什么是入侵防御系统 (IPS)?
入侵防御系统 (IPS) 可帮助企业识别恶意流量并主动拦截此类流量进入企业网络。企业可将 IPS 功能部署到入栈流量方向,以监控并检查入栈流量中是否存在漏洞和漏洞利用程序;如果检测到威胁,则按照安全防御策略采取适当的措施,比如阻止访问、隔离主机或阻止访问外部网站以免引入潜在威胁等。
入侵防御系统的工作原理
IPS 安全服务通常“连续”部署,它们位于源和目标之间的直接通信路径中,可以“实时”分析该路径上的所有网络流量,并采取自动预防措施。IPS 可以部署在网络的任何地方,但它们最常见的部署是:
企业边缘、周界
企业数据中心
IPS 可以部署为最佳的独立 IPS,或可以在下一代防火墙 (NGFW) 内的整合 IPS 功能中开启相同的性能。 IPS 用来识别恶意流量的特定签名,既可以是弱点也可以是漏洞。识别恶意活动的方式通常是基于对签名或统计异常的检测。
基于签名的检测使用位于漏洞检测代码中的唯一可识别签名。当发现可利用机会时,签名就会进入一个日益扩大的数据库。IPS基于签名的检测涉及面向可利用机会或面向漏洞的签名,前者可自我识别单独的可利用机会,后者识别被锁定为攻击目标的系统中的漏洞。面向漏洞的签名对于识别之前未观察到的潜在可利用变体来说非常重要,但它们也会增加假阳性结果(良性数据包被错误标记为威胁)的风险。
基于统计异常的检测会随机对网络流量进行抽样,然后将样本与性能水平基线进行比较。当样本超出基线时,IPS 会触发行动防止潜在攻击。
一旦 IPS 识别了可以利用网络的恶意流量,它就会部署所谓的虚拟补丁进行保护。虚拟补丁是针对利用已知和未知漏洞的威胁而采取的安全措施。虚拟补丁通过实施多层安全策略和规则来防止和拦截攻击者通过网络利用漏洞,从而在网络层面,而不是主机层面,提供针对该漏洞的安全覆盖。
FortiGate IPS 产品演示
请求演示
IPS vs IDS
IDS 系统监控网络并向网络管理员发送有关潜在威胁的警报,而 IPS 系统则采取更多实质性措施来控制网络访问、监控入侵数据并防止攻击升级。
FortiGate IPS
Fortinet FortiGate 防火墙提供了一款全方位的 IPS 解决方案 — 该解决方案既可作为独立的 IPS 设备进行部署,又可集成到防火墙的综合性 IPS 功能中。FortiGate IPS 经过了 NSS Labs 和其他第三方评估测试的验证,通过无与伦比的 IPS 吞吐量实现高度有效的安全性,并且在硬件设备、虚拟机和基于云的服务中均可应用。
IPS vs IDS
IPS 是入侵检测系统 (IDS) 演变而来的结果。IDS 技术使用相同的流量识别概念和一些类似技术,其中的主要区别是 IPS 为“连续”部署,而 IDS 为“分散”部署或可随时使用,IDS 仍然检查整个流量或流程,但无法采取任何预防措施。IDS 仅被部署于监控并提供有关网络威胁的分析和可见性。