IPS(Intrusion Prevention System�����,入侵防護系統(tǒng))可以解決企業(yè)網(wǎng)絡感染病毒�、遭受攻擊等�����。
隨著網(wǎng)絡入侵事件的不斷增加和黑客攻擊水平的不斷提高��,一方面企業(yè)網(wǎng)絡感染病毒、遭受攻擊的速度日益加快,另一方面企業(yè)網(wǎng)絡受到攻擊作出響應的時間卻越來越滯后。要解決這一矛盾��,傳統(tǒng)的防火墻或入侵檢測技術(IDS)顯得力不從心�,這時一種新的技術出現(xiàn)了,它就是IPS(Intrusion Prevention System�,入侵防護系統(tǒng))�。
IPS原理
防火墻是實施訪問控制策略的系統(tǒng)�,對流經(jīng)的網(wǎng)絡流量進行檢查����,攔截不符合安全策略的數(shù)據(jù)包��。入侵檢測技術(IDS)通過監(jiān)視網(wǎng)絡或系統(tǒng)資源�����,尋找違反安全策略的行為或攻擊跡象�,并發(fā)出報警���。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡流量�����,但仍然允許某些流量通過��,因此防火墻對于很多入侵攻擊仍然無計可施�����。絕陸多數(shù) IDS 系統(tǒng)都是被動的��,而不是主動的���。也就是說,在攻擊實際發(fā)生之前,它們往往無法預先發(fā)出警報���。而IPS則傾向于提供主動防護����,其設計宗旨是預先對入侵活動和攻擊性網(wǎng)絡流量進行攔截,避免其造成損失��,而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。IPS 是通過直接嵌入到網(wǎng)絡流量中實現(xiàn)這一功能的�,即通過一個網(wǎng)絡端口接收來自外部系統(tǒng)的流量���,經(jīng)過檢查確認其中不包含異����;顒踊蚩梢蓛(nèi)容后,再通過另外一個端口將它傳送到內(nèi)部系統(tǒng)中�����。這樣一來�����,有問題的數(shù)據(jù)包�����,以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包���,都能在IPS設備中被清除掉�����。
IPS工作原理
IPS實現(xiàn)實時檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過濾器�,能夠防止各種攻擊�����。當新的攻擊手段被發(fā)現(xiàn)之后,IPS就會創(chuàng)建一個新的過濾器�。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路����,可以深層檢查數(shù)據(jù)包的內(nèi)容����。如果有攻擊者利用Layer 2(介質(zhì)訪問控制)至Layer 7(應用)的漏洞發(fā)起攻擊,IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止���。傳統(tǒng)的防火墻只能對Layer 3或Layer 4進行檢查����,不能檢測應用層的內(nèi)容�����。防火墻的包過濾技術不會針對每一字節(jié)進行檢查,因而也就無法發(fā)現(xiàn)攻擊活動����,而IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包�����。所有流經(jīng)IPS的數(shù)據(jù)包都被分類�����,分類的依據(jù)是數(shù)據(jù)包中的報頭信息���,如源IP地址和目的IP地址、端口號和應用域��。每種過濾器負責分析相對應的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進,包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄���,被懷疑的數(shù)據(jù)包需要接受進一步的檢查��。
針對不同的攻擊行為���,IPS需要不同的過濾器。每種過濾器都設有相應的過濾規(guī)則�,為了確保準確性��,這些規(guī)則的定義非常廣泛。在對傳輸內(nèi)容進行分類時�����,過濾引擎還需要參照數(shù)據(jù)包的信息參數(shù)����,并將其解析至一個有意義的域中進行上下文分析,以提高過濾準確性�。
過濾器引擎集合了流水和大規(guī)模并行處理硬件�,能夠同時執(zhí)行數(shù)千次的數(shù)據(jù)包過濾檢查����。并行過濾處理可以確保數(shù)據(jù)包能夠不間斷地快速通過系統(tǒng)�,不會對速度造成影響。這種硬件加速技術對于IPS具有重要意義��,因為傳統(tǒng)的軟件解決方案必須串行進行過濾檢查���,會導致系統(tǒng)性能大打折扣�����。
IPS的種類:
基于主機的入侵防護(HIPS)
HIPS通過在主機/服務器上安裝軟件代理程序,防止網(wǎng)絡攻擊入侵操作系統(tǒng)以及應用程序�����。基于主機的入侵防護能夠保護服務器的安全弱點不被不法分子所利用��。Cisco公司的Okena、NAI公司的McAfee Entercept����、冠群金辰的龍淵服務器核心防護都屬于這類產(chǎn)品����,因此它們在防范紅色代碼和Nimda的攻擊中��,起到了很好的防護作用�。基于主機的入侵防護技術可以根據(jù)自定義的安全策略以及分析學習機制來阻斷對服務器�����、主機發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出���、改變登錄口令����、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為�����,整體提升主機的安全水平��。
在技術上��,HIPS采用獨特的服務器保護途徑��,利用由包過濾����、狀態(tài)包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下��,最大限度地保護服務器的敏感內(nèi)容�����,既可以以軟件形式嵌入到應用程序?qū)Σ僮飨到y(tǒng)的調(diào)用當中,通過攔截針對操作系統(tǒng)的可疑調(diào)用�����,提供對主機的安全防護;也可以以更改操作系統(tǒng)內(nèi)核程序的方式��,提供比操作系統(tǒng)更加嚴謹?shù)陌踩刂茩C制�����。
由于HIPS工作在受保護的主機/服務器上�����,它不但能夠利用特征和行為規(guī)則檢測���,阻止諸如緩沖區(qū)溢出之類的已知攻擊,還能夠防范未知攻擊�,防止針對Web頁面、應用和資源的未授權(quán)的任何非法訪問�����。HIPS與具體的主機/服務器操作系統(tǒng)平臺緊密相關�����,不同的平臺需要不同的軟件代理程序。
基于網(wǎng)絡的入侵防護(NIPS)
NIPS通過檢測流經(jīng)的網(wǎng)絡流量��,提供對網(wǎng)絡系統(tǒng)的安全保護�。由于它采用在線連接方式,所以一旦辨識出入侵行為��,NIPS就可以去除整個網(wǎng)絡會話����,而不僅僅是復位會話。同樣由于實時在線��,NIPS需要具備很高的性能����,以免成為網(wǎng)絡的瓶頸,因此NIPS通常被設計成類似于交換機的網(wǎng)絡設備���,提供線速吞吐速率以及多個網(wǎng)絡端口�。
相關推薦:
解決惡意軟件需破除老觀念防病毒軟件已死�����? 網(wǎng)絡工程:Untangle路由器如何建立安全的VPN
