分析深层防护体系的核心思想---IPS

　　为了满足用户和业务的需求，时刻保持竞争优势，企业不得不持续扩张网络体系。然而，很多人可能不知道，网络的每一次扩张，即便是一台新计算机、一台新服务器以及软件应用平台，都将给病毒、蠕虫、黑客留下可乘之机，为企业网络带来额外的安全风险。同时，纯病毒时代已经一去不复返了，几年前占据着新闻头条的计算机病毒事件（LoverLetter、Melissa和Michelangelo）在今天看来已经不是什么新闻了，而取代它们的却是破坏程度呈几何增长的新型病毒。这种新型病毒被称为混合型病毒，这种新病毒结合了传统电子邮件病毒的破坏性和新型的基于网络的能力，能够快速寻找和发现整个企业网络内存在的安全漏洞，并进行进一步的破坏，如拒绝服务攻击，拖垮服务器，攻击计算机或系统的薄弱环节。　　

　　混合威胁不断发展，单一的防护措施已经无能为力，企业需要对网络进行多层、深层的防护才能有效。真正的深层防护体系不仅能够发现恶意代码，而且还能够主动地阻止恶意代码的攻击。在当今混合威胁盛行的时代，只有深层防护才可以确保网络的安全。谈到深层防护体系，一定要谈到入侵防护系统（IPS）。IPS的出现可谓是企业网络安全的革命性创新。　　

　　尽管在过去，IDS是一种受到企业欢迎的解决方案，它还是不足以阻断当今互联网中不断发展的攻击。在保护企业至关重要的服务器不受攻击方面，IT和网络安全经理面临着众多的挑战。缺少专用的安全资源和越来越先进的攻击方式是最令人头疼的两个问题。尽管在过去，入侵检测系统（IDS）是一种受到企业欢迎的解决方案，它还是不足以阻断当今互联网中不断发展的攻击。入侵检测系统的一个主要问题是它不会主动在攻击发生前阻断它们。同时，许多入侵检测系统基于签名，所以它们不能检测到新的攻击或老式攻击的变形，它们也不能对加密流量中的攻击进行检测。　　

　　因为，绝大多数 IDS 系统都是被动的，而不是主动性的，也就是说，在攻击实际发生之前，它们往往无法预先发出警报。入侵防护系统则倾向于提供主动性的防护，其设计旨在预先对入侵活动和攻击性网络流量进行拦截，避免其造成任何损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中而实现这一功能的，即通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另外一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一数据流的后续数据包，都能够在 IPS 设备中被清除掉。　　

　　IPS的出现不仅解决了目前其它安全解决方案不能解决的问题，而且还为企业节省了开销。例如，美国的一家财务公司，在全球有12个分支机构，原来使用250个许可证的IDS产品，目前，用30个许可证的IPS产品就能实现全球网络的入侵防护，而管理人员只需要3至4人，效率却提高了6倍以上。从这个例子可以看出，IPS彻底取代了IDS，成为企业入侵防护的主流解决方案。从这个例子可以看出，IPS就应该是这个时代安全守护神。　　

　　入侵检测系统刚刚得到了普及，转眼之间，它已经被称为“过时”的系统了。这不仅说明，我们面临的威胁更加复杂了，而且入侵检测系统的确也已经过时了。因为，IDS设备在设计时就根本没有考虑IPS功能，它们是一种检测机制，而不是预防手段。企业要想拥有一个高效、完整的网络结构，深层防护理念一定是构建安全体系的航标。只有在它的指引下，才能真正地免遭混合威胁的侵扰。值得强调的是，入侵防护将是未来深层防护体系的核心，因为只有它才能够检测到攻击，才能主动地阻止攻击。