IPS是如何实现深度检测和入侵抵御的

　　随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统IDS的技术，已经无法应对一些安全威胁。在这种情况下，IPS技术应运而生，IPS技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。

　　IPS如何实现深度检测和入侵抵御

　　对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括（按照处理力度）：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次TCP连接。

　　在哪里部署

　　进行了以上分析以后，我们可以得出结论，办公网中，至少需要在以下区域部署IPS，即办公网与外部网络的连接部位（入口/出口）；重要服务器集群前端；办公网内部接入层。至于其它区域，可以根据实际情况与重要程度，酌情部署。

　　如何部署

　　在以下案例中，我们可以看到以IPS为核心的多种网络深度检测/实时抵御的方案；不同的方案，在不同的应用场景当中，可以适当地扩充或简化。

　　一、 基于策略的安全防御

　　1. 位于办公网入口的IPS通过应用层协议分析跟踪和特征匹配，发现目的地为业务服务器A的HTTP数据流中隐藏有针对Windows操作系统的DCOM漏洞的恶意利用；

　　2. IPS将此安全事件上报至管理中心；

　　3. 管理中心获取服务器A的基本信息；

　　4. 管理中心根据获取的A的信息，判断该访问是否会造成危害，如果A不运行Windows操作系统或者A确实运行Windows但是已经打了针对DCOM漏洞的补丁，则A是安全的；

　　5. 根据情况，管理中心向IPS下发制定的安全策略；

　　6. IPS执行安全策略，放行或者阻断此次连接请求。

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888
   联系：亿恩小凡
   QQ：89317007
   电话:0371-63322206

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]