什么是入侵防御系统？为什么说它很重要？

入侵防御系统 (IPS) 是一种 网络安全工具（可以是硬件设备或软件），它持续监控网络中的恶意活动，并在恶意活动发生时采取措施加以阻止，包括报告、阻止或丢弃它。它比入侵检测系统 (IDS) 更先进，入侵检测系统仅检测恶意活动，但除了向管理员发出警报外，无法对其采取行动。入侵防御系统有时包含在 下一代防火墙 (NGFW) 或统一威胁管理 (UTM) 解决方案中。与许多网络安全技术一样，它们必须足够强大，才能在不降低网络性能的情况下扫描大量流量。

入侵防御系统如何工作？

入侵防御系统内嵌在源和目标之间的网络流量流中，通常位于防火墙后面。入侵防御系统使用多种技术来识别威胁：

• 基于签名：此方法将活动与已知威胁的签名相匹配。这种方法的一个缺点是它只能阻止先前识别的攻击，而无法识别新的攻击。
• 基于异常：此方法通过将网络活动的随机样本与基线标准进行比较来监控异常行为。它比基于签名的监控更强大，但有时会产生误报。一些更新、更先进的入侵防御系统使用人工智能和机器学习技术来支持基于异常的监控。
• 基于策略：这种方法比基于签名或基于异常的监控不太常见。它采用企业定义的安全策略并阻止违反这些策略的活动。这需要管理员设置和配置安全策略。

一旦 IPS 检测到恶意活动，它就会采取许多自动操作，包括提醒管理员、丢弃数据包、阻止来自源地址的流量或重置连接。一些入侵防御系统还使用“蜜罐”或诱饵高价值数据来吸引攻击者并阻止他们到达目标。

入侵防御系统的类型

有多种类型的 IPS，每种类型的目的略有不同：

• 网络入侵防御系统 (NIPS)：这种类型的 IPS 仅安装在战略点，以监控所有网络流量并主动扫描威胁。
• 主机入侵防御系统 (HIPS)：与 NIPS 相比，HIPS 安装在端点（例如 PC）上，仅查看来自该机器的入站和出站流量。它与 NIPS 结合使用效果最佳，因为它可以作为通过 NIPS 的威胁的最后一道防线。
• 网络行为分析 (NBA)：这会分析网络流量以检测异常流量，例如 DDoS（分布式拒绝服务）攻击。
• 无线入侵防御系统 (WIPS)：这种类型的 IPS 只是扫描 Wi-Fi 网络是否有未经授权的访问，并将未经授权的设备踢出网络。

入侵防御系统的好处在哪里？

入侵防御系统提供了许多好处：

• 额外的安全性：IPS 与其他安全解决方案协同工作，它可以识别其他解决方案无法识别的威胁。对于使用基于异常的检测的系统来说尤其如此。由于高度的应用程序感知，它还提供了卓越的 应用程序安全性。
• 提高其他安全控制的效率：由于 IPS 在恶意流量到达其他安全设备和控制之前将其过滤掉，因此它减少了这些控制的工作量并允许它们更有效地执行。
• 节省时间：由于 IPS 在很大程度上是自动化的，因此它需要 IT 团队投入较少的时间。
• 合规性：IPS 满足 PCI DSS、HIPAA 等提出的许多合规性要求。它还提供有价值的审计数据。
• 定制：IPS 可以设置定制的安全策略，以提供特定于使用它的企业的安全控制。

为什么入侵防御系统很重要？

IPS 成为任何企业安全系统的关键部分的原因有很多 。现代网络有许多接入点并处理大量流量，这使得手动监控和响应成为不切实际的选择。（在云安全方面尤其如此，高度连接的环境可能意味着扩大的攻击面，因此更容易受到威胁。）此外，企业安全系统面临的威胁越来越多，越来越复杂。在这种情况下，IPS 的自动化功能至关重要，它允许企业快速响应威胁，而不会给 IT 团队带来压力。作为企业安全基础设施的一部分，IPS 是帮助防止一些最严重和最复杂的攻击的关键方法。

入侵防御系统如何适应我现有的安全基础设施？

重要的是要记住，IPS 只是强大的安全解决方案的一个组成部分——它需要与其他技术配合使用才能发挥最大效用。事实上，入侵防御系统通常作为统一威胁管理或下一代防火墙解决方案的一种功能提供，尽管它们也可以是独立的产品。在典型的安全架构中，IPS 通常位于防火墙后面并与其协同工作，以提供额外的安全级别并捕获防火墙无法自行捕获的威胁。IPS 还有助于保护其他安全控制免受攻击，并通过在恶意流量到达之前将其过滤掉来提高这些控制的性能。