入侵防御系统是一种什么设备

1. 什么是IPS（入侵防御系统）

14px; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px">IPS（Intrusion Prevention System 入侵防御系统）对于初始者来说，IPS位于防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。
IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。
目前有很多种IPS系统
，它们使用的技术都不相同。但是，一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。
IPS 的关键技术成份包括所合并的全球和本地主机访问控制、IDS、全球和本地安全策略、风险管理软件和支持全球访问并用于管理 IPS 的控制台。如同 IDS 中一样，IPS 中也需要降低假阳性或假阴性，它通常使用更为先进的侵入检测技术，如试探式扫描、内容检查、状态和行为分析，同时还结合常规的侵入检测技术如基于签名的检测和异常检测。
同侵入检测系统（IDS）一样，IPS 系统分为基于主机和网络两种类型。
基于主机的 IPS
基于主机的 IPS 依靠在被保护的系统中所直接安装的代理。它与操作系统内核和服务紧密地捆绑在一起，监视并截取对内核或 API 的系统调用，以便达到阻止并记录攻击的作用。它也可以监视数据流和特定应用的环境（如网页服务器的文件位置和注册条目），以便能够保护该应用程序使之能够避免那些还不存在签名的、普通的攻击。
基于网络的 IPS
基于网络的 IPS 综合了标准 IDS 的功能，IDS 是 IPS 与防火墙的混合体，并可被称为嵌入式 IDS 或网关 IDS（GIDS）。基于网络的 IPS 设备只能阻止通过该设备的恶意信息流。为了提高 IPS 设备的使用效率，必须采用强迫信息流通过该设备的方式。更为具体的来说，受保护的信息流必须代表着向联网计算机系统或从中发出的数据，且在其中：
指定的网络领域中，需要高度的安全和保护。
该网络领域中存在极可能发生的内部爆发配置地址能够有效地将网络划分成最小的保护区域，并能够提供最大范围的有效覆盖率。

2. 典型入侵防御系统的设备名称与配置参数

这些工具的名称我都记不起来了，反正有好几个。最后找到了一个溢出程序XP.——综合管理，易用、易查：天清入侵防御系统支持向导式的策略配置管理，可

3. 入侵报警系统包括哪些设备组成

前端采集设备（红外对射/双肩探测器等）
传输设备（同轴线缆/网线/光纤等）
管理设备（报警主机/管理主机等）
显示设备（LED/警灯等）

4. 入侵防御系统的特点及规格

TippingPoint 基于 ASIC 入侵检测防御引擎
UnityOne 无可比拟的性能、稳定性和准确率都是透过 TippingPoint 的工程师和科学家所开发的专利技术发展出来的。这些优势展现于 TippingPoint 的 TSE 威胁防御引擎（ Threat Suppression Engine ）上。 UnityOne 是由最新型的网络处理器技术组成的一个高度专业化的硬件式入侵检测防御平台。 TippingPoint 拥有整套自行开发的 FPGA (Layer 7) 及 Layer 4 (ASIC) 模块。 TSE(威胁防御引擎 ) 是一个能实现所有入侵检测防御所需要的全部功能的硬件线速引擎，主要功能包括 IP 碎片重组、 TCP 流重组、攻击行为统计分析、网络流量带宽管理、恶意封包阻挡、流量状态追踪和超过 170 种的应用层网络通讯协议分析。
TSE 重组与检测数据包的内容并分析至网络的应用层。当每一个新的数据包随着数据流到达 TSE 时，就会重新检测这个数据流是否含有有害的内容，如果实时检测出这个数据包含有害内容，那么这个数据包以及随后而来属于这个数据流的数据包将会被阻挡。这样可以正确地保证攻击不会到达攻击目的地。
这种领先的 IPS 技术只有结合高速的网络处理器及定制化的 ASIC 芯片才有可能实现。这种高度专业的流量分类技术可以使IPS 在具有千兆处理速度的同时处理延迟不到一微秒 (Latency under Microsecond) ，且具有高度的检测和阻挡准确性。不像软件式的或其它竞争对手宣称拥有千兆处理速度的入侵防御系统，其处理性能会受到 Filter 安装多寡而受到严重的影响，同时处理延时却高达数秒甚至数十秒之多。 UnityOne 具有高度扩充能力的硬件防护引擎可以允许上万笔的 Filter 同时运行而不影响其性能与准确性。
UnityOne 运用 TSE 突破性的扩充性与高性能，实时侦测通讯协议异常与流量统计异常，防护 DDoS 攻击以及阻挡或限制未经授权的应用程序的带宽。

TippingPoint 三大入侵防御功能
UnityOne 提供业界最完整的入侵侦测防御功能，远远超出传统 IPS 的能力。 TippingPoint 定义的三大入侵侦测防御功能包括：应用程序防护、网络架构防护与性能保护。这三大功能可提供最强大且最完整的保护以防御各种形式的网络攻击行为，如：病毒、蠕虫、拒绝服务攻击与非法的入侵和访问。
应用程序防护 -UnityOne 提供扩展至用户端、服务器、及第二至第七层的网络型攻击防护，如：病毒、蠕虫与木马程序。利用深层检测应用层数据包的技术， UnityOne 可以分辨出合法与有害的封包内容。最新型的攻击可以透过伪装成合法应用的技术，轻易的穿透防火墙。而 UnityOne 运用重组 TCP 流量以检视应用层数据包内容的方式，以辨识合法与恶意的数据流。大部分的入侵防御系统都是针对已知的攻击进行防御，然而 UnityOne 运用漏洞基础的过滤机制，可以防范所有已知与未知形式的攻击。
网络架构防护 - 路由器、交换器、 DNS 服务器以及防火墙都是有可能被攻击的网络设备，如果这些网络设备被攻击导致停机，那么所有企业中的关键应用程序也会随之停摆。而 UnityOne 的网络架构防护机制提供了一系列的网络漏洞过滤器以保护网络设备免于遭受攻击。此外， UnityOne 也提供异常流量统计机制的过滤器，对于超过 ” 基准线 ” 的正常网络流量，可以针对其通讯协议或应用程序特性来进行警示、限制流量或阻绝流量等行动。如此一来可以预防 DDoS 及其它溢出式流量攻击所造成的网络断线或阻塞。
性能保护 - 是用来保护网络带宽及主机性能，免于被非法的应用程序占用正常的网络性能。如果网络链路壅塞，那么重要的应用程序数据将无法在网络上传输。非商用的应用程序，如点对点文档共享 (P2P) 应用 或实时通讯软件 (IM) 将会快速的耗尽网络的带宽，因此 UnityOne 提供带宽保护 (Traffic / Rate Shaping) 的功能，协助企业仔细的辨识出非法使用的应用程序流量并降低或限制其带宽的使用量。


TippingPoint 三大入侵侦测防御机制
TippingPoint 的 UnityOne IPS 产品线可同时运作三个独立但互补的入侵侦测防御机制：弱点过滤器，攻击特征过滤器和流量异常过滤器。 TippingPoint 可以同时运作这三个机制的能力就是来自于这组特别开发的 ASIC 。
弱点过滤器 主要是保护操作系统与应用程序。这种过滤器行为就像是一种网络型的虚拟软件补丁程序，保护主机免于遭受利用未修补的漏洞来进行的网络型攻击。新的漏洞一旦发现开始被骇客攻击利用，弱点过滤器就会被实时启动，进行漏洞保护。这个过滤机制的运作模式是重组第七层的信息，从而可以完整地检测应用层的流量。过滤规则可以指定特别的条件，如检测应用程序的运作流程（如：缓冲区溢出的应用程序异常）或通讯协议的规范（如： RFC 异常）。
流量异常过滤器 是用来侦测在流量模式方面的变化。 这些过滤机制可以调整与学习 UnityOne 所在的特别环境中“正常流量 ” 的模式。一旦正常流量被设定为基准，这些过滤机制将依据可调整的门限阀值来侦测统计异常的网络流量。流量异常过滤机制可以有效的阻挡分布式的阻断服务的攻击 (DDOS) 、未知的蠕虫、异常的应用程序流量与其它零时差闪电攻击。此外 UnityOne 一个重要的特殊功能是可以依据应用程序的种类、通讯协议与 IP 进行最合适网络流量分配。
攻击特征过滤器 主要是针对不需要利用安全漏洞的攻击方式，如病毒或木马。这个过滤方式必须全盘了解已知攻击的特征，且可以侦测并制作出防御的特征数据库。目前 TippingPoint 拥有一个专业团队 7X24 全年无休地分析来自于全球的各种攻击威胁，并与 SANS 、 CERT 、 SECURITEAM 等知名的信息安全团队合作，在第一时间透过在线更新，让全球每个角落的 UnityOne 配备最新的攻击特征数据库。
TippingPoing 数字疫苗在线更新机制
苏州众里数码会和HP在企业信息安全这块一起努力。在每周提供 SANS 漏洞分析的同时， TippingPoint 的安全团队也同步制作出针对漏洞的过滤器数据库并混入到数字疫苗（ Digital Vaccines ）中，数字疫苗不只针对特定的攻击制作过滤器，还包括对变种攻击与零时差闪电攻击进行阻挡。为了拥有最大的安全涵盖范围，数字疫苗除了每周定时在线更新过滤器数据库外，并随时对有严重威胁的漏洞或攻击生成新的过滤器，数字疫苗也会自动地部署新的过滤器至全球的 UnityOne IPS 上。
为了防御最新的弱点与攻击，最新的过滤器会持续的更新至 IPS 上。每一条过滤都可以被视为网络上的虚拟软件补丁程序，以保护内部的主机免于被攻击。任何企图运用于特定漏洞的有害流量将会被实时侦测与阻挡。换句话说，这个方式就是运用一个虚拟的修丁程序来保护上千个未修补漏洞的系统。
TippingPoint 的安全专家是被世界公认的，全球超过二十五万个安全管理者及专家都订阅了 TippingPoint 所编辑的SAN @RISK 分析报告。相同的分析也运用到数字疫苗的开发上，优先制作出保护 TippingPoint 客户的最佳过滤器。
TippingPoint 拥有最完整的可靠性机制
UnityOne 的设计理念是，无论是网络发生什么故障、设备内部与系统发生什么错误、甚至设备完全失去电源，保证网络永不断线、并保证维持线速的运作。 UnityOne 运用系统内部备份机制与网络状态备份机制，并相互补充的模式来确保最大的网络可用性。
UnityOne 有多种内建的备份机制：一、所有的设备都具有两个相互备份，可热插拔的电源适配器。二、看门狗计时器（watchdog timers ）会持续的监控安全与管理引擎，一旦系统错误被侦测到， UnityOne 可以自动或手动的切换成 Layer 2的设备，确保网络不断线。此外， TippingPoint 还提供了一个外接式电源适配器（ Zero Power High Availability ），当整个机房或数据中心失去电源时，所有的流量会自动切换 (Power Bypass) 由这个设备运作。

5. 典型入侵防御系统的设备名称与配置参数。怎么办

这类工具的名称我都记不起来了，反正有好几个。最后找到了1个溢出程序XP.——综合管理，易用、易查：天清入侵防御系统（System）支持向导式的策略配置管理，可

6. 入侵防御系统的系统介绍

全球最佳的新一代IPS (NGIPS): HP TippingPoint
TippingPoint的主动式入侵防御系统能够阻止蠕虫、病毒、木马、拒绝服务攻击、间谍软件、VOIP攻击以及点到点应用滥用。通过深达第七层的流量侦测，TippingPoint的入侵防御系统在发生损失之前阻断恶意流量。利用TippingPoint提供的数字疫苗服务，入侵防御系统能得到及时的特征、漏洞过滤器、协议异常过滤器和统计异常过滤器更新从而主动地防御最新的攻击。此外，TippingPoint的入侵防御系统是目前能够提供微秒级时延、高达5G的吞吐能力和带宽管理能力的最强大的入侵防御系统。
通过全面的数据包侦测，TippingPoint的入侵防御系统提供吉比特速率上的应用、网络架构和性能保护功能。应用保护能力针对来自内部和外部的攻击提供快速、精准、可靠的防护。由于具有网络架构保护能力，TippingPoint的入侵防御系统保护VOIP系统、路由器、交换机、DNS和其他网络基础免遭恶意攻击和防止流量异动。TippingPoint的入侵防御系统的性能保护能力帮助客户来遏制非关键业务抢夺宝贵的带宽和IT资源，从而确保网路资源的合理配置并保证关键业务的性能。

TippingPoint 应用情境：
1、网络忽快忽慢，不知原因2、经常AD lock，无法登入网域3、防火墙常被塞爆4、上微软Patch(补丁)却没时间重开机5、希望虚拟化环境中，提供IPS保护6、希望管理上网行为

7. 什么叫主机入侵防御系统

投入使用的入侵预防系统按其用途进一步可以划分为主机入侵预防系统（HIPS: Hostbased Intrusion Prevension System）和网络入侵预防系统（NIPS: Network Intrusion Prevension System）两种类型。
网络入侵预防系统作为网络之间或网络组成部分之间的独立的硬件设备，切断交通，对过往包裹进行深层检查，然后确定是否放行。网络入侵预防系统借助病毒特征和协议异常，阻止有害代码传播。有一些网络入侵预防系统还能够跟踪和标记对可疑代码的回答，然后，看谁使用这些回答信息而请求连接，这样就能更好地确认发生了入侵事件。
根据有害代码通常潜伏于正常程序代码中间、伺机运行的特点，单机入侵预防系统监视正常程序，比如Internet Explorer，Outlook，等等，在它们（确切地说，其实是它们所夹带的有害代码）向操作系统发出请求指令，改写系统文件，建立对外连接时，进行有效阻止，从而保护网络中重要的单个机器设备，如服务器、路由器、防火墙等等。这时，它不需要求助于已知病毒特征和事先设定的安全规则。总地来说，单机入侵预防系统能使大部分钻空子行为无法得逞。我们知道，入侵是指有害代码首先到达目的地，然后干坏事。然而，即使它侥幸突破防火墙等各种防线，得以到达目的地，但是由于有了入侵预防系统，有害代码最终还是无法起到它要起的作用，不能达到它要达到的目的。

目前市场上成熟的入侵预防系统产品很多，主要有如下几种：
Reflex Security MG10（为高端Network Base IPS，资料吞吐量高达10GB）
Reflex Security Intrusion Prevention System
Cisco IPS 4200 Series Sensors (Cisco)
InterSpect 610 (CheckPoint)
FortiGate- 3600 (FortiNet)
Proventia G1000-400 (ISS)
NetScreen IDP 1000 (Juniper Networks)
UnityOne 1200 (TippingPoint, 3Com)
虽然它们在商业意义上都是已经充分成熟的产品，但是，至今却还没有一等一级的佼佼者。它们之间重要的差别大多数在于，有的偏于保守，只有它认为很重要的事件才采取行动; 有的则过于敏感，就象名人的保镖一样，把每件鸡毛蒜皮的不正常小事 (event) 都当作攻击的苗头来看待(false positive)，给安全管理人员留下大量的事件记载。 在选购入侵预防系统时还应该注意，比如在网络传输量很大时，它能不能正常运行，对已经确认的攻击能不能有效阻止，是不是方便使用，以及价格等等。尽量做到既不忽视它的作用，又要根据自己的需要，经过试用对比，仔细选取合适的产品。

8. 入侵防御系统的介绍

入侵防御系统（IPS）,位于防火墙和网络的设备之间，依靠对数据包的检测进行防御（检查入网的数据包，确定数据包的真正用途，然后决定是否允许其进入内网）

9. 入侵防御系统(IPS)和应用控制网关(ACG)区别

IPS是网络安全设备，而ACG是网络应用设备，它们几乎没有重叠的功能。