問：我想要采用IPS。我應(yīng)該遵守哪些頂級(jí)的最佳實(shí)踐呢？

答：采用入侵防御系統(tǒng)是個(gè)很棘手的問題。這些設(shè)備正在迅速成為很多公司安全架構(gòu)的主要部分。第一次采用會(huì)是很恐怖的經(jīng)歷。你不僅是在網(wǎng)絡(luò)路徑中創(chuàng)建潛在的瓶頸和失敗點(diǎn)，也是在增加設(shè)備，而這個(gè)設(shè)備可以有意地中斷網(wǎng)絡(luò)流量。這就足夠任何網(wǎng)絡(luò)工程師頭疼的了。

以下是在企業(yè)中配置IPS的最佳實(shí)踐：

•在“監(jiān)控”模式下運(yùn)行IPS，直到系統(tǒng)已經(jīng)適當(dāng)?shù)卣{(diào)整過了。這樣的配置行為更像是入侵檢測系統(tǒng)，識(shí)別潛在問題，但是不阻止網(wǎng)絡(luò)流量。

•把“阻止”模式規(guī)則的數(shù)量限制在最小量，做些細(xì)微的調(diào)整，減少假陽性阻止的可能性。

•考慮使用不能打開（fail-open）的設(shè)備，限制網(wǎng)絡(luò)上設(shè)備故障的影響。在IPS的失誤事件中，這就會(huì)允許所有的流量繼續(xù)而不受中斷，雖然配置的安全性降低了，但是可以保持網(wǎng)絡(luò)的狀態(tài)和運(yùn)行，而這無疑是網(wǎng)絡(luò)架構(gòu)團(tuán)隊(duì)會(huì)贊賞的。

【編輯推薦】

1. 如何選擇合適的Web安全網(wǎng)關(guān)
2. 應(yīng)用防火墻的下一代
3. 如何自己打造高性能寬帶路由防火墻
4. 提高管理與維護(hù)水平 企業(yè)網(wǎng)絡(luò)防火墻管理經(jīng)驗(yàn)談
5. 合理設(shè)置Vista系統(tǒng)防火墻讓其獨(dú)當(dāng)一面