入侵防禦系統是一種什麼設備

① 入侵檢測系統的基本功能是什麼

入侵檢測系統的基本功能是對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。

與其他網路安全設備的不同之處便在於，入侵檢測系統是一種積極主動的安全防護技術。在很多中大型企業，政府機構，都會布有入侵檢測系統。假如防火牆是一幢大廈的門鎖，那麼入侵檢測系統就是這幢大廈里的監視系統。一旦小偷進入了大廈，或內部人員有越界行為，只有實時監視系統才能發現情況並發出警告。

專業上講入侵檢測系統就是依照一定的安全策略，對網路、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網路系統資源的機密性、完整性和可用性。與防火牆不同的是，入侵檢測系統是一個旁路監聽設備，沒有也不需要跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對入侵檢測系統的部署的唯一要求就是：入侵檢測系統應當掛接在所有所關注流量都必須流經的鏈路上。

(1)入侵防禦系統是一種什麼設備擴展閱讀

對各種事件進行分析，從中發現違反安全策略的行為是入侵檢測系統的核心功能。從技術上，入侵檢測分為兩類：一種基於標志，另一種基於異常情況。

對於基於標志的檢測技術來說，首先要定義違背安全策略的事件的特徵，如網路數據包的某些頭信息。檢測主要判別這類特徵是否在所收集到的數據中出現。此方法非常類似殺毒軟體。

而基於異常的檢測技術則是先定義一組系統「正常」情況的數值，如CPU利用率、內存利用率、文件校驗和等（這類數據可以人為定義，也可以通過觀察系統、並用統計的辦法得出），然後將系統運行時的數值與所定義的「正常」情況比較，得出是否有被攻擊的跡象。這種檢測方式的核心在於如何定義所謂的「正常」情況。

兩種檢測技術的方法、所得出的結論有非常大的差異。基於標志的檢測技術的核心是維護一個知識庫。對於已知的攻擊，它可以詳細、准確的報告出攻擊類型，但是對未知攻擊卻效果有限，而且知識庫必須不斷更新。基於異常的檢測技術則無法准確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發覺的攻擊。

② 入侵防禦系統的介紹

入侵防禦系統（IPS）,位於防火牆和網路的設備之間，依靠對數據包的檢測進行防禦（檢查入網的數據包，確定數據包的真正用途，然後決定是否允許其進入內網）

③ 典型入侵防禦系統的設備名稱與配置參數。怎麼辦

這類工具的名稱我都記不起來了，反正有好幾個。最後找到了1個溢出程序XP.——綜合管理，易用、易查：天清入侵防禦系統（System）支持向導式的策略配置管理，可

④ 入侵防禦系統(IPS)和應用控制網關(ACG)區別

IPS是網路安全設備，而ACG是網路應用設備，它們幾乎沒有重疊的功能。

⑤ 什麼是IPS（入侵防禦系統）

14px; BORDER-LEFT-WIDTH: 0px; PADDING-TOP: 0px">IPS（Intrusion Prevention System 入侵防禦系統）對於初始者來說，IPS位於防火牆和網路的設備之間。這樣，如果檢測到攻擊，IPS會在這種攻擊擴散到網路的其它地方之前阻止這個惡意的通信。
IDS只是存在於你的網路之外起到報警的作用，而不是在你的網路前面起到防禦的作用。
目前有很多種IPS系統
，它們使用的技術都不相同。但是，一般來說，IPS系統都依靠對數據包的檢測。IPS將檢查入網的數據包，確定這種數據包的真正用途，然後決定是否允許這種數據包進入你的網路。
IPS 的關鍵技術成份包括所合並的全球和本地主機訪問控制、IDS、全球和本地安全策略、風險管理軟體和支持全球訪問並用於管理 IPS 的控制台。如同 IDS 中一樣，IPS 中也需要降低假陽性或假陰性，它通常使用更為先進的侵入檢測技術，如試探式掃描、內容檢查、狀態和行為分析，同時還結合常規的侵入檢測技術如基於簽名的檢測和異常檢測。
同侵入檢測系統（IDS）一樣，IPS 系統分為基於主機和網路兩種類型。
基於主機的 IPS
基於主機的 IPS 依靠在被保護的系統中所直接安裝的代理。它與操作系統內核和服務緊密地捆綁在一起，監視並截取對內核或 API 的系統調用，以便達到阻止並記錄攻擊的作用。它也可以監視數據流和特定應用的環境（如網頁伺服器的文件位置和注冊條目），以便能夠保護該應用程序使之能夠避免那些還不存在簽名的、普通的攻擊。
基於網路的 IPS
基於網路的 IPS 綜合了標准 IDS 的功能，IDS 是 IPS 與防火牆的混合體，並可被稱為嵌入式 IDS 或網關 IDS（GIDS）。基於網路的 IPS 設備只能阻止通過該設備的惡意信息流。為了提高 IPS 設備的使用效率，必須採用強迫信息流通過該設備的方式。更為具體的來說，受保護的信息流必須代表著向聯網計算機系統或從中發出的數據，且在其中：
指定的網路領域中，需要高度的安全和保護。
該網路領域中存在極可能發生的內部爆發配置地址能夠有效地將網路劃分成最小的保護區域，並能夠提供最大范圍的有效覆蓋率。

⑥ 入侵防禦系統的系統介紹

全球最佳的新一代IPS (NGIPS): HP TippingPoint
TippingPoint的主動式入侵防禦系統能夠阻止蠕蟲、病毒、木馬、拒絕服務攻擊、間諜軟體、VOIP攻擊以及點到點應用濫用。通過深達第七層的流量偵測，TippingPoint的入侵防禦系統在發生損失之前阻斷惡意流量。利用TippingPoint提供的數字疫苗服務，入侵防禦系統能得到及時的特徵、漏洞過濾器、協議異常過濾器和統計異常過濾器更新從而主動地防禦最新的攻擊。此外，TippingPoint的入侵防禦系統是目前能夠提供微秒級時延、高達5G的吞吐能力和帶寬管理能力的最強大的入侵防禦系統。
通過全面的數據包偵測，TippingPoint的入侵防禦系統提供吉比特速率上的應用、網路架構和性能保護功能。應用保護能力針對來自內部和外部的攻擊提供快速、精準、可靠的防護。由於具有網路架構保護能力，TippingPoint的入侵防禦系統保護VOIP系統、路由器、交換機、DNS和其他網路基礎免遭惡意攻擊和防止流量異動。TippingPoint的入侵防禦系統的性能保護能力幫助客戶來遏制非關鍵業務搶奪寶貴的帶寬和IT資源，從而確保網路資源的合理配置並保證關鍵業務的性能。

TippingPoint 應用情境：
1、網路忽快忽慢，不知原因2、經常AD lock，無法登入網域3、防火牆常被塞爆4、上微軟Patch(補丁)卻沒時間重開機5、希望虛擬化環境中，提供IPS保護6、希望管理上網行為

⑦ 入侵防禦系統的特點及規格

TippingPoint 基於 ASIC 入侵檢測防禦引擎
UnityOne 無可比擬的性能、穩定性和准確率都是透過 TippingPoint 的工程師和科學家所開發的專利技術發展出來的。這些優勢展現於 TippingPoint 的 TSE 威脅防禦引擎（ Threat Suppression Engine ）上。 UnityOne 是由最新型的網路處理器技術組成的一個高度專業化的硬體式入侵檢測防禦平台。 TippingPoint 擁有整套自行開發的 FPGA (Layer 7) 及 Layer 4 (ASIC) 模塊。 TSE(威脅防禦引擎 ) 是一個能實現所有入侵檢測防禦所需要的全部功能的硬體線速引擎，主要功能包括 IP 碎片重組、 TCP 流重組、攻擊行為統計分析、網路流量帶寬管理、惡意封包阻擋、流量狀態追蹤和超過 170 種的應用層網路通訊協議分析。
TSE 重組與檢測數據包的內容並分析至網路的應用層。當每一個新的數據包隨著數據流到達 TSE 時，就會重新檢測這個數據流是否含有有害的內容，如果實時檢測出這個數據包含有害內容，那麼這個數據包以及隨後而來屬於這個數據流的數據包將會被阻擋。這樣可以正確地保證攻擊不會到達攻擊目的地。
這種領先的 IPS 技術只有結合高速的網路處理器及定製化的 ASIC 晶元才有可能實現。這種高度專業的流量分類技術可以使IPS 在具有千兆處理速度的同時處理延遲不到一微秒 (Latency under Microsecond) ，且具有高度的檢測和阻擋准確性。不像軟體式的或其它競爭對手宣稱擁有千兆處理速度的入侵防禦系統，其處理性能會受到 Filter 安裝多寡而受到嚴重的影響，同時處理延時卻高達數秒甚至數十秒之多。 UnityOne 具有高度擴充能力的硬體防護引擎可以允許上萬筆的 Filter 同時運行而不影響其性能與准確性。
UnityOne 運用 TSE 突破性的擴充性與高性能，實時偵測通訊協議異常與流量統計異常，防護 DDoS 攻擊以及阻擋或限制未經授權的應用程序的帶寬。

TippingPoint 三大入侵防禦功能
UnityOne 提供業界最完整的入侵偵測防禦功能，遠遠超出傳統 IPS 的能力。 TippingPoint 定義的三大入侵偵測防禦功能包括：應用程序防護、網路架構防護與性能保護。這三大功能可提供最強大且最完整的保護以防禦各種形式的網路攻擊行為，如：病毒、蠕蟲、拒絕服務攻擊與非法的入侵和訪問。
應用程序防護 -UnityOne 提供擴展至用戶端、伺服器、及第二至第七層的網路型攻擊防護，如：病毒、蠕蟲與木馬程序。利用深層檢測應用層數據包的技術， UnityOne 可以分辨出合法與有害的封包內容。最新型的攻擊可以透過偽裝成合法應用的技術，輕易的穿透防火牆。而 UnityOne 運用重組 TCP 流量以檢視應用層數據包內容的方式，以辨識合法與惡意的數據流。大部分的入侵防禦系統都是針對已知的攻擊進行防禦，然而 UnityOne 運用漏洞基礎的過濾機制，可以防範所有已知與未知形式的攻擊。
網路架構防護 - 路由器、交換器、 DNS 伺服器以及防火牆都是有可能被攻擊的網路設備，如果這些網路設備被攻擊導致停機，那麼所有企業中的關鍵應用程序也會隨之停擺。而 UnityOne 的網路架構防護機制提供了一系列的網路漏洞過濾器以保護網路設備免於遭受攻擊。此外， UnityOne 也提供異常流量統計機制的過濾器，對於超過 」 基準線 」 的正常網路流量，可以針對其通訊協議或應用程序特性來進行警示、限制流量或阻絕流量等行動。如此一來可以預防 DDoS 及其它溢出式流量攻擊所造成的網路斷線或阻塞。
性能保護 - 是用來保護網路帶寬及主機性能，免於被非法的應用程序佔用正常的網路性能。如果網路鏈路壅塞，那麼重要的應用程序數據將無法在網路上傳輸。非商用的應用程序，如點對點文檔共享 (P2P) 應用 或實時通訊軟體 (IM) 將會快速的耗盡網路的帶寬，因此 UnityOne 提供帶寬保護 (Traffic / Rate Shaping) 的功能，協助企業仔細的辨識出非法使用的應用程序流量並降低或限制其帶寬的使用量。


TippingPoint 三大入侵偵測防禦機制
TippingPoint 的 UnityOne IPS 產品線可同時運作三個獨立但互補的入侵偵測防禦機制：弱點過濾器，攻擊特徵過濾器和流量異常過濾器。 TippingPoint 可以同時運作這三個機制的能力就是來自於這組特別開發的 ASIC 。
弱點過濾器 主要是保護操作系統與應用程序。這種過濾器行為就像是一種網路型的虛擬軟體補丁程序，保護主機免於遭受利用未修補的漏洞來進行的網路型攻擊。新的漏洞一旦發現開始被駭客攻擊利用，弱點過濾器就會被實時啟動，進行漏洞保護。這個過濾機制的運作模式是重組第七層的信息，從而可以完整地檢測應用層的流量。過濾規則可以指定特別的條件，如檢測應用程序的運作流程（如：緩沖區溢出的應用程序異常）或通訊協議的規范（如： RFC 異常）。
流量異常過濾器 是用來偵測在流量模式方面的變化。 這些過濾機制可以調整與學習 UnityOne 所在的特別環境中「正常流量 」 的模式。一旦正常流量被設定為基準，這些過濾機制將依據可調整的門限閥值來偵測統計異常的網路流量。流量異常過濾機制可以有效的阻擋分布式的阻斷服務的攻擊 (DDOS) 、未知的蠕蟲、異常的應用程序流量與其它零時差閃電攻擊。此外 UnityOne 一個重要的特殊功能是可以依據應用程序的種類、通訊協議與 IP 進行最合適網路流量分配。
攻擊特徵過濾器 主要是針對不需要利用安全漏洞的攻擊方式，如病毒或木馬。這個過濾方式必須全盤了解已知攻擊的特徵，且可以偵測並製作出防禦的特徵資料庫。目前 TippingPoint 擁有一個專業團隊 7X24 全年無休地分析來自於全球的各種攻擊威脅，並與 SANS 、 CERT 、 SECURITEAM 等知名的信息安全團隊合作，在第一時間透過在線更新，讓全球每個角落的 UnityOne 配備最新的攻擊特徵資料庫。
TippingPoing 數字疫苗在線更新機制
蘇州眾里數碼會和HP在企業信息安全這塊一起努力。在每周提供 SANS 漏洞分析的同時， TippingPoint 的安全團隊也同步製作出針對漏洞的過濾器資料庫並混入到數字疫苗（ Digital Vaccines ）中，數字疫苗不只針對特定的攻擊製作過濾器，還包括對變種攻擊與零時差閃電攻擊進行阻擋。為了擁有最大的安全涵蓋范圍，數字疫苗除了每周定時在線更新過濾器資料庫外，並隨時對有嚴重威脅的漏洞或攻擊生成新的過濾器，數字疫苗也會自動地部署新的過濾器至全球的 UnityOne IPS 上。
為了防禦最新的弱點與攻擊，最新的過濾器會持續的更新至 IPS 上。每一條過濾都可以被視為網路上的虛擬軟體補丁程序，以保護內部的主機免於被攻擊。任何企圖運用於特定漏洞的有害流量將會被實時偵測與阻擋。換句話說，這個方式就是運用一個虛擬的修丁程序來保護上千個未修補漏洞的系統。
TippingPoint 的安全專家是被世界公認的，全球超過二十五萬個安全管理者及專家都訂閱了 TippingPoint 所編輯的SAN @RISK 分析報告。相同的分析也運用到數字疫苗的開發上，優先製作出保護 TippingPoint 客戶的最佳過濾器。
TippingPoint 擁有最完整的可靠性機制
UnityOne 的設計理念是，無論是網路發生什麼故障、設備內部與系統發生什麼錯誤、甚至設備完全失去電源，保證網路永不斷線、並保證維持線速的運作。 UnityOne 運用系統內部備份機制與網路狀態備份機制，並相互補充的模式來確保最大的網路可用性。
UnityOne 有多種內建的備份機制：一、所有的設備都具有兩個相互備份，可熱插拔的電源適配器。二、看門狗計時器（watchdog timers ）會持續的監控安全與管理引擎，一旦系統錯誤被偵測到， UnityOne 可以自動或手動的切換成 Layer 2的設備，確保網路不斷線。此外， TippingPoint 還提供了一個外接式電源適配器（ Zero Power High Availability ），當整個機房或數據中心失去電源時，所有的流量會自動切換 (Power Bypass) 由這個設備運作。

⑧ 入侵防護系統(IPS)的原理

IPS原理

防火牆是實施訪問控制策略的系統，對流經的網路流量進行檢查，攔截不符合安全策略的數據包。入侵檢測技術(IDS)通過監視網路或系統資源，尋找違反安全策略的行為或攻擊跡象，並發出報警。傳統的防火牆旨在拒絕那些明顯可疑的網路流量，但仍然允許某些流量通過，因此防火牆對於很多入侵攻擊仍然無計可施。絕大多數 IDS 系統都是被動的，而不是主動的。也就是說，在攻擊實際發生之前，它們往往無法預先發出警報。而IPS則傾向於提供主動防護，其設計宗旨是預先對入侵活動和攻擊性網路流量進行攔截，避免其造成損失，而不是簡單地在惡意流量傳送時或傳送後才發出警報。IPS 是通過直接嵌入到網路流量中實現這一功能的，即通過一個網路埠接收來自外部系統的流量，經過檢查確認其中不包含異常活動或可疑內容後，再通過另外一個埠將它傳送到內部系統中。這樣一來，有問題的數據包，以及所有來自同一數據流的後續數據包，都能在IPS設備中被清除掉。

IPS工作原理

IPS實現實時檢查和阻止入侵的原理在於IPS擁有數目眾多的過濾器，能夠防止各種攻擊。當新的攻擊手段被發現之後，IPS就會創建一個新的過濾器。IPS數據包處理引擎是專業化定製的集成電路，可以深層檢查數據包的內容。如果有攻擊者利用Layer 2(介質訪問控制)至Layer 7(應用)的漏洞發起攻擊，IPS能夠從數據流中檢查出這些攻擊並加以阻止。傳統的防火牆只能對Layer 3或Layer 4進行檢查，不能檢測應用層的內容。防火牆的包過濾技術不會針對每一位元組進行檢查，因而也就無法發現攻擊活動，而IPS可以做到逐一位元組地檢查數據包。所有流經IPS的數據包都被分類，分類的依據是數據包中的報頭信息，如源IP地址和目的IP地址、埠號和應用域。每種過濾器負責分析相對應的數據包。通過檢查的數據包可以繼續前進，包含惡意內容的數據包就會被丟棄，被懷疑的數據包需要接受進一步的檢查。

針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設有相應的過濾規則，為了確保准確性，這些規則的定義非常廣泛。在對傳輸內容進行分類時，過濾引擎還需要參照數據包的信息參數，並將其解析至一個有意義的域中進行上下文分析，以提高過濾准確性。

過濾器引擎集合了流水和大規模並行處理硬體，能夠同時執行數千次的數據包過濾檢查。並行過濾處理可以確保數據包能夠不間斷地快速通過系統，不會對速度造成影響。這種硬體加速技術對於IPS具有重要意義，因為傳統的軟體解決方案必須串列進行過濾檢查，會導致系統性能大打折扣。

IPS的種類

* 基於主機的入侵防護(HIPS)

HIPS通過在主機/伺服器上安裝軟體代理程序，防止網路攻擊入侵操作系統以及應用程序。基於主機的入侵防護能夠保護伺服器的安全弱點不被不法分子所利用。Cisco公司的Okena、NAI公司的McAfee Entercept、冠群金辰的龍淵伺服器核心防護都屬於這類產品，因此它們在防範紅色代碼和Nimda的攻擊中，起到了很好的防護作用。基於主機的入侵防護技術可以根據自定義的安全策略以及分析學習機制來阻斷對伺服器、主機發起的惡意入侵。HIPS可以阻斷緩沖區溢出、改變登錄口令、改寫動態鏈接庫以及其他試圖從操作系統奪取控制權的入侵行為，整體提升主機的安全水平。

在技術上，HIPS採用獨特的伺服器保護途徑，利用由包過濾、狀態包檢測和實時入侵檢測組成分層防護體系。這種體系能夠在提供合理吞吐率的前提下，最大限度地保護伺服器的敏感內容，既可以以軟體形式嵌入到應用程序對操作系統的調用當中，通過攔截針對操作系統的可疑調用，提供對主機的安全防護;也可以以更改操作系統內核程序的方式，提供比操作系統更加嚴謹的安全控制機制。

由於HIPS工作在受保護的主機/伺服器上，它不但能夠利用特徵和行為規則檢測，阻止諸如緩沖區溢出之類的已知攻擊，還能夠防範未知攻擊，防止針對Web頁面、應用和資源的未授權的任何非法訪問。HIPS與具體的主機/伺服器操作系統平台緊密相關，不同的平台需要不同的軟體代理程序。

* 基於網路的入侵防護(NIPS)

NIPS通過檢測流經的網路流量，提供對網路系統的安全保護。由於它採用在線連接方式，所以一旦辨識出入侵行為，NIPS就可以去除整個網路會話，而不僅僅是復位會話。同樣由於實時在線，NIPS需要具備很高的性能，以免成為網路的瓶頸，因此NIPS通常被設計成類似於交換機的網路設備，提供線速吞吐速率以及多個網路埠。

NIPS必須基於特定的硬體平台，才能實現千兆級網路流量的深度數據包檢測和阻斷功能。這種特定的硬體平台通常可以分為三類：一類是網路處理器(網路晶元)，一類是專用的FPGA編程晶元，第三類是專用的ASIC晶元。

在技術上，NIPS吸取了目前NIDS所有的成熟技術，包括特徵匹配、協議分析和異常檢測。特徵匹配是最廣泛應用的技術，具有準確率高、速度快的特點。基於狀態的特徵匹配不但檢測攻擊行為的特徵，還要檢查當前網路的會話狀態，避免受到欺騙攻擊。

協議分析是一種較新的入侵檢測技術，它充分利用網路協議的高度有序性，並結合高速數據包捕捉和協議分析，來快速檢測某種攻擊特徵。協議分析正在逐漸進入成熟應用階段。協議分析能夠理解不同協議的工作原理，以此分析這些協議的數據包，來尋找可疑或不正常的訪問行為。協議分析不僅僅基於協議標准(如RFC)，還基於協議的具體實現，這是因為很多協議的實現偏離了協議標准。通過協議分析，IPS能夠針對插入(Insertion)與規避(Evasion)攻擊進行檢測。異常檢測的誤報率比較高，NIPS不將其作為主要技術。

* 應用入侵防護(AIP)

NIPS產品有一個特例，即應用入侵防護(Application Intrusion Prevention，AIP)，它把基於主機的入侵防護擴展成為位於應用伺服器之前的網路設備。AIP被設計成一種高性能的設備，配置在應用數據的網路鏈路上，以確保用戶遵守設定好的安全策略，保護伺服器的安全。NIPS工作在網路上，直接對數據包進行檢測和阻斷，與具體的主機/伺服器操作系統平台無關。

NIPS的實時檢測與阻斷功能很有可能出現在未來的交換機上。隨著處理器性能的提高，每一層次的交換機都有可能集成入侵防護功能。

IPS技術特徵

嵌入式運行：只有以嵌入模式運行的 IPS 設備才能夠實現實時的安全防護，實時阻攔所有可疑的數據包，並對該數據流的剩餘部分進行攔截。

深入分析和控制：IPS必須具有深入分析能力，以確定哪些惡意流量已經被攔截，根據攻擊類型、策略等來確定哪些流量應該被攔截。

入侵特徵庫：高質量的入侵特徵庫是IPS高效運行的必要條件，IPS還應該定期升級入侵特徵庫，並快速應用到所有感測器。

高效處理能力：IPS必須具有高效處理數據包的能力，對整個網路性能的影響保持在最低水平。

IPS面臨的挑戰

IPS 技術需要面對很多挑戰，其中主要有三點：一是單點故障，二是性能瓶頸，三是誤報和漏報。設計要求IPS必須以嵌入模式工作在網路中，而這就可能造成瓶頸問題或單點故障。如果IDS 出現故障，最壞的情況也就是造成某些攻擊無法被檢測到，而嵌入式的IPS設備出現問題，就會嚴重影響網路的正常運轉。如果IPS出現故障而關閉，用戶就會面對一個由IPS造成的拒絕服務問題，所有客戶都將無法訪問企業網路提供的應用。

即使 IPS 設備不出現故障，它仍然是一個潛在的網路瓶頸，不僅會增加滯後時間，而且會降低網路的效率，IPS必須與數千兆或者更大容量的網路流量保持同步，尤其是當載入了數量龐大的檢測特徵庫時，設計不夠完善的 IPS 嵌入設備無法支持這種響應速度。絕大多數高端 IPS 產品供應商都通過使用自定義硬體(FPGA、網路處理器和ASIC晶元)來提高IPS的運行效率。

誤報率和漏報率也需要IPS認真面對。在繁忙的網路當中，如果以每秒需要處理十條警報信息來計算，IPS每小時至少需要處理 36,000 條警報，一天就是 864,000 條。一旦生成了警報，最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特徵編寫得不是十分完善，那麼"誤報"就有了可乘之機，導致合法流量也有可能被意外攔截。對於實時在線的IPS來說，一旦攔截了"攻擊性"數據包，就會對來自可疑攻擊者的所有數據流進行攔截。如果觸發了誤報警報的流量恰好是某個客戶訂單的一部分，其結果可想而知，這個客戶整個會話就會被關閉，而且此後該客戶所有重新連接到企業網路的合法訪問都會被"盡職盡責"的IPS攔截。

IPS廠商採用各種方式加以解決。一是綜合採用多種檢測技術，二是採用專用硬體加速系統來提高IPS的運行效率。盡管如此，為了避免IPS重蹈IDS覆轍，廠商對IPS的態度還是十分謹慎的。例如，NAI提供的基於網路的入侵防護設備提供多種接入模式，其中包括旁路接入方式，在這種模式下運行的IPS實際上就是一台純粹的IDS設備，NAI希望提供可選擇的接入方式來幫助用戶實現從旁路監聽向實時阻止攻擊的自然過渡。

IPS的不足並不會成為阻止人們使用IPS的理由，因為安全功能的融合是大勢所趨，入侵防護順應了這一潮流。對於用戶而言，在廠商提供技術支持的條件下，有選擇地採用IPS，仍不失為一種應對攻擊的理想選擇。

⑨ 典型入侵防禦系統的設備名稱與配置參數

這些工具的名稱我都記不起來了，反正有好幾個。最後找到了一個溢出程序XP.——綜合管理，易用、易查：天清入侵防禦系統支持向導式的策略配置管理，可

⑩ 什麼叫主機入侵防禦系統

投入使用的入侵預防系統按其用途進一步可以劃分為主機入侵預防系統（HIPS: Hostbased Intrusion Prevension System）和網路入侵預防系統（NIPS: Network Intrusion Prevension System）兩種類型。
網路入侵預防系統作為網路之間或網路組成部分之間的獨立的硬體設備，切斷交通，對過往包裹進行深層檢查，然後確定是否放行。網路入侵預防系統藉助病毒特徵和協議異常，阻止有害代碼傳播。有一些網路入侵預防系統還能夠跟蹤和標記對可疑代碼的回答，然後，看誰使用這些回答信息而請求連接，這樣就能更好地確認發生了入侵事件。
根據有害代碼通常潛伏於正常程序代碼中間、伺機運行的特點，單機入侵預防系統監視正常程序，比如Internet Explorer，Outlook，等等，在它們（確切地說，其實是它們所夾帶的有害代碼）向操作系統發出請求指令，改寫系統文件，建立對外連接時，進行有效阻止，從而保護網路中重要的單個機器設備，如伺服器、路由器、防火牆等等。這時，它不需要求助於已知病毒特徵和事先設定的安全規則。總地來說，單機入侵預防系統能使大部分鑽空子行為無法得逞。我們知道，入侵是指有害代碼首先到達目的地，然後干壞事。然而，即使它僥幸突破防火牆等各種防線，得以到達目的地，但是由於有了入侵預防系統，有害代碼最終還是無法起到它要起的作用，不能達到它要達到的目的。

目前市場上成熟的入侵預防系統產品很多，主要有如下幾種：
Reflex Security MG10（為高端Network Base IPS，資料吞吐量高達10GB）
Reflex Security Intrusion Prevention System
Cisco IPS 4200 Series Sensors (Cisco)
InterSpect 610 (CheckPoint)
FortiGate- 3600 (FortiNet)
Proventia G1000-400 (ISS)
NetScreen IDP 1000 (Juniper Networks)
UnityOne 1200 (TippingPoint, 3Com)
雖然它們在商業意義上都是已經充分成熟的產品，但是，至今卻還沒有一等一級的佼佼者。它們之間重要的差別大多數在於，有的偏於保守，只有它認為很重要的事件才採取行動; 有的則過於敏感，就象名人的保鏢一樣，把每件雞毛蒜皮的不正常小事 (event) 都當作攻擊的苗頭來看待(false positive)，給安全管理人員留下大量的事件記載。 在選購入侵預防系統時還應該注意，比如在網路傳輸量很大時，它能不能正常運行，對已經確認的攻擊能不能有效阻止，是不是方便使用，以及價格等等。盡量做到既不忽視它的作用，又要根據自己的需要，經過試用對比，仔細選取合適的產品。