入侵防禦系統是一種什麼設備

1. 什麼是IPS（入侵防禦系統）

14px; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px">IPS（Intrusion Prevention System 入侵防禦系統）對於初始者來說，IPS位於防火牆和網路的設備之間。這樣，如果檢測到攻擊，IPS會在這種攻擊擴散到網路的其它地方之前阻止這個惡意的通信。
IDS只是存在於你的網路之外起到報警的作用，而不是在你的網路前面起到防禦的作用。
目前有很多種IPS系統
，它們使用的技術都不相同。但是，一般來說，IPS系統都依靠對數據包的檢測。IPS將檢查入網的數據包，確定這種數據包的真正用途，然後決定是否允許這種數據包進入你的網路。
IPS 的關鍵技術成份包括所合並的全球和本地主機訪問控制、IDS、全球和本地安全策略、風險管理軟體和支持全球訪問並用於管理 IPS 的控制台。如同 IDS 中一樣，IPS 中也需要降低假陽性或假陰性，它通常使用更為先進的侵入檢測技術，如試探式掃描、內容檢查、狀態和行為分析，同時還結合常規的侵入檢測技術如基於簽名的檢測和異常檢測。
同侵入檢測系統（IDS）一樣，IPS 系統分為基於主機和網路兩種類型。
基於主機的 IPS
基於主機的 IPS 依靠在被保護的系統中所直接安裝的代理。它與操作系統內核和服務緊密地捆綁在一起，監視並截取對內核或 API 的系統調用，以便達到阻止並記錄攻擊的作用。它也可以監視數據流和特定應用的環境（如網頁伺服器的文件位置和注冊條目），以便能夠保護該應用程序使之能夠避免那些還不存在簽名的、普通的攻擊。
基於網路的 IPS
基於網路的 IPS 綜合了標准 IDS 的功能，IDS 是 IPS 與防火牆的混合體，並可被稱為嵌入式 IDS 或網關 IDS（GIDS）。基於網路的 IPS 設備只能阻止通過該設備的惡意信息流。為了提高 IPS 設備的使用效率，必須採用強迫信息流通過該設備的方式。更為具體的來說，受保護的信息流必須代表著向聯網計算機系統或從中發出的數據，且在其中：
指定的網路領域中，需要高度的安全和保護。
該網路領域中存在極可能發生的內部爆發配置地址能夠有效地將網路劃分成最小的保護區域，並能夠提供最大范圍的有效覆蓋率。

2. 典型入侵防禦系統的設備名稱與配置參數

這些工具的名稱我都記不起來了，反正有好幾個。最後找到了一個溢出程序XP.——綜合管理，易用、易查：天清入侵防禦系統支持向導式的策略配置管理，可

3. 入侵報警系統包括哪些設備組成

前端採集設備（紅外對射/雙肩探測器等）
傳輸設備（同軸線纜/網線/光纖等）
管理設備（報警主機/管理主機等）
顯示設備（LED/警燈等）

4. 入侵防禦系統的特點及規格

TippingPoint 基於 ASIC 入侵檢測防禦引擎
UnityOne 無可比擬的性能、穩定性和准確率都是透過 TippingPoint 的工程師和科學家所開發的專利技術發展出來的。這些優勢展現於 TippingPoint 的 TSE 威脅防禦引擎（ Threat Suppression Engine ）上。 UnityOne 是由最新型的網路處理器技術組成的一個高度專業化的硬體式入侵檢測防禦平台。 TippingPoint 擁有整套自行開發的 FPGA (Layer 7) 及 Layer 4 (ASIC) 模塊。 TSE(威脅防禦引擎 ) 是一個能實現所有入侵檢測防禦所需要的全部功能的硬體線速引擎，主要功能包括 IP 碎片重組、 TCP 流重組、攻擊行為統計分析、網路流量帶寬管理、惡意封包阻擋、流量狀態追蹤和超過 170 種的應用層網路通訊協議分析。
TSE 重組與檢測數據包的內容並分析至網路的應用層。當每一個新的數據包隨著數據流到達 TSE 時，就會重新檢測這個數據流是否含有有害的內容，如果實時檢測出這個數據包含有害內容，那麼這個數據包以及隨後而來屬於這個數據流的數據包將會被阻擋。這樣可以正確地保證攻擊不會到達攻擊目的地。
這種領先的 IPS 技術只有結合高速的網路處理器及定製化的 ASIC 晶元才有可能實現。這種高度專業的流量分類技術可以使IPS 在具有千兆處理速度的同時處理延遲不到一微秒 (Latency under Microsecond) ，且具有高度的檢測和阻擋准確性。不像軟體式的或其它競爭對手宣稱擁有千兆處理速度的入侵防禦系統，其處理性能會受到 Filter 安裝多寡而受到嚴重的影響，同時處理延時卻高達數秒甚至數十秒之多。 UnityOne 具有高度擴充能力的硬體防護引擎可以允許上萬筆的 Filter 同時運行而不影響其性能與准確性。
UnityOne 運用 TSE 突破性的擴充性與高性能，實時偵測通訊協議異常與流量統計異常，防護 DDoS 攻擊以及阻擋或限制未經授權的應用程序的帶寬。

TippingPoint 三大入侵防禦功能
UnityOne 提供業界最完整的入侵偵測防禦功能，遠遠超出傳統 IPS 的能力。 TippingPoint 定義的三大入侵偵測防禦功能包括：應用程序防護、網路架構防護與性能保護。這三大功能可提供最強大且最完整的保護以防禦各種形式的網路攻擊行為，如：病毒、蠕蟲、拒絕服務攻擊與非法的入侵和訪問。
應用程序防護 -UnityOne 提供擴展至用戶端、伺服器、及第二至第七層的網路型攻擊防護，如：病毒、蠕蟲與木馬程序。利用深層檢測應用層數據包的技術， UnityOne 可以分辨出合法與有害的封包內容。最新型的攻擊可以透過偽裝成合法應用的技術，輕易的穿透防火牆。而 UnityOne 運用重組 TCP 流量以檢視應用層數據包內容的方式，以辨識合法與惡意的數據流。大部分的入侵防禦系統都是針對已知的攻擊進行防禦，然而 UnityOne 運用漏洞基礎的過濾機制，可以防範所有已知與未知形式的攻擊。
網路架構防護 - 路由器、交換器、 DNS 伺服器以及防火牆都是有可能被攻擊的網路設備，如果這些網路設備被攻擊導致停機，那麼所有企業中的關鍵應用程序也會隨之停擺。而 UnityOne 的網路架構防護機制提供了一系列的網路漏洞過濾器以保護網路設備免於遭受攻擊。此外， UnityOne 也提供異常流量統計機制的過濾器，對於超過 」 基準線 」 的正常網路流量，可以針對其通訊協議或應用程序特性來進行警示、限制流量或阻絕流量等行動。如此一來可以預防 DDoS 及其它溢出式流量攻擊所造成的網路斷線或阻塞。
性能保護 - 是用來保護網路帶寬及主機性能，免於被非法的應用程序佔用正常的網路性能。如果網路鏈路壅塞，那麼重要的應用程序數據將無法在網路上傳輸。非商用的應用程序，如點對點文檔共享 (P2P) 應用 或實時通訊軟體 (IM) 將會快速的耗盡網路的帶寬，因此 UnityOne 提供帶寬保護 (Traffic / Rate Shaping) 的功能，協助企業仔細的辨識出非法使用的應用程序流量並降低或限制其帶寬的使用量。


TippingPoint 三大入侵偵測防禦機制
TippingPoint 的 UnityOne IPS 產品線可同時運作三個獨立但互補的入侵偵測防禦機制：弱點過濾器，攻擊特徵過濾器和流量異常過濾器。 TippingPoint 可以同時運作這三個機制的能力就是來自於這組特別開發的 ASIC 。
弱點過濾器 主要是保護操作系統與應用程序。這種過濾器行為就像是一種網路型的虛擬軟體補丁程序，保護主機免於遭受利用未修補的漏洞來進行的網路型攻擊。新的漏洞一旦發現開始被駭客攻擊利用，弱點過濾器就會被實時啟動，進行漏洞保護。這個過濾機制的運作模式是重組第七層的信息，從而可以完整地檢測應用層的流量。過濾規則可以指定特別的條件，如檢測應用程序的運作流程（如：緩沖區溢出的應用程序異常）或通訊協議的規范（如： RFC 異常）。
流量異常過濾器 是用來偵測在流量模式方面的變化。 這些過濾機制可以調整與學習 UnityOne 所在的特別環境中「正常流量 」 的模式。一旦正常流量被設定為基準，這些過濾機制將依據可調整的門限閥值來偵測統計異常的網路流量。流量異常過濾機制可以有效的阻擋分布式的阻斷服務的攻擊 (DDOS) 、未知的蠕蟲、異常的應用程序流量與其它零時差閃電攻擊。此外 UnityOne 一個重要的特殊功能是可以依據應用程序的種類、通訊協議與 IP 進行最合適網路流量分配。
攻擊特徵過濾器 主要是針對不需要利用安全漏洞的攻擊方式，如病毒或木馬。這個過濾方式必須全盤了解已知攻擊的特徵，且可以偵測並製作出防禦的特徵資料庫。目前 TippingPoint 擁有一個專業團隊 7X24 全年無休地分析來自於全球的各種攻擊威脅，並與 SANS 、 CERT 、 SECURITEAM 等知名的信息安全團隊合作，在第一時間透過在線更新，讓全球每個角落的 UnityOne 配備最新的攻擊特徵資料庫。
TippingPoing 數字疫苗在線更新機制
蘇州眾里數碼會和HP在企業信息安全這塊一起努力。在每周提供 SANS 漏洞分析的同時， TippingPoint 的安全團隊也同步製作出針對漏洞的過濾器資料庫並混入到數字疫苗（ Digital Vaccines ）中，數字疫苗不只針對特定的攻擊製作過濾器，還包括對變種攻擊與零時差閃電攻擊進行阻擋。為了擁有最大的安全涵蓋范圍，數字疫苗除了每周定時在線更新過濾器資料庫外，並隨時對有嚴重威脅的漏洞或攻擊生成新的過濾器，數字疫苗也會自動地部署新的過濾器至全球的 UnityOne IPS 上。
為了防禦最新的弱點與攻擊，最新的過濾器會持續的更新至 IPS 上。每一條過濾都可以被視為網路上的虛擬軟體補丁程序，以保護內部的主機免於被攻擊。任何企圖運用於特定漏洞的有害流量將會被實時偵測與阻擋。換句話說，這個方式就是運用一個虛擬的修丁程序來保護上千個未修補漏洞的系統。
TippingPoint 的安全專家是被世界公認的，全球超過二十五萬個安全管理者及專家都訂閱了 TippingPoint 所編輯的SAN @RISK 分析報告。相同的分析也運用到數字疫苗的開發上，優先製作出保護 TippingPoint 客戶的最佳過濾器。
TippingPoint 擁有最完整的可靠性機制
UnityOne 的設計理念是，無論是網路發生什麼故障、設備內部與系統發生什麼錯誤、甚至設備完全失去電源，保證網路永不斷線、並保證維持線速的運作。 UnityOne 運用系統內部備份機制與網路狀態備份機制，並相互補充的模式來確保最大的網路可用性。
UnityOne 有多種內建的備份機制：一、所有的設備都具有兩個相互備份，可熱插拔的電源適配器。二、看門狗計時器（watchdog timers ）會持續的監控安全與管理引擎，一旦系統錯誤被偵測到， UnityOne 可以自動或手動的切換成 Layer 2的設備，確保網路不斷線。此外， TippingPoint 還提供了一個外接式電源適配器（ Zero Power High Availability ），當整個機房或數據中心失去電源時，所有的流量會自動切換 (Power Bypass) 由這個設備運作。

5. 典型入侵防禦系統的設備名稱與配置參數。怎麼辦

這類工具的名稱我都記不起來了，反正有好幾個。最後找到了1個溢出程序XP.——綜合管理，易用、易查：天清入侵防禦系統（System）支持向導式的策略配置管理，可

6. 入侵防禦系統的系統介紹

全球最佳的新一代IPS (NGIPS): HP TippingPoint
TippingPoint的主動式入侵防禦系統能夠阻止蠕蟲、病毒、木馬、拒絕服務攻擊、間諜軟體、VOIP攻擊以及點到點應用濫用。通過深達第七層的流量偵測，TippingPoint的入侵防禦系統在發生損失之前阻斷惡意流量。利用TippingPoint提供的數字疫苗服務，入侵防禦系統能得到及時的特徵、漏洞過濾器、協議異常過濾器和統計異常過濾器更新從而主動地防禦最新的攻擊。此外，TippingPoint的入侵防禦系統是目前能夠提供微秒級時延、高達5G的吞吐能力和帶寬管理能力的最強大的入侵防禦系統。
通過全面的數據包偵測，TippingPoint的入侵防禦系統提供吉比特速率上的應用、網路架構和性能保護功能。應用保護能力針對來自內部和外部的攻擊提供快速、精準、可靠的防護。由於具有網路架構保護能力，TippingPoint的入侵防禦系統保護VOIP系統、路由器、交換機、DNS和其他網路基礎免遭惡意攻擊和防止流量異動。TippingPoint的入侵防禦系統的性能保護能力幫助客戶來遏制非關鍵業務搶奪寶貴的帶寬和IT資源，從而確保網路資源的合理配置並保證關鍵業務的性能。

TippingPoint 應用情境：
1、網路忽快忽慢，不知原因2、經常AD lock，無法登入網域3、防火牆常被塞爆4、上微軟Patch(補丁)卻沒時間重開機5、希望虛擬化環境中，提供IPS保護6、希望管理上網行為

7. 什麼叫主機入侵防禦系統

投入使用的入侵預防系統按其用途進一步可以劃分為主機入侵預防系統（HIPS: Hostbased Intrusion Prevension System）和網路入侵預防系統（NIPS: Network Intrusion Prevension System）兩種類型。
網路入侵預防系統作為網路之間或網路組成部分之間的獨立的硬體設備，切斷交通，對過往包裹進行深層檢查，然後確定是否放行。網路入侵預防系統藉助病毒特徵和協議異常，阻止有害代碼傳播。有一些網路入侵預防系統還能夠跟蹤和標記對可疑代碼的回答，然後，看誰使用這些回答信息而請求連接，這樣就能更好地確認發生了入侵事件。
根據有害代碼通常潛伏於正常程序代碼中間、伺機運行的特點，單機入侵預防系統監視正常程序，比如Internet Explorer，Outlook，等等，在它們（確切地說，其實是它們所夾帶的有害代碼）向操作系統發出請求指令，改寫系統文件，建立對外連接時，進行有效阻止，從而保護網路中重要的單個機器設備，如伺服器、路由器、防火牆等等。這時，它不需要求助於已知病毒特徵和事先設定的安全規則。總地來說，單機入侵預防系統能使大部分鑽空子行為無法得逞。我們知道，入侵是指有害代碼首先到達目的地，然後干壞事。然而，即使它僥幸突破防火牆等各種防線，得以到達目的地，但是由於有了入侵預防系統，有害代碼最終還是無法起到它要起的作用，不能達到它要達到的目的。

目前市場上成熟的入侵預防系統產品很多，主要有如下幾種：
Reflex Security MG10（為高端Network Base IPS，資料吞吐量高達10GB）
Reflex Security Intrusion Prevention System
Cisco IPS 4200 Series Sensors (Cisco)
InterSpect 610 (CheckPoint)
FortiGate- 3600 (FortiNet)
Proventia G1000-400 (ISS)
NetScreen IDP 1000 (Juniper Networks)
UnityOne 1200 (TippingPoint, 3Com)
雖然它們在商業意義上都是已經充分成熟的產品，但是，至今卻還沒有一等一級的佼佼者。它們之間重要的差別大多數在於，有的偏於保守，只有它認為很重要的事件才採取行動; 有的則過於敏感，就象名人的保鏢一樣，把每件雞毛蒜皮的不正常小事 (event) 都當作攻擊的苗頭來看待(false positive)，給安全管理人員留下大量的事件記載。 在選購入侵預防系統時還應該注意，比如在網路傳輸量很大時，它能不能正常運行，對已經確認的攻擊能不能有效阻止，是不是方便使用，以及價格等等。盡量做到既不忽視它的作用，又要根據自己的需要，經過試用對比，仔細選取合適的產品。

8. 入侵防禦系統的介紹

入侵防禦系統（IPS）,位於防火牆和網路的設備之間，依靠對數據包的檢測進行防禦（檢查入網的數據包，確定數據包的真正用途，然後決定是否允許其進入內網）

9. 入侵防禦系統(IPS)和應用控制網關(ACG)區別

IPS是網路安全設備，而ACG是網路應用設備，它們幾乎沒有重疊的功能。