McAfee臺灣區技術顧問沈志明認為，應善用不同IPS解決方案的特性，才能同時保護網路和端點。企業在選購IPS產品的時候，不妨可以針對廠商背景，像是從網路產品的角度切入，或者是從資安廠商的本位出發，以及實際的技術能力進行了解。 文/楊啟倫 (記者)

沈志明
McAfee臺灣區技術顧問，專長是企業資安專案規畫、建置以及顧問服務，網路入侵偵測規畫與服務，以及風險管理專業企畫。個人擁有CISSP、Security+，以及MCSE等證照。

IPS（Intrusion Prevention System，入侵防禦系統）是企業防禦網路攻擊的基本配備之一，它的功能主要是用來檢測網路流量當中，是否夾雜可能存在的惡意封包，並且阻斷傳輸。

就型態而言，IPS產品可以分做兩種，一種是安裝在使用者電腦上的主機型IPS軟體，而另外一種則是放置在網路骨幹上用來監控所有進出流量的網路型IPS設備。

至於如何導入IPS才能收到良好的防護效果，McAfee臺灣區技術顧問沈志明認為，應善用不同IPS解決方案的特性，讓它們適得其所，才能同時保護網路和端點安全。

問：當企業部署了網路型IPS設備之後，是否仍有需要在使用者電腦安裝主機型的IPS產品做為第二道防線？

答：其實這和前幾年企業在採購防毒牆時所遇到的問題相似，由於許多威脅是來自於內部，不管是有意還是無意。
許多企業購買網路型IPS之後，通常是擺在網路流量的出入口，而不是部署在內部網路。在這種情況下，如果使用者電腦沒有對應的防禦，那麼企業只能防禦由外而內的威脅，因此主機型IPS軟體有它的必要性。

雖然都是IPS，但實際上，這兩種產品之間是相輔相成的，主機型IPS可以更深入的管理使用者電腦上的一些行為，而這不見得是網路設備可以加以探索的，舉例來說，某些廠牌的主機型IPS產品可以控管使用者電腦上正在執行的應用程式，或者是整合電腦上的個人防火牆，進一步管理網路流量。

另外，有時光靠防毒軟體並不能擋下所有的威脅，因為防毒軟體本身並不保護系統弱點，對於經常在公眾網路，或者是直接曝露在實體IP上的電腦，就有必要安裝主機型的IPS。

問：對於企業來說，IPS對於不同電腦設備的防護策略，例如一般的使用者電腦，以及機房內部的伺服器，它們之間會有什麼樣的差別？

答：就伺服器來說，在企業應用上就可能會出現Linux、Windows等多種不同平臺，像Linux本身不是使用IIS做為網頁伺服器，因此就不需要啟用對於Nimda病毒之類的檢測動作，否則就有可能造成誤判。

有時企業的因應之道是在不同平臺的伺服器前方各放置一臺IPS；如果IPS設備本身可以切割VLAN的話，也可以透過不同的VLAN隔開伺服器，然後對應不同的政策來做管理。

問：特徵碼是IPS判別惡意攻擊的重要依據，廠商是依據什麼來制定IPS的特徵碼？

答：以主機型IPS為例，我們會依循微軟及其他應用程式廠商所發布的漏洞來制訂一部分的特徵碼；除此之外，也包括常見的網路攻擊行為，至於未能檢測到的惡意封包，則利用行為辨識加以判別。依照我們的經驗，有6到7成的惡意封包是利用行為辨識加以發現的，3到4成的部分，則是以特徵碼來做防護。

問：對於企業來說，UTM是網路型IPS的選擇之一，我們撇開效能不談，單一功能設備和UTM之間是否有功能上的差別？

答：最重要的還是防護效果。很多UTM產品在特徵碼的部分都會有所精簡，如果企業考慮到要針對已知攻擊、未知攻擊等層面提供完整的防禦，那麼購買單一功能的IPS設備，會是比較合適的選擇。

即使是稱之為網路型IPS的單一功能產品，在防護效果的表現上也可能會有所落差。因為廠商比較難以掌握的是未知型態的攻擊，而已知型態的攻擊特徵則相對容易加以掌握，有些廠商會從Snort（一套免費的IPS產品）參考、模仿，建立起自己的攻擊特徵資料庫。

企業在選購IPS產品的時候，不妨可以針對廠商背景，像是從網路產品的角度切入，或者是從資安廠商的本位出發，以及實際的技術能力進行一番了解，這對於企業如何選擇IPS產品上會有所幫助，當然，測試結果的好壞更是左右企業購買意願的重要關鍵。整理⊙楊啟倫