IPS是如何實現(xiàn)深度檢測和入侵抵御的

　　隨著網(wǎng)絡攻擊技術的不斷提高和網(wǎng)絡安全漏洞的不斷發(fā)現(xiàn)，傳統(tǒng)防火墻技術加傳統(tǒng)IDS的技術，已經(jīng)無法應對一些安全威脅。在這種情況下，IPS技術應運而生，IPS技術可以深度感知并檢測流經(jīng)的數(shù)據(jù)流量，對惡意報文進行丟棄以阻斷攻擊，對濫用報文進行限流以保護網(wǎng)絡帶寬資源。

　　IPS如何實現(xiàn)深度檢測和入侵抵御

　　對于部署在數(shù)據(jù)轉(zhuǎn)發(fā)路徑上的IPS，可以根據(jù)預先設定的安全策略，對流經(jīng)的每個報文進行深度檢測（協(xié)議分析跟蹤、特征匹配、流量統(tǒng)計分析、事件關聯(lián)分析等），如果一旦發(fā)現(xiàn)隱藏于其中網(wǎng)絡攻擊，可以根據(jù)該攻擊的威脅級別立即采取抵御措施，這些措施包括（按照處理力度）：向管理中心告警；丟棄該報文；切斷此次應用會話；切斷此次TCP連接。

　　在哪里部署

　　進行了以上分析以后，我們可以得出結(jié)論，辦公網(wǎng)中，至少需要在以下區(qū)域部署IPS，即辦公網(wǎng)與外部網(wǎng)絡的連接部位（入口/出口）；重要服務器集群前端；辦公網(wǎng)內(nèi)部接入層。至于其它區(qū)域，可以根據(jù)實際情況與重要程度，酌情部署。

　　如何部署

　　在以下案例中，我們可以看到以IPS為核心的多種網(wǎng)絡深度檢測/實時抵御的方案；不同的方案，在不同的應用場景當中，可以適當?shù)財U充或簡化。

　　一、 基于策略的安全防御

　　1. 位于辦公網(wǎng)入口的IPS通過應用層協(xié)議分析跟蹤和特征匹配，發(fā)現(xiàn)目的地為業(yè)務服務器A的HTTP數(shù)據(jù)流中隱藏有針對Windows操作系統(tǒng)的DCOM漏洞的惡意利用；

　　2. IPS將此安全事件上報至管理中心；

　　3. 管理中心獲取服務器A的基本信息；

　　4. 管理中心根據(jù)獲取的A的信息，判斷該訪問是否會造成危害，如果A不運行Windows操作系統(tǒng)或者A確實運行Windows但是已經(jīng)打了針對DCOM漏洞的補丁，則A是安全的；

　　5. 根據(jù)情況，管理中心向IPS下發(fā)制定的安全策略；

　　6. IPS執(zhí)行安全策略，放行或者阻斷此次連接請求。

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]