什么是入侵预防系统ips?和ids有什么区别?入侵预防系统(英语:Intrusion Prevention System,缩写为IPS),又称为入侵侦测与预防系统(intrusion
detection and prevention
systems,缩写为IDPS),IPS对于初始者来说,是位于防火墙和网络设备之间的设备,这样如果检测到攻击,IPS会在这种攻击扩展到网络的其它地方之前阻止这个恶意的通信,而IDS只是存在于你的网络之外,起到报警的作用,而不是你的网络前面起到的防御作用。
服务器入侵防御措施:http://www.hkt4.com/network/cdn.html
一、IPS入侵检测系统
1、定义:入侵防御系统是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
2、为什么会有IPS?
2.1、串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。
2.2、旁路部署的IDS可以及时发现那些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但很可惜的是无法实时的阻断。
2.3、IDS和防火墙联动:通过IDS来发现,通过防火墙来阻断。但由于迄今为止没有统一的接口规范,加上越来越频发的“瞬间攻击”(一个会话就可以达成攻击效果,如SQL注入、溢出攻击等),使得IDS与防火墙联动在实际应用中的效果不显著。
2.4、IDS与IPS的联动:通过IDS的检测分析,知道网络的当时实时状况,据此状况可进一步判断应该在什么位置部署安全产品(IPS等)
3、功能:入侵防护:实时、主动拦截黑客攻击、蠕虫、网络病毒、后门木马、Dos等恶意流量,保护企业信息系统和网络架构免受侵害,防止操作系统和应用程序损坏或宕机。
Web安全:基于互联网Web站点的挂马检测结果,结合URL信誉评价技术,保护用户在访问被植入木马等恶意代码的网站时不受侵害,及时、有效地第一时间拦截Web威胁。
流量控制:阻断一切非授权用户流量,管理合法网络资源的利用,有效保证关键应用全天候畅通无阻,通过保护关键应用带宽来不断提升企业IT产出率和收益率。
上网监管:全面监测和管理IM即时通讯、P2P下载、网络游戏、在线视频,以及在线炒股等网络行为,协助企业辨识和限制非授权网络流量,更好地执行企业的安全策略。
4、主要类型
基于特征的IPS:这是许多IPS解决方案中最常用的方法。把特征添加到设备中,可识别当前最常见的攻击。也被称为模式匹配IPS。特征库可以添加、调整和更新,以应对新的攻击。
基于异常的IPS:也被称为基于行规的IPS。基于异常的方法可以用统计异常检测和非统计异常检测。
基于策略的IPS:它更关心的是是否执行组织的安保策略。如果检测的活动违反了组织的安保策略就触发报警。使用这种方法的IPS,要把安全策略写入设备之中。
基于协议分析的IPS:它与基于特征的方法类似。大多数情况检查常见的特征,但基于协议分析的方法可以做更深入的数据包检查,能更灵活地发现某些类型的攻击。
主动被动:IPS倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性 网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送
时或传送后才发出警报。
二、与IDS相比,IPS的优势
IDS :入侵检测系统
做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,实时监视系统会发现情况并发出警告。
IDS
专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。
与IDS相比,IPS具有检测已知和未知攻击防止攻击能力而IDS没有,IDS的局限性是不能反击网络攻击的,因为IDS传感器基于数据包嗅探技术,只能眼睁睁的看着网络信息流过,IDS可执行IDS相同的分析,因为他们可以插入网内,装在网络组件之间,IPS同时具备检测和防御功能,
做到检测和防御兼顾,而且是在入口处就开始检测, 而不是等到进入内部网络后再检测,这样,检测效率和内网的安全性都大大提高。
可检测到IDS检测不到的攻击行为IPS是在应用层的内容检测基础上加上主动响应和过滤功能, 弥补了传统的防火墙+IDS 方案不能完成更多内容检查的不足,
填补了网络安全产品基于内容的安全检查的空白。
IPS是一种失效既阻断机制当IPS被攻击失效后, 它会阻断网络连接, 就像防火墙一样, 使被保护资源与外界隔断。
上一篇:
为什么要隐藏IP地址?
下一篇:
如何使用centos一键搭建socks5?
