IPS（入侵防御系統(tǒng)）

　　入侵防御系統(tǒng)（IPS： Intrusion Prevention System）是電腦網(wǎng)絡(luò)安全設(shè)施，是對防病毒軟件（Antivirus Programs）和防火墻（Packet Filter， Application Gateway）的補充。 入侵防御系統(tǒng)（Intrusion-prevention system）是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計算機網(wǎng)絡(luò)安全設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。

　　IPS

　　網(wǎng)絡(luò)安全

　　隨著電腦的廣泛應(yīng)用和網(wǎng)絡(luò)的不斷普及，來自網(wǎng)絡(luò)內(nèi)部和外部的危險和犯罪也日益增多。20年前，電腦病毒主要通過軟盤傳播。后來，用戶打開帶有病毒的電子信函附件，就可以觸發(fā)附件所帶的病毒。以前，病毒的擴散比較慢，防毒軟體的開發(fā)商有足夠的時間從容研究病毒，開發(fā)防病毒、殺病毒軟件。而今天，不僅病毒數(shù)量劇增，質(zhì)量提高，而且通過網(wǎng)絡(luò)快速傳播，在短短的幾小時內(nèi)就能傳遍全世界。有的病毒還會在傳播過程中改變形態(tài)，使防毒軟件失效。

　　目前流行的攻擊程序和有害代碼如 DoS （Denial of Service 拒絕服務(wù)），DDoS （Distributed DoS 分布式拒絕服務(wù)），暴力猜解（Brut-Force-Attack），端口掃描（Portscan），嗅探，病毒，蠕蟲，垃圾郵件，木馬等等。此外還有利用軟件的漏洞和缺陷鉆空子、干壞事，讓人防不勝防。

　　網(wǎng)絡(luò)入侵方式越來越多，有的充分利用防火墻放行許可，有的則使防毒軟件失效。比如，在病毒剛進入網(wǎng)路的時候，還沒有一個廠家迅速開發(fā)出相應(yīng)的辨認和撲滅程序，于是這種全新的病毒就很快大肆擴散、肆虐于網(wǎng)路、危害單機或網(wǎng)絡(luò)資源，這就是所謂Zero Day Attack。

　　防火墻可以根據(jù)IP地址（IP-Addresses）或服務(wù)端口（Ports）過濾數(shù)據(jù)包。但是，它對于利用合法IP地址和端口而從事的破壞活動則無能為力。因為，防火墻極少深入數(shù)據(jù)包檢查內(nèi)容。即使使用了DPI技術(shù)（Deep Packet Inspection 深度包檢測技術(shù)），其本身也面臨著許多挑戰(zhàn)。

　　每種攻擊代碼都具有只屬于它自己的特征 （signature）， 病毒之間通過各自不同的特征互相區(qū)別，同時也與正常的應(yīng)用程序代碼相區(qū)別。殺毒軟件就是通過儲存所有已知的病毒特征來辨認病毒的。

　　在ISO/OSI網(wǎng)絡(luò)層次模型（見OSI模型） 中，防火墻主要在第二到第四層起作用，它的作用在第四到第七層一般很微弱。而除病毒軟件主要在第五到第七層起作用。為了彌補防火墻和除病毒軟件二者在第四到第五層之間留下的空檔，幾年前，工業(yè)界已經(jīng)有入侵偵查系統(tǒng)（IDS： Intrusion Detection System）投入使用。入侵偵查系統(tǒng)在發(fā)現(xiàn)異常情況后及時向網(wǎng)路安全管理人員或防火墻系統(tǒng)發(fā)出警報。可惜這時災(zāi)害往往已經(jīng)形成。雖然，亡羊補牢，尤未為晚，但是，防衛(wèi)機制最好應(yīng)該是在危害形成之前先期起作用。隨后應(yīng)運而生的入侵響應(yīng)系統(tǒng)（IRS： Intrusion Response Systems） 作為對入侵偵查系統(tǒng)的補充能夠在發(fā)現(xiàn)入侵時，迅速作出反應(yīng)，并自動采取阻止措施。而入侵預(yù)防系統(tǒng)則作為二者的進一步發(fā)展，汲取了二者的長處。

　　入侵預(yù)防系統(tǒng)也像入侵偵查系統(tǒng)一樣，專門深入網(wǎng)絡(luò)數(shù)據(jù)內(nèi)部，查找它所認識的攻擊代碼特征，過濾有害數(shù)據(jù)流，丟棄有害數(shù)據(jù)包，并進行記載，以便事后分析。除此之外，更重要的是，大多數(shù)入侵預(yù)防系統(tǒng)同時結(jié)合考慮應(yīng)用程序或網(wǎng)路傳輸中的異常情況，來輔助識別入侵和攻擊。比如，用戶或用戶程序違反安全條例、數(shù)據(jù)包在不應(yīng)該出現(xiàn)的時段出現(xiàn)、作業(yè)系統(tǒng)或應(yīng)用程序弱點的空子正在被利用等等現(xiàn)象。入侵預(yù)防系統(tǒng)雖然也考慮已知病毒特征，但是它并不僅僅依賴于已知病毒特征。

　　應(yīng)用入侵預(yù)防系統(tǒng)的目的在于及時識別攻擊程序或有害代碼及其克隆和變種，采取預(yù)防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降低。入侵預(yù)防系統(tǒng)一般作為防火墻 和防病毒軟件的補充來投入使用。在必要時，它還可以為追究攻擊者的刑事責任而提供法律上有效的證據(jù) （forensic）。

　　產(chǎn)生原因

　　A：串行部署的防火墻可以攔截低層攻擊行為，但對應(yīng)用層的深層攻擊行為無能為力。

　　B：旁路部署的IDS可以及時發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為，作為防火墻的有益補充，但很可惜的是無法實時的阻斷。

　　C：IDS和防火墻聯(lián)動：通過IDS來發(fā)現(xiàn)，通過防火墻來阻斷。但由于迄今為止沒有統(tǒng)一的接口規(guī)范，加上越來越頻發(fā)的“瞬間攻擊”（一個會話就可以達成攻擊效果，如SQL注入、溢出攻擊等），使得IDS與防火墻聯(lián)動在實際應(yīng)用中的效果不顯著。

　　這就是IPS產(chǎn)品的起源：一種能防御防火墻所不能防御的深層入侵威脅（入侵檢測技術(shù)）的在線部署（防火墻方式）安全產(chǎn)品。由于用戶發(fā)現(xiàn)了一些無法控制的入侵威脅行為，這也正是IDS的作用。

　　入侵檢測系統(tǒng)（IDS）對那些異常的、可能是入侵行為的數(shù)據(jù)進行檢測和報警，告知使用者網(wǎng)絡(luò)中的實時狀況，并提供相應(yīng)的解決、處理方法，是一種側(cè)重于風險管理的安全產(chǎn)品。

　　入侵防御系統(tǒng)（IPS）對那些被明確判斷為攻擊行為，會對網(wǎng)絡(luò)、數(shù)據(jù)造成危害的惡意行為進行檢測和防御，降低或是減免使用者對異常狀況的處理資源開銷，是一種側(cè)重于風險控制的安全產(chǎn)品。

　　這也解釋了IDS和IPS的關(guān)系，并非取代和互斥，而是相互協(xié)作：沒有部署IDS的時候，只能是憑感覺判斷，應(yīng)該在什么地方部署什么樣的安全產(chǎn)品，通過IDS的廣泛部署，了解了網(wǎng)絡(luò)的當前實時狀況，據(jù)此狀況可進一步判斷應(yīng)該在何處部署何類安全產(chǎn)品（IPS等）。

　　入侵預(yù)防技術(shù)

　　* 異常偵查。正如入侵偵查系統(tǒng)， 入侵預(yù)防系統(tǒng)知道正常數(shù)據(jù)以及數(shù)據(jù)之間關(guān)系的通常的樣子，可以對照識別異常。

　　* 在遇到動態(tài)代碼（ActiveX， JavaApplet，各種指令語言script languages等等）時，先把它們放在沙盤內(nèi)，觀察其行為動向，如果發(fā)現(xiàn)有可疑情況，則停止傳輸，禁止執(zhí)行。

　　* 有些入侵預(yù)防系統(tǒng)結(jié)合協(xié)議異常、傳輸異常和特征偵查，對通過網(wǎng)關(guān)或防火墻進入網(wǎng)路內(nèi)部的有害代碼實行有效阻止。

　　* 核心基礎(chǔ)上的防護機制。用戶程序通過系統(tǒng)指令享用資源 （如存儲區(qū)、輸入輸出設(shè)備、中央處理器等）。入侵預(yù)防系統(tǒng)可以截獲有害的系統(tǒng)請求。

　　* 對Library、Registry、重要文件和重要的文件夾進行防守和保護。

　　入侵預(yù)防系統(tǒng)類型

　　投入使用的入侵預(yù)防系統(tǒng)按其用途進一步可以劃分為單機入侵預(yù)防系統(tǒng)

　　（HIPS： Hostbased Intrusion Prevension System）和網(wǎng)路入侵預(yù)防系統(tǒng)

　　（NIPS： Network Intrusion Prevension System）兩種類型。

　　網(wǎng)絡(luò)入侵預(yù)防系統(tǒng)作為網(wǎng)路之間或網(wǎng)路組成部分之間的獨立的硬體設(shè)備，切斷交通，對過往包裹進行深層檢查，然后確定是否放行。網(wǎng)路入侵預(yù)防系統(tǒng)藉助病毒特征和協(xié)議異常，阻止有害代碼傳播。有一些網(wǎng)路入侵預(yù)防系統(tǒng)還能夠跟蹤和標記對可疑代碼的回答，然后，看誰使用這些回答信息而請求連接，這樣就能更好地確認發(fā)生了入侵事件。

　　根據(jù)有害代碼通常潛伏于正常程序代碼中間、伺機運行的特點，單機入侵預(yù)防系統(tǒng)監(jiān)視正常程序，比如Internet Explorer，Outlook，等等，在它們（確切地說，其實是它們所夾帶的有害代碼）向作業(yè)系統(tǒng)發(fā)出請求指令，改寫系統(tǒng)文件，建立對外連接時，進行有效阻止，從而保護網(wǎng)路中重要的單個機器設(shè)備，如伺服器、路由器、防火墻等等。這時，它不需要求助于已知病毒特征和事先設(shè)定的安全規(guī)則。總地來說，單機入侵預(yù)防系統(tǒng)能使大部分鉆空子行為無法得逞。我們知道，入侵是指有害代碼首先到達目的地，然后干壞事。然而，即使它僥幸突破防火墻等各種防線，得以到達目的地，但是由于有了入侵預(yù)防系統(tǒng)，有害代碼最終還是無法起到它要起的作用，不能達到它要達到的目的。

　　2000年：Network ICE公司在2000年9月18日推出了業(yè)界第一款I(lǐng)PS產(chǎn)品—BlackICE Guard，它第一次把基于旁路檢測的IDS技術(shù)用于在線模式，直接分析網(wǎng)絡(luò)流量，并把惡意包丟棄。 　2002～2003年：這段時期IPS得到了快速發(fā)展。當時隨著產(chǎn)品的不斷發(fā)展和市場的認可，歐美一些安全大公司通過收購小公司的方式獲得IPS技術(shù)，推出自己的IPS產(chǎn)品。比如ISS公司收購Network ICE公司，發(fā)布了Proventia；NetScreen公司收購OneSecure公司，推出NetScreen-IDP；McAfee公司收購Intruvert公司，推出IntruShield。思科、賽門鐵克、TippingPoint等公司也發(fā)布了IPS產(chǎn)品。

　　2005年9月綠盟科技發(fā)布國內(nèi)第一款擁有完全自主知識產(chǎn)權(quán)的IPS產(chǎn)品，2007年聯(lián)想網(wǎng)御、啟明星辰、天融信等國內(nèi)安全公司分別通過技術(shù)合作、OEM等多種方式發(fā)布各自的IPS產(chǎn)品。

　　防火墻

　　防火墻（Firewall），也稱防護墻，是由Check Point創(chuàng)立者Gil Shwed于1993年發(fā)明并引入國際互聯(lián)網(wǎng)（US5606668（A）1993-12-15）。它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng)。一項信息安全的防護系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。

　　詳細解釋

　　所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān)（Security Gateway），從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。該計算機流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。

　　在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如Internet）分開的方法，它實際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進行通信。

　　什么是防火墻

　　XP系統(tǒng)相比于以往的Windows系統(tǒng)新增了許多的網(wǎng)絡(luò)功能（Windows 7的防火墻一樣很強大，可以很方便地定義過濾掉數(shù)據(jù)包），例如Internet連接防火墻（ICF），它就是用一段“代碼墻”把電腦和Internet分隔開，時刻檢查出入防火墻的所有數(shù)據(jù)包，決定攔截或是放行那些數(shù)據(jù)包。防火墻可以是一種硬件、固件或者軟件，例如專用防火墻設(shè)備就是硬件形式的防火墻，包過濾路由器是嵌有防火墻固件的路由器，而代理服務(wù)器等軟件就是軟件形式的防火墻。

　　ICF工作原理

　　ICF被視為狀態(tài)防火墻，狀態(tài)防火墻可監(jiān)視通過其路徑的所有通訊，并且檢查所處理的每個消息的源和目標地址。為了防止來自連接公用端的未經(jīng)請求的通信進入專用端，ICF保留了所有源自ICF計算機的通訊表。在單獨的計算機中，ICF將跟蹤源自該計算機的通信。與ICS一起使用時，ICF將跟蹤所有源自ICF/ICS計算機的通信和所有源自專用網(wǎng)絡(luò)計算機的通信。所有Internet傳入通信都會針對于該表中的各項進行比較。只有當表中有匹配項時（這說明通訊交換是從計算機或?qū)Ｓ镁W(wǎng)絡(luò)內(nèi)部開始的），才允許將傳入Internet通信傳送給網(wǎng)絡(luò)中的計算機。

　　源自外部源ICF計算機的通訊（如Internet）將被防火墻阻止，除非在“服務(wù)”選項卡上設(shè)置允許該通訊通過。ICF不會向你發(fā)送活動通知，而是靜態(tài)地阻止未經(jīng)請求的通訊，防止像端口掃描這樣的常見黑客襲擊。

　　防火墻的種類防火墻從誕生開始，已經(jīng)歷了四個發(fā)展階段：基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻。常見的防火墻屬于具有安全操作系統(tǒng)的防火墻，例如NETEYE、NETSCREEN、TALENTIT等。

　　從結(jié)構(gòu)上來分，防火墻有兩種：即代理主機結(jié)構(gòu)和路由器+過濾器結(jié)構(gòu)，后一種結(jié)構(gòu)如下所示：內(nèi)部網(wǎng)絡(luò)過濾器（Filter）路由器（Router）Internet

　　從原理上來分，防火墻則可以分成4種類型：特殊設(shè)計的硬件防火墻、數(shù)據(jù)包過濾型、電路層網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)。安全性能高的防火墻系統(tǒng)都是組合運用多種類型防火墻，構(gòu)筑多道防火墻“防御工事”。［1］

　　吞吐量

　　網(wǎng)絡(luò)中的數(shù)據(jù)是由一個個數(shù)據(jù)包組成，防火墻對每個數(shù)據(jù)包的處理要耗費資源。吞吐量是指在沒有幀丟失的情況下，設(shè)備能夠接受的最大速率。其測試方法是：在測試中以一定速率發(fā)送一定數(shù)量的幀，并計算待測設(shè)備傳輸?shù)膸绻l(fā)送的幀與接收的幀數(shù)量相等，那么就將發(fā)送速率提高并重新測試；如果接收幀少于發(fā)送幀則降低發(fā)送速率重新測試，直至得出最終結(jié)果。吞吐量測試結(jié)果以比特/秒或字節(jié)/秒表示。

　　吞吐量和報文轉(zhuǎn)發(fā)率是關(guān)系防火墻應(yīng)用的主要指標，一般采用FDT（Full Duplex Throughput）來衡量，指64字節(jié)數(shù)據(jù)包的全雙工吞吐量，該指標既包括吞吐量指標也涵蓋了報文轉(zhuǎn)發(fā)率指標。

　　ips和防火墻的區(qū)別

　　ips和防火墻區(qū)別1、模式匹配

　　模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，來發(fā)現(xiàn)違背安全策略的入侵行為。一種進攻模式可以利用一個過程或一個輸出來表示。這種檢測方法只需收集相關(guān)的數(shù)據(jù)集合就能進行判斷，能減少系統(tǒng)占用，并且技術(shù)已相當成熟，檢測準確率和效率也相當高。但是，該技術(shù)需要不斷進行升級以對付不斷出現(xiàn)的攻擊手法，并且不能檢測未知攻擊手段。

　　ips和防火墻區(qū)別2、異常檢測

　　異常檢測首先給系統(tǒng)對象（用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計描述，包括統(tǒng)計正常使用時的測量屬性，如訪問次數(shù)、操作失敗次數(shù)和延時等。測量屬性的平均值被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較，當觀察值在正常值范圍之外時，IDS就會判斷有入侵發(fā)生。異常檢測的優(yōu)點是可以檢測到未知入侵和復(fù)雜的入侵，缺點是誤報、漏報率高。

　　ips和防火墻區(qū)別3、完整性分析

　　完整性分析關(guān)注文件或?qū)ο笫欠癖淮鄹模饕鶕?jù)文件和目錄的內(nèi)容及屬性進行判斷，這種檢測方法在發(fā)現(xiàn)被更改和被植入特洛伊木馬的應(yīng)用程序方面特別有效。完整性分析利用消息摘要函數(shù)的加密機制，能夠識別微小變化。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要攻擊導致文件或?qū)ο蟀l(fā)生了改變，完整性分析都能夠發(fā)現(xiàn)。完整性分析一般是以批處理方式實現(xiàn)，不用于實時響應(yīng)。入侵檢測面臨的問題