随着系统漏洞不断被发现,企业网络面临的安全威胁越来越复杂了。不过尽管这些攻击可以绕过传统的防火墙,设置在网络周边或内部网络中娜肭址阑は低常ㄉPS)仍然能够有效阻止这些攻击,为那些未添加补丁或配置不当的服务器提供保护。
虽然入侵检测系统(IDS)可以监视网络传输并发出警报,但并不能拦截攻击。而IPS则能够对所有数据包仔细检查,立即确定是否许可或禁止访问。
IPS具有一些过滤器,能够防止系统上各种类型的弱点受到攻击。当新的弱点被发现之后,IPS就会创建一个新的过滤器,并将其纳入自己的管辖之下,试探攻击这些弱点的任何恶意企图都会立即受到拦截。如果有攻击者利用Layer 2 (介质访问控制)至Layer 7(应用)的弱点进行入侵,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查,而不能检测应用层的内容。
IPS数据包处理引擎是专业化定制的集成电路,可以检查数据包中的每一个字节。相比之下,防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动。IPS设备利用过滤器对数据流中的全部内容进行检查。所有数据包都被分类,每种过滤器负责分析对应的数据包。只有通过检查的数据包才可以继续前进。分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。
每个过滤器都包含一系列规则,只有满足这些规则的数据包才会被确认为不包含恶意攻击内容。为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,引擎必须参照数据包的信息参数,并将其解析至一个有意义的域进行上下文分析。例如,在对付缓冲溢出攻击时,引擎给出一个应用层中的缓冲参数,然后评估其特性用来探测是否存在攻击行为。为了防止攻击到达攻击目标,在某一数据流被确定为恶意攻击时,属于该数据流的所有数据包都将被丢弃。
探测挖掘系统弱点的不同攻击行为,IPS需要不同的过滤器。一些已知的攻击企图可以通过特征或形式匹配过滤器来检测。而对于其他攻击,如缓冲溢出攻击,IPS需要更为复杂的过滤器。这种复杂的过滤器可以使用协议和应用级的解码器设置规则。针对“网络清扫”和“包溢流”等多流攻击,IPS需要过滤器能够收集统计信息以发现异常。
过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义,因为传统的软件解决方案必须逐个进行过滤检查,会导致系统性能大打折扣。
作为一种透明设备,入侵防护系统是整个网络连接中的一部分。为了防止IPS成为网络中性能薄弱的环节,IPS需要具有出色的冗余能力和故障切换机制,这样就可以确保网络在发生故障时依然能够正常运行。除了作为防御前沿,IPS还是网络中的清洁工具,能够消灭格式不正确的数据包和非关键任务应用,使网络带宽得到保护。例如,IPS能够阻止对等文件共享应用中对版权文件的非法传输。
