入侵防御服务(IPS)
WatchGuard 的入侵防御服务可以对那些含有恶意攻击脚本的通讯协议作在线检测。在线检测IPS 系统面临两个问题:速度和误报率。与其他ILS 安全层紧密结合在一起的IPS 服务,在这两方面表现相当不错。因为ILS 的其他安全层大约可以拦截60%~70%的攻击行为。那么对于这些攻击的签名库已经不再需要了。这样就降低了IPS 在签名库中的检索数量同时提高了检索时间还有误报率。
深度应用检测层可以明确地知道通讯协议,它会调用IPS 只针对已知的协议作检测。这就意味着IPS 有目的性的检测某协议的签名库子集,而不是在整个签名库中遍历。同样IPS也可以调用ILS 的自动拦截功能。当IPS 发现了第一个攻击行为后,将攻击者的IP 地址传递给自动拦截系统,那么该攻击者的后续任何攻击行为都被阻挡在“外部安全服务层”,从而进一步节省了系统开销。这不像其他的IPS 那样,对每一次攻击都要进行深入分析,而白白浪费系统资源,降低处理能力。
