入侵防御系统 (IPS)

入侵防御系统 (IPS) 可帮助企业识别恶意流量并主动拦截此类流量进入企业网络。企业可将 IPS 功能部署到入栈流量方向，以监控并检查入栈流量中是否存在漏洞和漏洞利用程序；如果检测到威胁，则按照安全防御策略采取适当的措施，比如阻止访问、隔离主机或阻止访问外部网站以免引入潜在威胁等。

IPS 通常采用在线部署方式，位于源地址和目标地址之间的通信数据流上，可以实时分析该路径上的所有网络流量，并采取自动化预防措施。IPS功能可部署在网络数据流中的任何位置，但最常见的位置是：

• 企业边缘/边界
• 企业数据中心

IPS 可以作为一款独立的解决方案进行部署，也可以集成到下一代防火墙 (NGFW) 的综合性 IPS 功能中。IPS 利用漏洞或漏洞利用程序特有的签名库来识别恶意流量，包括签名检测和统计异常行为检测。

1. 签名检测技术使用的是漏洞利用程序代码内的唯一标识签名。一旦发现漏洞利用程序，它们的签名就会被标记入一个不断扩充的数据库中。IPS 签名检测需要用到两种签名：一种是漏洞利用程序签名（用于识别各个漏洞利用程序），一种是漏洞签名（用于识别攻击者所瞄准的系统漏洞成语）。漏洞签名统计有助于识别新出现的潜在威胁变体，但同时也会增加误报风险（将合法数据包误标为威胁）。                            
2. 统计异常检测会随机采用数据流量样本，然后将其与标准进行比较。如果样本不在标准范围内，IPS 将触发防止潜在攻击的动作。

一旦发现入侵网络的恶意流量，IPS 就会部署并更新虚拟补丁进行防御。虚拟补丁是一种有效的安全防护措施，可防止攻击者利用已知和未知漏洞入侵企业网络。虚拟补丁通过实施安全策略和规则来发挥作用，可防止攻击者潜入企业网络路径找到漏洞，从而实现整个网络层而非仅主机层的漏洞防御。

IPS 是入侵检测系统 (IDS) 的增强版。IDS 技术使用相同的概念来识别流量，也运用了一些类似的技术，但主要区别在于 IPS 是在线部署，而 IDS 是旁路部署，它检查的是整个流量，可监控网络威胁并提供相关分析和可视性，但无法采取任何预防措施。

当探测到威胁时，IDS 系统会向网络管理员发送潜在威胁警报，而 IPS 系统可以采取更实质性的防御措施来控制网络访问、监控入侵数据并防止攻击层面的扩展。

Fortinet FortiGate 防火墙提供了一款全方位的 IPS 解决方案 — 该解决方案既可作为独立的 IPS 设备进行部署，又可集成到防火墙的综合性 IPS 功能中。FortiGate IPS 经过了 NSS Labs 和其他第三方评估测试的验证，通过无与伦比的 IPS 吞吐量实现高度有效的安全性，并且在硬件设备、虚拟机和基于云的服务中均可应用。