|
知识路径: > 网络安全主动防御技术原理与应用 > 入侵阻断技术与应用 > 入侵阻断技术原理 >
|
相关知识点:7个
|
|
|
|
防火墙、IDS是保障网络安全不可缺少的基础技术,但是防火墙和IDS本身存在技术上的缺陷。防火墙是基于静态的粗粒度的访问控制规则。防火墙的规则更新非自动,从而导致攻击响应延迟。而IDS系统尽管能够识别并记录攻击,却不能及时阻止攻击,而且IDS的误报警造成与之联动的防火墙无从下手。另外,受软件工程及安全测试的限制,网络系统的安全脆弱性不可能完全避免。即使发现网络系统存在安全脆弱性,但因为系统运行的不可间断性及安全修补风险不可确定性,系统管理员并不敢轻易地安装补丁,使得网络系统的安全脆弱性的危害一般通过外围设备来限制。因此,只有具有防火墙、入侵检测、攻击迁移的多功能安全系统,才能解决当前的实际网络安全需求。
|
|
|
目前,这种系统被称为入侵防御系统,简称IPS(Intrusion Prevention System)。IPS的工作基本原理是根据网络包的特性及上下文进行攻击行为判断来控制包转发,其工作机制类似于路由器或防火墙,但是IPS能够进行攻击行为检测,并能阻断入侵行为。IPS的应用如下图所示。
|
|
|
|
|
由于IPS具有防火墙和入侵检测等多种功能,且受限于IPS在网络中所处的位置,IPS需要解决网络通信瓶颈和高可用性问题。目前,商用的IPS都用硬件方式来实现,例如基于ASIC来实现IPS,或者基于旁路阻断(Side Prevent System,SPS)来实现。SPS是以旁路的方式监测网络流量,然后通过旁路注入报文,实现对攻击流量的阻断。从技术原理来分析,SPS一般对网络延迟影响不大。
|
|
|