隨著系統漏洞不斷被發現,企業網絡面臨的安全威脅越來越復雜了。不過盡管這些攻擊可以繞過傳統的防火墻,設置在網絡周邊或內部網絡中的入侵防護系統(IPS)仍然能夠有效阻止這些攻擊,為那些未添加補丁或配置不當的服務器提供保護。
雖然入侵檢測系統(IDS)可以監視網絡傳輸并發出警報,但并不能攔截攻擊。而IPS則能夠對所有數據包仔細檢查,立即確定是否許可或禁止訪問。 IPS具有一些過濾器,能夠防止系統上各種類型的弱點受到攻擊。當新的弱點被發現之后,IPS就會創建一個新的過濾器,并將其納入自己的管轄之下,試探攻擊這些弱點的任何惡意企圖都會立即受到攔截。
如果有攻擊者利用Layer 2 (介質訪問控制)至Layer 7(應用)的弱點進行入侵,IPS能夠從數據流中檢查出這些攻擊并加以阻止。傳統的防火墻只能對Layer 3或Layer 4進行檢查,而不能檢測應用層的內容。
IPS數據包處理引擎是專業化定制的集成電路,可以檢查數據包中的每一個字節。相比之下,防火墻的包過濾技術不會針對每一字節進行檢查,因而也就無法發現攻擊活動。IPS設備利用過濾器對數據流中的全部內容進行檢查。所有數據包都被分類,每種過濾器負責分析對應的數據包。只有通過檢查的數據包才可以繼續前進。分類的依據是數據包中的報頭信息,如源IP地址和目的IP地址、端口號和應用域。
每個過濾器都包含一系列規則,只有滿足這些規則的數據包才會被確認為不包含惡意攻擊內容。為了確保準確性,這些規則的定義非常廣泛。在對傳輸內容進行分類時,引擎必須參照數據包的信息參數,并將其解析至一個有意義的域進行上下文分析。例如,在對付緩沖溢出攻擊時,引擎給出一個應用層中的緩沖參數,然后評估其特性用來探測是否存在攻擊行為。為了防止攻擊到達攻擊目標,在某一數據流被確定為惡意攻擊時,屬于該數據流的所有數據包都將被丟棄。
探測挖掘系統弱點的不同攻擊行為,IPS需要不同的過濾器。一些已知的攻擊企圖可以通過特征或形式匹配過濾器來檢測。而對于其他攻擊,如緩沖溢出攻擊,IPS需要更為復雜的過濾器。這種復雜的過濾器可以使用協議和應用級的解碼器設置規則。針對“網絡清掃”和“包溢流”等多流攻擊,IPS需要過濾器能夠收集統計信息以發現異常。
過濾器引擎集合了流水和大規模并行處理硬件,能夠同時執行數千次的數據包過濾檢查。并行過濾處理可以確保數據包能夠不間斷地快速通過系統,不會對速度造成影響。這種硬件加速技術對于IPS具有重要意義,因為傳統的軟件解決方案必須逐個進行過濾檢查,會導致系統性能大打折扣。
作為一種透明設備,入侵防護系統是整個網絡連接中的一部分。為了防止IPS成為網絡中性能薄弱的環節,IPS需要具有出色的冗余能力和故障切換機制,這樣就可以確保網絡在發生故障時依然能夠正常運行。除了作為防御前沿,IPS還是網絡中的清潔工具,能夠消滅格式不正確的數據包和非關鍵任務應用,使網絡帶寬得到保護。例如,IPS能夠阻止對等文件共享應用中對版權文件的非法傳輸。(責任編輯:zhaohb)
