1.3.5 IPS部署规划

网络中的IPS主要用于拦截和处理传统网络防火墙无法解决的网络攻击，部署在网络中的Internet接入区。IPS是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将其传送到内部系统中。此时，有问题的数据包，以及所有来自同一数据流的后续数据包，都能在IPS设备中被清除掉。

1. IPS概述

大多数网络用户，可能都遇到类似下面的情况：

● 没有及时安装新发布的一个安全补丁，造成服务器宕机，网络中断。

● 蠕虫病毒爆发，造成网络瘫痪，无法网上办公，邮件收不了，网页打不开。

● 个别用户使用BT、电驴等P2P软件下载电影或MP3，造成上网速度奇慢无比。

● 个别用户沉迷在QQ或MSN上聊天，玩网络游戏或者看在线视频等，不专心工作。

● 由于个别用户的计算机被植入间谍软件，导致网络内部的机密资料被窃。

● 公司Web服务器遭受SQL注入攻击，造成公司主页内容被篡改。

● 部分员工电脑成为僵尸网络的“肉机”，向外网发起DoS攻击，被有关安全部门调查。

根据调查数据显示，以上事件呈逐年上升趋势，给企业造成越来越大的直接和间接损失。对于上述威胁，传统的安全手段（如防火墙、入侵检测系统）都无法有效进行阻止。

传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍然允许某些流量通过，因此，防火墙对于很多入侵攻击仍然无计可施，而绝大多数IDS系统都是被动的，不是主动的。也就是说，在攻击实际发生之前，它们往往无法预先发出警报。而入侵防御系统IPS则倾向于提供主动防御，其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。由于IPS安全设备功能比较单一，为了便于管理和控制，通常作为一个模块，与基础网络设备融合，具有即插即用、扩展性强的特点，降低了用户管理难度，减少了维护成本。如图1-10所示是基于Cisco ASA 5500系列的IPS模块。

IPS之所以能够实现实时检查和阻止入侵，在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用二层至七层的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对三层或四层进行检查，不能检测应用层的内容。防火墙的包的过滤技术不会针对每字节进行检查，因而也就无法发现攻击活动，而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查的数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。

针对不同的攻击行为，IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。

过滤器引擎集合了流水和大规模并行处理硬件，能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统，不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义，因为传统的软件解决方案，必须串行进行过滤检查，因而会导致系统性能大打折扣。

2. IPS的分类

根据IPS工作模式的不同，可以将其分为3类：基于主机的入侵防御（HIPS）、基于网络的入侵防御（NIPS）和基于应用的入侵防御（AIP）。

基于主机的入侵防御（HIPS）

HIPS通过在主机/服务器上安装软件代理程序，防止网络攻击入侵操作系统以及应用程序。基于主机的入侵防御能够保护服务器的安全弱点不被不法分子所利用，因此它们在防范蠕虫病毒的攻击中起到了很好的防御作用。基于主机的入侵防御技术，可以根据自定义的安全策略以及分析学习机制来阻断对服务器、主机发起的恶意入侵。HIPS可以阻断缓冲区溢出、改变登录口令、改写动态链接库以及其他试图从操作系统夺取控制权的入侵行为，整体提升主机的安全水平。

在技术上，HIPS采用独特的服务器保护途径，利用由包过滤、状态包检测和实时入侵检测组成分层防御体系。这种体系能够在提供合理吞吐率的前提下，最大限度地保护服务器的敏感内容，既可以以软件形式嵌入到应用程序对操作系统的调用当中。通过拦截针对操作系统的可疑调用，提供对主机的安全防御。也可以以更改操作系统内核程序的方式，提供比操作系统更加严谨的安全控制机制。

由于HIPS工作在受保护的主机/服务器上，它不但能够利用特征和行为规则检测，阻止诸如缓冲区溢出之类的已知攻击，还能够防范未知攻击，防止针对Web页面、应用和资源的未授权的任何非法访问。HIPS与具体的主机/服务器操作系统平台紧密相关，不同的平台需要不同的软件代理程序。

基于网络的入侵防御（NIPS）

NIPS通过检测流经的网络流量，提供对网络系统的安全保护。由于它采用在线连接方式，所以一旦辨识出入侵行为，NIPS就可以去除整个网络会话，而不仅仅是复位会话。同样由于实时在线，NIPS需要具备很高的性能，以免成为网络的瓶颈，因此NIPS通常被设计成类似于交换机的网络设备，提供线速吞吐速率以及多个网络端口。

NIPS必须基于特定的硬件平台，才能实现千兆级网络流量的深度数据包检测和阻断功能。这种特定的硬件平台通常可以分为三类：一类是网络处理器（网络芯片），一类是专用的FPGA编程芯片，第三类是专用的ASIC芯片。

在技术上，NIPS吸取了目前NIDS所有的成熟技术，包括特征匹配、协议分析和异常检测。特征匹配是最广泛应用的技术，具有准确率高、速度快的特点。基于状态的特征匹配不但检测攻击行为的特征，还要检查当前网络的会话状态，避免受到欺骗攻击。

协议分析是一种较新的入侵检测技术，它充分利用网络协议的高度有序性，并结合高速数据包捕捉和协议分析，来快速检测某种攻击特征。协议分析正在逐渐进入成熟应用阶段。协议分析能够理解不同协议的工作原理，以此分析这些协议的数据包，来寻找可疑或不正常的访问行为。协议分析不仅仅基于协议标准（如RFC），还基于协议的具体实现，这是因为很多协议的实现偏离了协议标准。通过协议分析，IPS能够针对插入与规避攻击进行检测。异常检测的误报率比较高，NIPS不将其作为主要技术。

基于应用的入侵防御（AIP）

NIPS产品有一个特例，即应用入侵防御（AIP），它把基于主机的入侵防御扩展成为位于应用服务器之前的网络设备。AIP被设计成一种高性能的设备，配置在应用数据的网络链路上，以确保用户遵守设定好的安全策略，保护服务器的安全。NIPS工作在网络上，直接对数据包进行检测和阻断，与具体的主机/服务器操作系统平台无关。NIPS的实时检测与阻断功能很有可能出现在未来的交换机上。随着处理器性能的提高，每一层次的交换机都有可能集成入侵防御功能。

3. IPS部署方案

将IPS部署在企业网络的不同位置，可以实现不同目的的安全防护。

“路由防护”方案

路由防护，将IPS直接部署至路由器和核心交换机之间，借助网络的边界防护，实现IPS和防火墙功能，为整个网络提供网络安全保护（如图1-11所示）。

“交换防护”方案

将IPS作为网络核心，采用一进多出或多进多出的方式，实现不同网段相互连接，进行数据交换，同时实现防火墙功能（如图1-12所示）。

“多链路防护”方案

采用多路IPS的连接方式，一路IPS防护一个ISP接入，各路IPS相互独立，彼此之间没有数据交换，互不干扰（如图1-13所示）。

“混合防护”方案

多种模式分层防护，监控与防护相结合，更完善，在线NIPS模式、旁路NIDS模式相配合（如图1-14所示）。