日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

一、IPS 對網(wǎng)絡的關鍵作用

成都創(chuàng)新互聯(lián)公司于2013年成立，是專業(yè)互聯(lián)網(wǎng)技術服務公司，擁有項目成都網(wǎng)站設計、成都做網(wǎng)站網(wǎng)站策劃，項目實施與項目整合能力。我們以讓每一個夢想脫穎而出為使命，1280元科爾沁右翼前做網(wǎng)站,已為上家服務,為科爾沁右翼前各地企業(yè)和個人服務,聯(lián)系電話:13518219792

眾所周知，近年來網(wǎng)絡安全事件層出不窮(國際權威組織CERT(Computer Exigency Response Team，計算機緊急響應小組)監(jiān)測并統(tǒng)計得到：2008年上半年，平均每天會有1.5萬個網(wǎng)頁受到病毒感染，即每5秒鐘內(nèi)就會增加一個被感染網(wǎng)頁)。專業(yè)的安全廠家和研究機構通過分析和驗證所有這些安全攻擊事件，形成肯定的結論：所有的安全事件其根本技術原因就是黑客發(fā)現(xiàn)和利用了目標機的系統(tǒng)漏洞。我們知道，漏洞大致分為“各類操作系統(tǒng)”漏洞和“各類應用系統(tǒng)”漏洞。我們可以再肯定的說，任何漏洞都可能造成攻擊目標的失陷。

如何來跟蹤和收集這些漏洞，并對漏洞特征進行分析歸納，從而發(fā)明一種設備來檢測并阻斷利用這些漏洞的攻擊報文呢？IPS(Intrusion Prevention System，入侵防御系統(tǒng))設備就是基于這種思想開發(fā)的網(wǎng)絡安全設備。有實力的IPS廠商一般都組建有特征庫團隊，分析和跟蹤常用基礎軟件的漏洞，以及常用應用系統(tǒng)的漏洞利用機理，并生成攻擊特征庫定期下發(fā)到IPS設備上，保證IPS在防范已知漏洞的基礎上，能對新出現(xiàn)的漏洞也能進行防范，從而，在源頭上堵住系統(tǒng)漏洞，在源頭上將安全事件的根本原因消除掉?？梢哉f，如果在每個網(wǎng)絡域的出口都部署IPS，并定期升級IPS特征庫的話，那么，安全事件是可以從源頭上消除掉的。

二、IPS 是不可替代的

人類不是未卜先知的神靈，可以一簇而就的制造出完美的IPS設備。在對漏洞的攻擊和防護上，網(wǎng)絡技術人員走過了認識、深化、修正、提升的曲折發(fā)展道路。這個發(fā)展過程也是符合IT技術的發(fā)展規(guī)律的。

1988年，Morris蠕蟲造成的網(wǎng)絡癱瘓事件導致了業(yè)界對漏洞攻擊入侵的真正認識和深入關注，網(wǎng)絡技術人員提出了簡單模型的IDS(Intrusion Detection System，入侵偵聽系統(tǒng))。1995年，IDS逐步從研究性、嘗試性的產(chǎn)品逐漸發(fā)展到了市場化的產(chǎn)品，隨著網(wǎng)絡安全事件的不斷涌現(xiàn)和危害程度不斷加重，IDS逐漸得到了廣泛的應用。但隨后遵循摩爾定律，網(wǎng)絡技術和計算機技術飛速發(fā)展，網(wǎng)絡技術人員逐漸發(fā)現(xiàn)IDS在應對不斷翻番的網(wǎng)絡流量和不斷出現(xiàn)的網(wǎng)絡復雜應用時已力不從心，如出現(xiàn)了海量攻擊事件、檢測性能不夠、檢測精度不夠、分析攻擊事件困難、無法有效阻斷攻擊等，因此，業(yè)界也在不停地探討利用新的軟、硬件技術來實現(xiàn)一個更高級的入侵檢測防御的IPS模型，不同于IDS，該模型與生俱來的設計思想就是：精確檢測、實時阻斷。隨后國際上各廠商紛紛推出IPS產(chǎn)品，并在各行各業(yè)形成了規(guī)模應用;2003年，國際著名咨詢機構Gartner副總裁在大量的數(shù)據(jù)分析后，發(fā)表了“IDS is dead”判斷，并逐漸在美國、日本等互聯(lián)網(wǎng)發(fā)達的國家得到驗證，國際上的廠商逐漸停止生產(chǎn)銷售IDS，而專注于研發(fā)銷售IPS，同時，通過將各種先進的軟、硬件技術引入到IPS的開發(fā)中，如多核技術、ASIC技術等，使得IPS的檢測性能與日俱增。

簡言之，IPS代表了更新更先進的產(chǎn)品形態(tài)，將逐步涵蓋和終結IDS產(chǎn)品形態(tài)，下表羅列了兩者之間的根本區(qū)別。

表1. IDS、IPS產(chǎn)品的主要區(qū)別

三、 IPS在線部署的可靠性是完全有保障的

在線部署的IPS是否會成為網(wǎng)絡業(yè)務的一個新的故障點呢？這是很多用戶會擔心的問題。IPS是一個深入應用層(七層)的安全設備，主要提供網(wǎng)絡威脅防御的業(yè)務，不同于交換機、路由器，IPS本身不參與報文選路和交換，而是透明部署，從一個接口上接收網(wǎng)絡流量，對報文進行深入七層的實時的分析檢測，根據(jù)檢測結果阻斷攻擊流量，并將正常流量從另一個確定的接口上轉發(fā)出去。所以，在IPS上可以實現(xiàn)相比交換機、路由器更多的可靠性設計，即IPS的多重高可靠性(MHA)設計。IPS的多重高可靠性(MHA)面向業(yè)務傳送的所有層面進行高可靠保護，使得在任何情況下業(yè)務都不會因為IPS的故障而中斷，使得IPS這個網(wǎng)絡節(jié)點永遠不會成為中斷業(yè)務的故障點。

H3C IPS按照電信級標準設計了冗余電源進行供電，并設計了無源連接設備PFC(Power Free Connector)，PFC可以為IPS產(chǎn)品提供了掉電保護功能。在IPS掉電的情況下，PFC可以將網(wǎng)絡流量自動繞開IPS、旁路到下一跳設備上去;而當管理員恢復電源供給后，PFC又會自動禁止旁路功能，所有流量將再度流經(jīng)IPS接受檢測。如下圖所示。

圖1. H3C IPS的掉電保護機制設計

PFC是通過IPS設備上的USB口供電的，當IPS掉電后，PFC也掉電，PFC掉電后通過內(nèi)部的繼電器裝置會迅速連通網(wǎng)絡，實現(xiàn)一層Bypass。利用PFC設備，H3C IPS在掉電后小于10ms的時間內(nèi)即能恢復網(wǎng)絡連通。

在線部署的IPS是否會因為性能問題而導致IPS節(jié)點成為網(wǎng)絡瓶頸？這也是很多用戶會擔心的問題。其實這個擔心是沒有必要的。網(wǎng)絡產(chǎn)品(路由、交換機)的硬件技術、軟件技術的發(fā)展使得萬兆，百萬兆的流量處理都是能夠?qū)崿F(xiàn)的，包括IPS在內(nèi)的各種安全設備在架構設計和芯片處理上都可以借鑒和挪用這些技術積累，從而擁有了更強勁的處理能力，可以保證：IPS能夠在可預見的網(wǎng)絡帶寬下以“交換機式”性能完成入侵檢測防御。

IPS已經(jīng)得到了全球范圍的規(guī)模應用，說明了IPS的性能是完全可以滿足各種實際應用環(huán)境的。特別是從2000年開始，業(yè)界對IPS的開發(fā)和測評已積累了足夠的經(jīng)驗，尤其對IPS產(chǎn)品的性能評價和性能測試方法已經(jīng)足夠客觀準確，廠家或測評機構可通過客觀的IPS性能測試方法來獲得IPS的吞吐量、時延、并發(fā)連接數(shù)、新建連接數(shù)等指標，而將IPS用在與這些指標相對應的網(wǎng)絡環(huán)境中時，IPS的性能是決不會成為瓶頸的。H3C IPS的從高端到低端的全系列IPS產(chǎn)品的時延都在50微秒以下。

IPS的硬件設計先進，如采用多核CPU、多核多線程，采用專有交換芯片實現(xiàn)正常報文轉發(fā)等，多核CPU可以多達8核、16核、32核。每個核具有多個硬件線程，每個線程具有獨立的寄存器組，這些核可以并發(fā)地執(zhí)行指令，保證了多個硬件線程的高速運行。先進的硬件架構使多核并行運算，提供入侵檢測防御業(yè)務，確保IPS性能。。

四、 總結

通過我們的分析，知道IPS是防范安全威脅的最有效的網(wǎng)絡安全設備。分析IPS的發(fā)展歷史，我們知道IPS規(guī)避了IDS的缺陷，IPS相比IDS代表了更先進的產(chǎn)品形態(tài)。分析IPS的技術和應用，我們知道IPS不會因為可靠性和性能而影響網(wǎng)絡的正常業(yè)務。分析IPS產(chǎn)品在國內(nèi)、外的應用歷史和趨勢，我們知道IPS已成為主流的網(wǎng)絡安全設備在各行各業(yè)的網(wǎng)絡上進行了規(guī)模部署。

我們發(fā)現(xiàn)，交換機和路由器的規(guī)模部署使網(wǎng)絡實現(xiàn)了互聯(lián)互通，當網(wǎng)絡規(guī)模變大、安全問題變嚴重時，防火墻的規(guī)模部署使網(wǎng)絡實現(xiàn)了訪問控制，解決了部分安全問題，而當網(wǎng)絡應用不斷豐富并且不斷商業(yè)化、安全形勢變得更加嚴峻時，IPS的規(guī)模部署使網(wǎng)絡實現(xiàn)深度報文檢測和入侵防御必然是網(wǎng)絡和網(wǎng)絡安全的發(fā)展趨勢。

【編輯推薦】

1. 移動計算安全關注導致更多IPS、SSL VPN花費
2. 安全廠商Juniper為FreeBSD帶來MIPS支持
3. 使用網(wǎng)絡行為分析IPS防御黑客攻擊

當前名稱：IPS是使網(wǎng)絡健康的關鍵防護措施
文章路徑：http://m.5511xx.com/article/ccohsic.html