說完防火牆,今天說昨天有提到的IPS。
再說IPS之前要先說IDS,IDS是入侵偵測系統,用來監控設備的網路流量、運行流程、日誌等。也就是像是監視器一樣,只會被動監控,就算發生事情也是不會做出任何處置。
而IPS則是主動防禦,IDS有的功能,IPS也都有,也就是說監控設備的網路流量、運行流程、日誌之類的都有,並且還有特徵比對、異常行為分析、協定分析的功能來讓IPS做出應變措施。
所謂的應變措施,就要看上述的功能是:
特徵比對:依照已知攻擊的特徵碼(signatures)比對封包或流量。(這裡不要翻譯成簽章了)
這項是最常使用的,IPS會去檢測URL是什麼威脅,比如說在某個URL底下帶 ? password=YYY or 1 = 1,會造成SQL injection;亦或是使用已知CVE漏洞(KEV)都能辨識出來,如果開啟防禦就能抵禦相對應的特徵。(此功能無法抵禦零日攻擊)
異常行為分析:學習和建立一個關於網路正常流量、正常行為並偵測異常行為。
這項可以有機會發現零日攻擊。
協定分析:檢查封包是否符合正常協定格式。
IPS看似很厲害,但也會有相對的風險,如果行為有誤判或是設定有誤將會造成服務中斷,所以在使用時應注意是否會有無影響。