什么是IPS,即入侵防御系统(Intrusion Prevention System)
IPS即入侵防御系统(Intrusion Prevention System),是一种主动的网络安全防护技术及设备。以下是对IPS的相关介绍:
功能
- 入侵防护:实时监控网络流量,主动拦截黑客攻击、蠕虫、网络病毒、后门木马、DDoS等恶意流量,防止操作系统和应用程序损坏或宕机,保护企业信息系统和网络架构安全。
- Web安全:检测互联网Web站点的挂马情况,结合URL信誉评价技术,在用户访问被植入木马等恶意代码的网站时,及时拦截Web威胁,保护用户安全。
- 流量控制:阻断非授权用户流量,管理合法网络资源的利用,保证关键应用的网络带宽,提升企业IT产出率和收益率。
- 上网监管:全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,执行企业安全策略。
技术特征
- 嵌入式运行:以嵌入模式运行,能够实时阻拦可疑数据包,并对该数据流的剩余部分进行拦截,实现实时的安全防护。
- 深入分析和控制:具有深入分析能力,能确定已拦截的恶意流量,并根据攻击类型、策略等判断应拦截的流量。
- 入侵特征库:依赖高质量的入侵特征库来高效运行,需定期升级并快速应用到所有传感器。
- 高效处理能力:具备高效处理数据包的能力,将对整个网络性能的影响降至最低。
主要类型
- 基于特征的IPS:最常用的方法,通过添加特征到设备中识别常见攻击,特征库可调整更新以应对新攻击,也称为模式匹配IPS。
- 基于异常的IPS:基于统计异常检测或非统计异常检测,通过分析网络行为的异常来检测攻击。
- 基于策略的IPS:更关心是否执行组织的安保策略,若检测活动违反安保策略则触发报警。
- 基于协议分析的IPS:与基于特征的方法类似,但能更深入地检查数据包,更灵活地发现某些类型的攻击。
主流产品
- 绿盟科技 NIPS 系列:具备丰富的攻击检测与防御能力,可有效应对各类网络威胁。其入侵特征库更新及时,能够精准识别新型攻击手段;支持多种部署方式,可灵活适应不同网络环境。
- 启明星辰 NGIPS 系列:在应用层攻击防护方面表现出色,能够深度检测和防御Web攻击、邮件攻击等。采用先进的行为分析技术,可实时发现异常行为并进行阻断;具备良好的兼容性,可与其他安全设备协同工作。
- 新华三 SecBlade IPS 系列:提供高性能的入侵防御功能,支持硬件加速技术,能够满足高流量网络环境的安全需求。具备智能的流量分析与管控能力,可根据业务需求动态调整安全策略。
- 深信服 IPS 系列:结合了威胁情报和行为分析技术,能够及时发现和防范未知威胁。其可视化的管理界面方便用户进行配置和监控,同时还提供了丰富的报表功能,帮助用户了解网络安全状况。
- Cisco Firepower IPS 系列:作为Cisco集成安全架构的一部分,与防火墙等其他安全设备紧密集成。提供了高级的威胁检测和防御功能,可有效保护企业网络免受复杂攻击。
