IPS（入侵預(yù)防系統(tǒng)）也像入侵偵查系統(tǒng)一樣，專門深入網(wǎng)路數(shù)據(jù)內(nèi)部，查找它所認(rèn)識的攻擊代碼特征，過濾有害數(shù)據(jù)流，丟棄有害數(shù)據(jù)包，并進(jìn)行記載，以便事后分析。

除此之外，更重要的是，大多數(shù)入侵預(yù)防系統(tǒng)同時結(jié)合考慮應(yīng)用程序或網(wǎng)路傳輸中的異常情況，來輔助識別入侵和攻擊。比如，用戶或用戶程序違反安全條例、數(shù)據(jù)包在不應(yīng)該出現(xiàn)的時段出現(xiàn)、作業(yè)系統(tǒng)或應(yīng)用程序弱點(diǎn)的空子正在被利用等等現(xiàn)象。

IPS雖然也考慮已知病毒特征，但是它并不僅僅依賴于已知病毒特征。下面我們就來了解下行為處理法是如何運(yùn)轉(zhuǎn)工作的，我們依舊以華為公司的Tippingpoint入侵防御系統(tǒng)為例進(jìn)行介紹。

第一步：登錄到IPS系統(tǒng)管理界面，我們在左邊找到IPS選項下的security profiles，這個是關(guān)于安全配置的信息，在這里我們能夠看到默認(rèn)的是default security profile，這個是系統(tǒng)集成時廠商制訂好的。(如圖1)

第二步：下面我們來修改這個默認(rèn)的default security profile，打開后會顯示該安全策略應(yīng)用的接口，由于筆者所在公司只使用了兩個接口，一個入一個出所以這里不用修改。(如圖2)

第三步：接下來是profile details(advanced)設(shè)置，這里是關(guān)于策略的詳細(xì)信息進(jìn)行配置的。

我們可以看到默認(rèn)情況系統(tǒng)針對各個攻擊類型劃分了類別，每個類別是一個category.可以處理的攻擊包括exploits益出，identity theft，security policy(安全策略)，virus病毒，spyware間諜程序等等，種類很多這里就不一一羅列了。

對于每個大類category來說我們都可以設(shè)置IPS操作的行為以及處理方法，包括block禁止通行，block+notify禁止通行并提示，block+notify+trace禁止通行并提示而且追蹤源地址，limit rate to 10M容許速度限制為10M，limit rate to 5M，permit+notify，perminotify+trace容許通行并追蹤數(shù)據(jù)等等。

基本上這里羅列的行為處理方法足夠在實際中使用了，如果企業(yè)需要特殊的行為處理操作的話可以按照下文介紹的方法添加。

這里有一個recommended的意思是推薦，他表示對于該大類處理方法按照單獨(dú)小類進(jìn)行處理，例如virus下有A病毒與B病毒，如果大類virus設(shè)置為recommended的話，那么具體到處理AB病毒時按照A病毒與B病毒自身設(shè)置的行為處理規(guī)則運(yùn)行。

IPS一般作為防火墻和防病毒軟體的補(bǔ)充來投入使用。在必要時，它還可以為追究攻擊者的刑事責(zé)任而提供法律上有效的證據(jù)，有興趣的讀者可以關(guān)注更多的相關(guān)資源。

【編輯推薦】

1. IDS與IPS功能分析
2. 虛擬網(wǎng)絡(luò)的安全策略 IDS/IPS的實施
3. 入侵防御IPS迎來高性能低功耗時代
4. IPS(入侵防護(hù)系統(tǒng))與WAF(Web應(yīng)用防護(hù)系統(tǒng))的區(qū)別