1.3.5 IPS部署規(guī)劃

網絡中的IPS主要用于攔截和處理傳統(tǒng)網絡防火墻無法解決的網絡攻擊，部署在網絡中的Internet接入區(qū)。IPS是通過直接嵌入到網絡流量中實現這一功能的，即通過一個網絡端口接收來自外部系統(tǒng)的流量，經過檢查確認其中不包含異常活動或可疑內容后，再通過另外一個端口將其傳送到內部系統(tǒng)中。此時，有問題的數據包，以及所有來自同一數據流的后續(xù)數據包，都能在IPS設備中被清除掉。

1. IPS概述

大多數網絡用戶，可能都遇到類似下面的情況：

● 沒有及時安裝新發(fā)布的一個安全補丁，造成服務器宕機，網絡中斷。

● 蠕蟲病毒爆發(fā)，造成網絡癱瘓，無法網上辦公，郵件收不了，網頁打不開。

● 個別用戶使用BT、電驢等P2P軟件下載電影或MP3，造成上網速度奇慢無比。

● 個別用戶沉迷在QQ或MSN上聊天，玩網絡游戲或者看在線視頻等，不專心工作。

● 由于個別用戶的計算機被植入間諜軟件，導致網絡內部的機密資料被竊。

● 公司Web服務器遭受SQL注入攻擊，造成公司主頁內容被篡改。

● 部分員工電腦成為僵尸網絡的“肉機”，向外網發(fā)起DoS攻擊，被有關安全部門調查。

根據調查數據顯示，以上事件呈逐年上升趨勢，給企業(yè)造成越來越大的直接和間接損失。對于上述威脅，傳統(tǒng)的安全手段（如防火墻、入侵檢測系統(tǒng)）都無法有效進行阻止。

傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網絡流量，但仍然允許某些流量通過，因此，防火墻對于很多入侵攻擊仍然無計可施，而絕大多數IDS系統(tǒng)都是被動的，不是主動的。也就是說，在攻擊實際發(fā)生之前，它們往往無法預先發(fā)出警報。而入侵防御系統(tǒng)IPS則傾向于提供主動防御，其設計宗旨是預先對入侵活動和攻擊性網絡流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送后才發(fā)出警報。由于IPS安全設備功能比較單一，為了便于管理和控制，通常作為一個模塊，與基礎網絡設備融合，具有即插即用、擴展性強的特點，降低了用戶管理難度，減少了維護成本。如圖1-10所示是基于Cisco ASA 5500系列的IPS模塊。

IPS之所以能夠實現實時檢查和阻止入侵，在于IPS擁有數目眾多的過濾器，能夠防止各種攻擊。當新的攻擊手段被發(fā)現之后，IPS就會創(chuàng)建一個新的過濾器。IPS數據包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數據包的內容。如果有攻擊者利用二層至七層的漏洞發(fā)起攻擊，IPS能夠從數據流中檢查出這些攻擊并加以阻止。傳統(tǒng)的防火墻只能對三層或四層進行檢查，不能檢測應用層的內容。防火墻的包的過濾技術不會針對每字節(jié)進行檢查，因而也就無法發(fā)現攻擊活動，而IPS可以做到逐一字節(jié)地檢查數據包。所有流經IPS的數據包都被分類，分類的依據是數據包中的報頭信息，如源IP地址和目的IP地址、端口號和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續(xù)前進，包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。

針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設有相應的過濾規(guī)則，為了確保準確性，這些規(guī)則的定義非常廣泛。在對傳輸內容進行分類時，過濾引擎還需要參照數據包的信息參數，并將其解析至一個有意義的域中進行上下文分析，以提高過濾準確性。

過濾器引擎集合了流水和大規(guī)模并行處理硬件，能夠同時執(zhí)行數千次的數據包過濾檢查。并行過濾處理可以確保數據包能夠不間斷地快速通過系統(tǒng)，不會對速度造成影響。這種硬件加速技術對于IPS具有重要意義，因為傳統(tǒng)的軟件解決方案，必須串行進行過濾檢查，因而會導致系統(tǒng)性能大打折扣。

2. IPS的分類

根據IPS工作模式的不同，可以將其分為3類：基于主機的入侵防御（HIPS）、基于網絡的入侵防御（NIPS）和基于應用的入侵防御（AIP）。

基于主機的入侵防御（HIPS）

HIPS通過在主機/服務器上安裝軟件代理程序，防止網絡攻擊入侵操作系統(tǒng)以及應用程序。基于主機的入侵防御能夠保護服務器的安全弱點不被不法分子所利用，因此它們在防范蠕蟲病毒的攻擊中起到了很好的防御作用。基于主機的入侵防御技術，可以根據自定義的安全策略以及分析學習機制來阻斷對服務器、主機發(fā)起的惡意入侵。HIPS可以阻斷緩沖區(qū)溢出、改變登錄口令、改寫動態(tài)鏈接庫以及其他試圖從操作系統(tǒng)奪取控制權的入侵行為，整體提升主機的安全水平。

在技術上，HIPS采用獨特的服務器保護途徑，利用由包過濾、狀態(tài)包檢測和實時入侵檢測組成分層防御體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護服務器的敏感內容，既可以以軟件形式嵌入到應用程序對操作系統(tǒng)的調用當中。通過攔截針對操作系統(tǒng)的可疑調用，提供對主機的安全防御。也可以以更改操作系統(tǒng)內核程序的方式，提供比操作系統(tǒng)更加嚴謹的安全控制機制。

由于HIPS工作在受保護的主機/服務器上，它不但能夠利用特征和行為規(guī)則檢測，阻止諸如緩沖區(qū)溢出之類的已知攻擊，還能夠防范未知攻擊，防止針對Web頁面、應用和資源的未授權的任何非法訪問。HIPS與具體的主機/服務器操作系統(tǒng)平臺緊密相關，不同的平臺需要不同的軟件代理程序。

基于網絡的入侵防御（NIPS）

NIPS通過檢測流經的網絡流量，提供對網絡系統(tǒng)的安全保護。由于它采用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網絡會話，而不僅僅是復位會話。同樣由于實時在線，NIPS需要具備很高的性能，以免成為網絡的瓶頸，因此NIPS通常被設計成類似于交換機的網絡設備，提供線速吞吐速率以及多個網絡端口。

NIPS必須基于特定的硬件平臺，才能實現千兆級網絡流量的深度數據包檢測和阻斷功能。這種特定的硬件平臺通常可以分為三類：一類是網絡處理器（網絡芯片），一類是專用的FPGA編程芯片，第三類是專用的ASIC芯片。

在技術上，NIPS吸取了目前NIDS所有的成熟技術，包括特征匹配、協議分析和異常檢測。特征匹配是最廣泛應用的技術，具有準確率高、速度快的特點。基于狀態(tài)的特征匹配不但檢測攻擊行為的特征，還要檢查當前網絡的會話狀態(tài)，避免受到欺騙攻擊。

協議分析是一種較新的入侵檢測技術，它充分利用網絡協議的高度有序性，并結合高速數據包捕捉和協議分析，來快速檢測某種攻擊特征。協議分析正在逐漸進入成熟應用階段。協議分析能夠理解不同協議的工作原理，以此分析這些協議的數據包，來尋找可疑或不正常的訪問行為。協議分析不僅僅基于協議標準（如RFC），還基于協議的具體實現，這是因為很多協議的實現偏離了協議標準。通過協議分析，IPS能夠針對插入與規(guī)避攻擊進行檢測。異常檢測的誤報率比較高，NIPS不將其作為主要技術。

基于應用的入侵防御（AIP）

NIPS產品有一個特例，即應用入侵防御（AIP），它把基于主機的入侵防御擴展成為位于應用服務器之前的網絡設備。AIP被設計成一種高性能的設備，配置在應用數據的網絡鏈路上，以確保用戶遵守設定好的安全策略，保護服務器的安全。NIPS工作在網絡上，直接對數據包進行檢測和阻斷，與具體的主機/服務器操作系統(tǒng)平臺無關。NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。隨著處理器性能的提高，每一層次的交換機都有可能集成入侵防御功能。

3. IPS部署方案

將IPS部署在企業(yè)網絡的不同位置，可以實現不同目的的安全防護。

“路由防護”方案

路由防護，將IPS直接部署至路由器和核心交換機之間，借助網絡的邊界防護，實現IPS和防火墻功能，為整個網絡提供網絡安全保護（如圖1-11所示）。

“交換防護”方案

將IPS作為網絡核心，采用一進多出或多進多出的方式，實現不同網段相互連接，進行數據交換，同時實現防火墻功能（如圖1-12所示）。

“多鏈路防護”方案

采用多路IPS的連接方式，一路IPS防護一個ISP接入，各路IPS相互獨立，彼此之間沒有數據交換，互不干擾（如圖1-13所示）。

“混合防護”方案

多種模式分層防護，監(jiān)控與防護相結合，更完善，在線NIPS模式、旁路NIDS模式相配合（如圖1-14所示）。