【IT168 专稿】在前一篇文章中笔者为各位IT168安全频道的读者介绍了如何通过IPS入侵防御系统来追踪入侵者的足迹,然后进一步将对方的攻击地址IP信息过滤掉,从而避免攻击事件的再次发生。当然IPS入侵防御系统能够实现的功能不仅仅局限于此,他不光可以通过自身的功能最大限度的保护自己,他还能够为我们的企业内网提供强有力的安全保障。通过IPS入侵防御系统的日志我们可以发现内网客户端存在的漏洞与问题,然后针对这些问题却解决。
一,IPS入侵防御系统察觉内网漏洞的原理:
IPS入侵防御系统一般都是放置在内网与外网的连接处,所以说他会监听所有内外网通讯数据包,由于网络攻击都是建立在数据通讯传输基础上的,因此通过分析数据包的协议层信息可以了解到该数据包的传输目的,通过比对特征码就可以定位该数据包是否属于攻击数据包或漏洞数据包了。当发现有问题数据包通过IPS后可以快速丢弃该数据包,从而减少了内网设备被攻击的可能,当然通过分析问题数据包的源IP地址与目的IP地址我们还可以清晰的知道到底是哪台计算机或网络设备出现了问题以及到底是谁在发动攻击。
IPS入侵防御系统自动智能的过滤有问题攻击数据包和我们平时使用的杀毒软件有类似之处,在查毒杀毒过程中通过比对病毒库中的特征码来发现病毒,当发现感染病毒的文件后直接删除或隔离。
不过IPS入侵防御系统也有一个致命的弱点,那就是由于他是连接外网与内网的设备,在功能上也只能够针对外网的攻击进行防御和保护。如果攻击者本身就在内网并且直接向内网设备进行攻击而不通过IPS传输数据的话就比较麻烦了,这种情况IPS将无法发现问题主机。不过由于现在病毒都在向蠕虫特性上发展,传播也主要以广播形式,所以IPS设备还是能够利用收到的广播数据包,组播数据包来分析,从而发现内网有问题主机。
