Skip to content Skip to navigation Skip to footer

入侵防御系统 (IPS)

FortiGate IPS:防御已知威胁和零日威胁 | 入侵防御系统

Fortinet FortiGate防火墙提供了一款全方位的安全驱动型网络平台,能够为企业提供经行业验证的 IPS 解决方案,帮助企业实现卓越的安全防御性和提供行业领先的 IPS 性能。该平台由 FortiGuard Labs 的 AI/ML 驱动型威胁情报提供支持。

立即观看

什么是入侵防御系统 (IPS)?

入侵防御系统 (IPS) 可帮助企业识别恶意流量并主动拦截此类流量进入企业网络。企业可将 IPS 功能部署到入栈流量方向,以监控并检查入栈流量中是否存在漏洞和漏洞利用程序;如果检测到威胁,则按照安全防御策略采取适当的措施,比如阻止访问、隔离主机或阻止访问外部网站以免引入潜在威胁等。

 

入侵防御系统工作原理

IPS 通常采用在线部署方式,位于源地址和目标地址之间的通信数据流上,可以实时分析该路径上的所有网络流量,并采取自动化预防措施。IPS功能可部署在网络数据流中的任何位置,但最常见的位置是:

  • 企业边缘/边界
  • 企业数据中心

IPS 可以作为一款独立的解决方案进行部署,也可以集成到下一代防火墙 (NGFW) 的综合性 IPS 功能中。IPS 利用漏洞或漏洞利用程序特有的签名库来识别恶意流量,包括签名检测和统计异常行为检测。

  1. 签名检测技术使用的是漏洞利用程序代码内的唯一标识签名。一旦发现漏洞利用程序,它们的签名就会被标记入一个不断扩充的数据库中。IPS 签名检测需要用到两种签名:一种是漏洞利用程序签名(用于识别各个漏洞利用程序),一种是漏洞签名(用于识别攻击者所瞄准的系统漏洞成语)。漏洞签名统计有助于识别新出现的潜在威胁变体,但同时也会增加误报风险(将合法数据包误标为威胁)。                            
  2. 统计异常检测会随机采用数据流量样本,然后将其与标准进行比较。如果样本不在标准范围内,IPS 将触发防止潜在攻击的动作。

一旦发现入侵网络的恶意流量,IPS 就会部署并更新虚拟补丁进行防御。虚拟补丁是一种有效的安全防护措施,可防止攻击者利用已知和未知漏洞入侵企业网络。虚拟补丁通过实施安全策略和规则来发挥作用,可防止攻击者潜入企业网络路径找到漏洞,从而实现整个网络层而非仅主机层的漏洞防御。

IPS vs. IDS

IPS 是入侵检测系统 (IDS) 的增强版。IDS 技术使用相同的概念来识别流量,也运用了一些类似的技术,但主要区别在于 IPS 是在线部署,而 IDS 是旁路部署,它检查的是整个流量,可监控网络威胁并提供相关分析和可视性,但无法采取任何预防措施。

当探测到威胁时,IDS 系统会向网络管理员发送潜在威胁警报,而 IPS 系统可以采取更实质性的防御措施来控制网络访问、监控入侵数据并防止攻击层面的扩展。

FortiGate IPS

Fortinet FortiGate 防火墙提供了一款全方位的 IPS 解决方案 — 该解决方案既可作为独立的 IPS 设备进行部署,又可集成到防火墙的综合性 IPS 功能中。FortiGate IPS 经过了 NSS Labs 和其他第三方评估测试的验证,通过无与伦比的 IPS 吞吐量实现高度有效的安全性,并且在硬件设备、虚拟机和基于云的服务中均可应用。