IPS（Intrusion Prevention System）入侵防护系统原理

IPS原理
　　防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。入侵检测技术（IDS）通过监视网络或系统资源，寻找违反安全策略的行为或攻击迹象，并发出报警。传统的防火墙皆在拒绝那些明显可疑的网络流量，但仍然允许某些流量通过 ，因此防火墙对于很多入侵攻击仍然无计可施。绝大多数IDS系统都是被动的，而不是主动的。也就是说，在攻击实际发生之前，它们往往无法预先发出警报，而IPS则倾向于提供主动防护，其设计宗旨是预先对入侵活动和攻击网络流量进行拦截，避免其造成损失，而不是简单在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的，即通过一个网络接口接收来自外部系统的流量，经过检查确认其中不包含异常活动或者可疑内容后，再通过另一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同数据流的后续数据包，都能IPS设备中被清除掉。
IPS工作原理
　　IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，IPS就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用Layer2（介质访问控制）至Layer7（应用）的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer3或Layer4进行检查，不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查，因而也就无法发现攻击活动，而IPS可以做到逐一字节地检查数据包。所有流经IPS的数据包都被分类，分类的依据是数据包中的报头信息，如源IP地址和目的IP地址，端口号和应用域。每种过滤器负责分析相对应的数据包。通过检查数据包可以继续前进，包含恶意内容的数据包就会被丢弃，被怀疑的数据包需要接受进一步的检查。
　　针对不同的攻击行为，IPS需要不同的过滤器，每种过滤器都设有相应的过滤规则，为了确保准确性，这些规则的定义非常广泛。在对传输内容进行分类时，过滤引擎还需要参照数据包的信息参数，并将其解析至一个有意义的域中进行上下文分析，以提高过滤准确性。
　　过滤器引擎集合了流水和大规模并行处理硬件，能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统，不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义，因为传统的软件解决方案必须串行进行过滤检查，会导致系统性能大打折扣。