前言

在網路環境中，入侵防護系統（Intrusion Prevention System, IPS）和入侵偵測系統（Intrusion Detection System, IDS）扮演著重要的角色
本篇文將介紹 IPS 的功能及運作方式，並討論它如何透過主動防禦來保護網路安全

什麼是入侵防護系統(IPS)

入侵防護系統（Intrusion Prevention System, IPS）是一種主動防禦技術，透過簽章來比對資料庫，以檢查網路中的潛在漏洞和攻擊行為
IPS 主要基於特徵比對和異常行為分析來偵測網路攻擊，例如：暴力破解、 SQL injection 等
當 IPS 偵測到異常的網路流量時，會立即採取行動，例如：阻斷來源 IP、隔離受感染的主機或封鎖攻擊流量，以保護網路安全

IPS 保護 OSI 的層級：
* 第三層：網路層 - 偵測和阻止 IP 攻擊，例如： DDoS 攻擊
* 第四層：傳輸層 - 阻止TCP、UDP 協定攻擊
* 第七層：應用層 - 阻止應用層攻擊，例如：HTTP、FTP、SQL、XSS

IPS 運作方式

1. 簽章比對：
利用特徵碼資料庫進行 IP 比對，檢查是否存在已知的攻擊行為
資料庫會定期更新，以確保能夠偵測最新的攻擊和威脅

2. 存取控制：
存取控制清單來分類和管理不同類型的網路流量
IPS 可以設定不同規則來允許或拒絕某些流量，控制進出封包

3. 流量監控：
持續監控網路流量，識別異常行為並採取相應的防護措施，例如：發送警報、丟棄封包或重新設定連接

實際IPS範例

1. SQL injection 攻擊：
辨識可疑流量模式並即時阻止攻擊，來偵測和防止 SQL injection 攻擊
2. 暴力攻擊：
暴力攻擊（嘗試多組密碼的攻擊），並立即封鎖攻擊來源IP，防止非法登入
3. 跨站腳本攻擊（XSS）：
偵測到應用程式（例如：網頁）存在惡意攻擊時，IPS 可以阻止這些攻擊，保護應用層安全性

牛刀小試

1. IPS 功能是什麼？
   A) 偵測和防止網路入侵
   B) 監控網路流量以檢查效能問題
   C) 設定防火牆
   D) 分析日誌以檢查威脅

2. 下列哪些是 IPS 模式？
   A) Inline模式
   B) 被動模式
   C) 主動模式
   D) 以上皆是

3. 即時識別和回應事件過程為事件回應？
   A) 事件回應
   B) 威脅搜尋
   C) 漏洞管理
   D) SIEM

結論

IPS 不僅能主動偵測和阻止各種攻擊，還能及時做出反應，降低潛在威脅的風險，保護網路免受惡意攻擊
隨著網路攻擊手法多樣化，IPS 已成為企業和組織網路安全的重要措施

參考資料

• 入侵偵測與入侵預防的差異性
• 活用偵測原則做好把關　構築防禦長城決戰境外
  
• What is an Intrusion Prevention System?
• 無線LAN控制器和IPS整合指南
• 為什麼要使用入侵防護系統？