IPS系統(tǒng)已經(jīng)在互聯(lián)網(wǎng)中被廣泛的應(yīng)用。今天我們?cè)谝韵录傧氲陌咐校梢钥吹揭訧PS系統(tǒng)為核心的多種網(wǎng)絡(luò)深度檢測/實(shí)時(shí)抵御的方案；不同的方案，在不同的應(yīng)用場景當(dāng)中，可以適當(dāng)?shù)財(cái)U(kuò)充或簡化。

一、 基于策略的安全防御

1. 位于辦公網(wǎng)入口的IPS系統(tǒng)通過應(yīng)用層協(xié)議分析跟蹤和特征匹配，發(fā)現(xiàn)目的地為業(yè)務(wù)服務(wù)器A的HTTP數(shù)據(jù)流中隱藏有針對(duì)Windows操作系統(tǒng)的DCOM漏洞的惡意利用；

2. IPS系統(tǒng)將此安全事件上報(bào)至管理中心；

3. 管理中心獲取服務(wù)器A的基本信息；

4. 管理中心根據(jù)獲取的A的信息，判斷該訪問是否會(huì)造成危害，如果A不運(yùn)行Windows操作系統(tǒng)或者A確實(shí)運(yùn)行Windows但是已經(jīng)打了針對(duì)DCOM漏洞的補(bǔ)丁，則A是安全的；

5. 根據(jù)情況，管理中心向IPS系統(tǒng)下發(fā)制定的安全策略；

6. IPS系統(tǒng)執(zhí)行安全策略，放行或者阻斷此次連接請(qǐng)求。

事實(shí)上，在這里我們描述的是需要管理中心介入的情況，在一些相對(duì)簡單的情況下，如果我們事先可以確認(rèn)服務(wù)器集群所運(yùn)行的操作系統(tǒng)（在90%的情況下這是可能的），那么抵御該網(wǎng)絡(luò)攻擊的規(guī)則可以直接施加在IPS系統(tǒng)上，不再需要與管理中心的交互，從而降低部署的復(fù)雜度、提高效率。

二、應(yīng)用感知的智能防御

1. 辦公網(wǎng)用戶訪問Internet上的WWW服務(wù)器；

2. IPS系統(tǒng)檢測到該請(qǐng)求，判斷該請(qǐng)求符合事先設(shè)定的安全策略，放行；

3. 該用戶與外部服務(wù)器的連接建立；

4. 該用戶試圖通過已經(jīng)建立的連接，利用二次代理，發(fā)起對(duì)某非法或不良網(wǎng)站的訪問請(qǐng)求；

5. 根據(jù)對(duì)應(yīng)用層協(xié)議的深度分析和內(nèi)容識(shí)別，IPS系統(tǒng)檢測到該企圖，阻斷該次HTTP連接；

6. 上報(bào)該安全事件到管理中心備查；

7. IPS系統(tǒng)可以根據(jù)管理中下發(fā)的策略，對(duì)該用戶進(jìn)行一定時(shí)間的懲罰（拒絕該用戶后續(xù)的上網(wǎng)請(qǐng)求）。

三、行為分析的智能防御，阻止病毒、蠕蟲泛濫

1. 某辦公網(wǎng)用戶通過公共區(qū)域網(wǎng)絡(luò)訪問業(yè)務(wù)服務(wù)器集群；

2. 正常連接建立后，位于服務(wù)器集群前端的IPS系統(tǒng)檢測到來自該用戶的通信流量中隱藏有某種病毒的行為特征，立即阻斷該用戶的此次訪問，并且上報(bào)該安全事件給管理中心；

3. 管理中心分析該安全事件，根據(jù)報(bào)文信息定位到該用戶，并且制定新的安全策略；

4. 接入管理更改該用戶的安全等級(jí)，下發(fā)更新的安全策略給相關(guān)網(wǎng)絡(luò)設(shè)備；

5. 更新了安全策略的網(wǎng)絡(luò)設(shè)備將該用戶隔離至某特定區(qū)域，避免該病毒感染其他網(wǎng)絡(luò)用戶，并采取后續(xù)行動(dòng)。

【編輯推薦】

1. 國內(nèi)出現(xiàn)首批擁有IDS和IPS產(chǎn)品雙CVE認(rèn)證的安全廠商
2. IPS是使網(wǎng)絡(luò)健康的關(guān)鍵防護(hù)措施
3. 移動(dòng)計(jì)算安全關(guān)注導(dǎo)致更多IPS、SSL VPN花費(fèi)
4. 在企業(yè)中配置IPS的最佳實(shí)踐
5. 新版DefensePro成為IPS抵抗DDoS攻擊的典范