系统集成论坛

标题: 什么是IPS？ [打印本页]

作者: 思考的牛 时间: 2009-7-30 22:20
标题: 什么是IPS？
　　IPS（Intrusion Prevention System 入侵防御系统）对于初始者来说，IPS位于防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。更多内容见CNW安全知识库......

　　目前有很多种IPS系统，它们使用的技术都不相同。但是，一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。

　　IPS 的关键技术成份包括所合并的全球和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理 IPS 的控制台。如同 IDS 中一样，IPS 中也需要降低假阳性或假阴性，它通常使用更为先进的侵入检测技术，如试探式扫描、内容检查、状态和行为分析，同时还结合常规的侵入检测技术如基于签名的检测和异常检测。

　　同侵入检测系统（IDS）一样，IPS 系统分为基于主机和网络两种类型。

　　基于主机的 IPS

　　基于主机的 IPS 依靠在被保护的系统中所直接安装的代理。它与操作系统内核和服务紧密地捆绑在一起，监视并截取对内核或 API 的系统调用，以便达到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境（如网页服务器的文件位置和注册条目），以便能够保护该应用程序使之能够避免那些还不存在签名的、普通的攻击。

　　基于网络的 IPS

　　基于网络的 IPS 综合了标准 IDS 的功能，IDS 是 IPS 与防火墙的混合体，并可被称为嵌入式 IDS 或网关 IDS（GIDS）。基于网络的 IPS 设备只能阻止通过该设备的恶意信息流。为了提高 IPS 设备的使用效率，必须采用强迫信息流通过该设备的方式。更为具体的来说，受保护的信息流必须代表着向联网计算机系统或从中发出的数据，且在其中：

　　指定的网络领域中，需要高度的安全和保护。

　　该网络领域中存在极可能发生的内部爆发配置地址

　　能够有效地将网络划分成最小的保护区域，并能够提供最大范围的有效覆盖率。

欢迎光临系统集成论坛 (http://bbs.xtjc.com/)