什麼是IPS?
IPS是英文"Intrusion Prevention Systems"的縮寫,中文意思是"入侵防禦系統",IPS實現實時檢查和阻止入侵。
上文「網絡安全」安全設備篇(2)——IDS提到的IDS入侵檢測系統大多是被動防禦,而不是主動的,在攻擊實際發生之前,它們往往無法預先發出警報。而IPS入侵防禦系統,則傾向於提供主動防護,其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成損失,而不是簡單地在惡意流量傳送時或傳送後發出警報。
IPS原理
IPS引擎原理圖
IPS是通過直接嵌入到網絡流量中實現主動防禦的,即通過一個網絡埠接收來自外部系統的流量,經過檢查確認其中不包含異常活動或可疑內容後,再通過另一個埠將它傳送到內部系統中。通過這個過程,有問題的數據包以及所有來自同一數據流的後續數據包,都將在IPS設備中被清除掉。
IPS擁有眾多過濾器,能夠防止各種攻擊。當新的攻擊手段被發現後,IPS就會創建一個新的過濾器。所有流經IPS的數據包都被分類,分類的依據是數據包中的報頭信息,如源IP位址和目的IP位址、埠號和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續前進,包含惡意內容的數據包就會被丟棄,被懷疑的數據包需要接受進一步的檢查。
IPS分類
基於主機的入侵防護(HIPS)
HIPS通過在主機/伺服器上安裝軟體代理程序,防止網絡攻擊入侵作業系統以及應用程式。基於主機的入侵防護能夠保護伺服器的安全弱點不被不法分子所利用。基於主機的入侵防護技術可以根據自定義的安全策略以及分析學習機制來阻斷對伺服器、主機發起的惡意入侵。HIPS可以阻斷緩衝區溢出、改變登錄口令、改寫動態連結庫以及其他試圖從作業系統奪取控制權的入侵行為,整體提升主機的安全水平。
基於網絡的入侵防護(NIPS)
NIPS通過檢測流經的網絡流量,提供對網絡系統的安全保護。由於它採用在線連接方式,所以一旦辨識出入侵行為,NIPS就可以去除整個網絡會話,而不僅僅是復位會話。同樣由於實時在線,NIPS需要具備很高的性能,以免成為網絡的瓶頸,因此NIPS通常被設計成類似於交換機的網絡設備,提供線速吞吐速率以及多個網絡埠。
NIPS必須基於特定的硬體平台,才能實現千兆級網絡流量的深度數據包檢測和阻斷功能。這種特定的硬體平台通常可以分為三類:一類是網絡處理器(網絡晶片),一類是專用的FPGA編程晶片,第三類是專用的ASIC晶片。
應用入侵防護(AIP)
NIPS產品有一個特例,即應用入侵防護(Application Intrusion Prevention,AIP),它把基於主機的入侵防護擴展成為位於應用伺服器之前的網絡設備。AIP被設計成一種高性能的設備,配置在應用數據的網絡鏈路上,以確保用戶遵守設定好的安全策略,保護伺服器的安全。NIPS工作在網絡上,直接對數據包進行檢測和阻斷,與具體的主機/伺服器作業系統平台無關。
NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。隨著處理器性能的提高,每一層次的交換機都有可能集成入侵防護功能。
IPS作用
IPS是對防病毒軟體和防火牆的補充,能有效阻止蠕蟲、病毒、木馬、拒絕服務攻擊、間諜軟體、VOIP攻擊以及點到點應用濫用。
(圖/文來源:網絡)