防火墙／入侵防护系统IPS

不断增加和黑客攻击数据的不断提高，使得传统的防火墙或入侵检测技术无法满足现代网络安全的需要，而入侵防护技术的产生正是适应了这种要求。

防火墙是实施访问控制策略的系统，对流经的网络流量进行检查，拦截不符合安全策略的数据包。入侵检测技术通过监视网络或系统资源，寻找违反安全策略我的行为或攻击迹象，并发出警报。传统的防火墙旨在拒绝那些明显可疑的网络流量，但仍然允许某些流量通过，因此防火墙对很多入侵放过仍然无计可施。

IPS是一种主动的、积极的入侵防范及阻止系统，部署在网络的进出口处。当它检测到攻击企图后，会自动地将攻击包丢掉或采取措施将攻击源阻断。IPS的检测功能类似于IDS，但IPS检测到攻击后会采取行动阻止攻击，可以说IPS是建立在IDS发展的基础上的新生网络安全产品。

1、入侵防护系统的原理

IPS倾向于主动防护，其设计宗旨是预先对入侵活动和攻击性网络流进行拦截，避免其造成损失，而不是简单地在恶意流量传送时或传送后才发出警报。IPS通过一个网络端口接收来自外部系统的流量，经过检查确认其中不包含异常活动或可疑内容后，再通过另一个端口将它传送到内部系统中。这样一来，有问题的数据包，以及所有来自同一个数据流的后续数据包，都能在IPS设备中被清除掉。

IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器，能够防止各种攻击。当新的攻击手段被发现之后，入侵防护系统就会创建一个新的过滤器。IPS数据包处理引擎是专业化定制的集成电路，可以深层检查数据包的内容。如果有攻击者利用第二层（介质访问控制）到第七层（应用）的漏洞发起攻击，IPS能够从数据流中检查出这些攻击并加以阻止。

传统的防火墙只能对第三层或第四层进行检查，不能检测应用层的内容