǔ)丁，則A是安全的；

　　5. 根據(jù)情況，管理中心向IPS下發(fā)制定的安全策略；

　　6. IPS執(zhí)行安全策略，放行或者阻斷此次連接請求。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]