IPS(Intrusion Prevention System�����,入侵防護(hù)系統(tǒng))可以解決企業(yè)網(wǎng)絡(luò)感染病毒�����、遭受攻擊等。
隨著網(wǎng)絡(luò)入侵事件的不斷增加和黑客攻擊水平的不斷提高���,一方面企業(yè)網(wǎng)絡(luò)感染病毒����、遭受攻擊的速度日益加快,另一方面企業(yè)網(wǎng)絡(luò)受到攻擊作出響應(yīng)的時(shí)間卻越來越滯后��。要解決這一矛盾��,傳統(tǒng)的防火墻或入侵檢測技術(shù)(IDS)顯得力不從心���,這時(shí)一種新的技術(shù)出現(xiàn)了�����,它就是IPS(Intrusion Prevention System��,入侵防護(hù)系統(tǒng))���。
IPS原理
防火墻是實(shí)施訪問控制策略的系統(tǒng),對流經(jīng)的網(wǎng)絡(luò)流量進(jìn)行檢查�����,攔截不符合安全策略的數(shù)據(jù)包���。入侵檢測技術(shù)(IDS)通過監(jiān)視網(wǎng)絡(luò)或系統(tǒng)資源���,尋找違反安全策略的行為或攻擊跡象�����,并發(fā)出報(bào)警�。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量�,但仍然允許某些流量通過,因此防火墻對于很多入侵攻擊仍然無計(jì)可施����。絕陸多數(shù) IDS 系統(tǒng)都是被動(dòng)的,而不是主動(dòng)的�����。也就是說����,在攻擊實(shí)際發(fā)生之前,它們往往無法預(yù)先發(fā)出警報(bào)�。而IPS則傾向于提供主動(dòng)防護(hù)�����,其設(shè)計(jì)宗旨是預(yù)先對入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截����,避免其造成損失�,而不是簡單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)����。IPS 是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的,即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量�����,經(jīng)過檢查確認(rèn)其中不包含異����;顒(dòng)或可疑內(nèi)容后,再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中���。這樣一來���,有問題的數(shù)據(jù)包,以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包�����,都能在IPS設(shè)備中被清除掉。
IPS工作原理
IPS實(shí)現(xiàn)實(shí)時(shí)檢查和阻止入侵的原理在于IPS擁有數(shù)目眾多的過濾器���,能夠防止各種攻擊�。當(dāng)新的攻擊手段被發(fā)現(xiàn)之后��,IPS就會(huì)創(chuàng)建一個(gè)新的過濾器�����。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路��,可以深層檢查數(shù)據(jù)包的內(nèi)容�。如果有攻擊者利用Layer 2(介質(zhì)訪問控制)至Layer 7(應(yīng)用)的漏洞發(fā)起攻擊,IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止���。傳統(tǒng)的防火墻只能對Layer 3或Layer 4進(jìn)行檢查����,不能檢測應(yīng)用層的內(nèi)容��。防火墻的包過濾技術(shù)不會(huì)針對每一字節(jié)進(jìn)行檢查�����,因而也就無法發(fā)現(xiàn)攻擊活動(dòng)���,而IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包��。所有流經(jīng)IPS的數(shù)據(jù)包都被分類����,分類的依據(jù)是數(shù)據(jù)包中的報(bào)頭信息��,如源IP地址和目的IP地址�����、端口號(hào)和應(yīng)用域���。每種過濾器負(fù)責(zé)分析相對應(yīng)的數(shù)據(jù)包�����。通過檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)��,包含惡意內(nèi)容的數(shù)據(jù)包就會(huì)被丟棄���,被懷疑的數(shù)據(jù)包需要接受進(jìn)一步的檢查。
針對不同的攻擊行為,IPS需要不同的過濾器��。每種過濾器都設(shè)有相應(yīng)的過濾規(guī)則�,為了確保準(zhǔn)確性,這些規(guī)則的定義非常廣泛���。在對傳輸內(nèi)容進(jìn)行分類時(shí)���,過濾引擎還需要參照數(shù)據(jù)包的信息參數(shù),并將其解析至一個(gè)有意義的域中進(jìn)行上下文分析�����,以提高過濾準(zhǔn)確性��。
過濾器引擎集合了流水和大規(guī)模并行處理硬件�,能夠同時(shí)執(zhí)行數(shù)千次的數(shù)據(jù)包過濾檢查。并行過濾處理可以確保數(shù)據(jù)包能夠不間斷地快速通過系統(tǒng)�,不會(huì)對速度造成影響。這種硬件加速技術(shù)對于IPS具有重要意義���,因?yàn)閭鹘y(tǒng)的軟件解決方案必須串行進(jìn)行過濾檢查�����,會(huì)導(dǎo)致系統(tǒng)性能大打折扣����。
IPS的種類:
基于主機(jī)的入侵防護(hù)(HIPS)
HIPS通過在主機(jī)/服務(wù)器上安裝軟件代理程序���,防止網(wǎng)絡(luò)攻擊入侵操作系統(tǒng)以及應(yīng)用程序��������;谥鳈C(jī)的入侵防護(hù)能夠保護(hù)服務(wù)器的安全弱點(diǎn)不被不法分子所利用。Cisco公司的Okena���、NAI公司的McAfee Entercept����、冠群金辰的龍淵服務(wù)器核心防護(hù)都屬于這類產(chǎn)品�,因此它們在防范紅色代碼和Nimda的攻擊中,起到了很好的防護(hù)作用�������;谥鳈C(jī)的入侵防護(hù)技術(shù)可以根據(jù)自定義的安全策略以及分析學(xué)習(xí)機(jī)制來阻斷對服務(wù)器、主機(jī)發(fā)起的惡意入侵��。HIPS可以阻斷緩沖區(qū)溢出���、改變登錄口令����、改寫動(dòng)態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權(quán)的入侵行為�����,整體提升主機(jī)的安全水平�。
在技術(shù)上,HIPS采用獨(dú)特的服務(wù)器保護(hù)途徑��,利用由包過濾����、狀態(tài)包檢測和實(shí)時(shí)入侵檢測組成分層防護(hù)體系。這種體系能夠在提供合理吞吐率的前提下���,最大限度地保護(hù)服務(wù)器的敏感內(nèi)容��,既可以以軟件形式嵌入到應(yīng)用程序?qū)Σ僮飨到y(tǒng)的調(diào)用當(dāng)中���,通過攔截針對操作系統(tǒng)的可疑調(diào)用�,提供對主機(jī)的安全防護(hù);也可以以更改操作系統(tǒng)內(nèi)核程序的方式��,提供比操作系統(tǒng)更加嚴(yán)謹(jǐn)?shù)陌踩刂茩C(jī)制�����。
由于HIPS工作在受保護(hù)的主機(jī)/服務(wù)器上���,它不但能夠利用特征和行為規(guī)則檢測,阻止諸如緩沖區(qū)溢出之類的已知攻擊����,還能夠防范未知攻擊,防止針對Web頁面�、應(yīng)用和資源的未授權(quán)的任何非法訪問。HIPS與具體的主機(jī)/服務(wù)器操作系統(tǒng)平臺(tái)緊密相關(guān)�,不同的平臺(tái)需要不同的軟件代理程序。
基于網(wǎng)絡(luò)的入侵防護(hù)(NIPS)
NIPS通過檢測流經(jīng)的網(wǎng)絡(luò)流量����,提供對網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)��。由于它采用在線連接方式�����,所以一旦辨識(shí)出入侵行為����,NIPS就可以去除整個(gè)網(wǎng)絡(luò)會(huì)話����,而不僅僅是復(fù)位會(huì)話。同樣由于實(shí)時(shí)在線�����,NIPS需要具備很高的性能���,以免成為網(wǎng)絡(luò)的瓶頸����,因此NIPS通常被設(shè)計(jì)成類似于交換機(jī)的網(wǎng)絡(luò)設(shè)備��,提供線速吞吐速率以及多個(gè)網(wǎng)絡(luò)端口����。
相關(guān)推薦:
解決惡意軟件需破除老觀念防病毒軟件已死���? 網(wǎng)絡(luò)工程:Untangle路由器如何建立安全的VPN
