IPS系統(tǒng)已經(jīng)在互聯(lián)網(wǎng)中被廣泛的應用。今天我們在以下假想的案例中，可以看到以IPS系統(tǒng)為核心的多種網(wǎng)絡深度檢測/實時抵御的方案；不同的方案，在不同的應用場景當中，可以適當?shù)財U充或簡化。

一、 基于策略的安全防御

1. 位于辦公網(wǎng)入口的IPS系統(tǒng)通過應用層協(xié)議分析跟蹤和特征匹配，發(fā)現(xiàn)目的地為業(yè)務服務器A的HTTP數(shù)據(jù)流中隱藏有針對Windows操作系統(tǒng)的DCOM漏洞的惡意利用；

2. IPS系統(tǒng)將此安全事件上報至管理中心；

3. 管理中心獲取服務器A的基本信息；

4. 管理中心根據(jù)獲取的A的信息，判斷該訪問是否會造成危害，如果A不運行Windows操作系統(tǒng)或者A確實運行Windows但是已經(jīng)打了針對DCOM漏洞的補丁，則A是安全的；

5. 根據(jù)情況，管理中心向IPS系統(tǒng)下發(fā)制定的安全策略；

6. IPS系統(tǒng)執(zhí)行安全策略，放行或者阻斷此次連接請求。

事實上，在這里我們描述的是需要管理中心介入的情況，在一些相對簡單的情況下，如果我們事先可以確認服務器集群所運行的操作系統(tǒng)（在90%的情況下這是可能的），那么抵御該網(wǎng)絡攻擊的規(guī)則可以直接施加在IPS系統(tǒng)上，不再需要與管理中心的交互，從而降低部署的復雜度、提高效率。

二、應用感知的智能防御

1. 辦公網(wǎng)用戶訪問Internet上的WWW服務器；

2. IPS系統(tǒng)檢測到該請求，判斷該請求符合事先設定的安全策略，放行；

3. 該用戶與外部服務器的連接建立；

4. 該用戶試圖通過已經(jīng)建立的連接，利用二次代理，發(fā)起對某非法或不良網(wǎng)站的訪問請求；

5. 根據(jù)對應用層協(xié)議的深度分析和內(nèi)容識別，IPS系統(tǒng)檢測到該企圖，阻斷該次HTTP連接；

6. 上報該安全事件到管理中心備查；

7. IPS系統(tǒng)可以根據(jù)管理中下發(fā)的策略，對該用戶進行一定時間的懲罰（拒絕該用戶后續(xù)的上網(wǎng)請求）。

三、行為分析的智能防御，阻止病毒、蠕蟲泛濫

1. 某辦公網(wǎng)用戶通過公共區(qū)域網(wǎng)絡訪問業(yè)務服務器集群；

2. 正常連接建立后，位于服務器集群前端的IPS系統(tǒng)檢測到來自該用戶的通信流量中隱藏有某種病毒的行為特征，立即阻斷該用戶的此次訪問，并且上報該安全事件給管理中心；

3. 管理中心分析該安全事件，根據(jù)報文信息定位到該用戶，并且制定新的安全策略；

4. 接入管理更改該用戶的安全等級，下發(fā)更新的安全策略給相關網(wǎng)絡設備；

5. 更新了安全策略的網(wǎng)絡設備將該用戶隔離至某特定區(qū)域，避免該病毒感染其他網(wǎng)絡用戶，并采取后續(xù)行動。

【編輯推薦】

1. 國內(nèi)出現(xiàn)首批擁有IDS和IPS產(chǎn)品雙CVE認證的安全廠商
2. IPS是使網(wǎng)絡健康的關鍵防護措施
3. 移動計算安全關注導致更多IPS、SSL VPN花費
4. 在企業(yè)中配置IPS的最佳實踐
5. 新版DefensePro成為IPS抵抗DDoS攻擊的典范