【IT168 专稿】说起IPS恐怕对很多人来说是个非常神秘的网络设备，一般来说中小企业都不会购买专业的IPS入侵防御系统来提高企业内部的网络安全，IPS是从以前的入侵检测系统IDS发展来的，他可以根据入侵特征进行相应的设备配置联动，从而非常有效的阻止外部非法入侵者对企业内网和DMZ区服务器的攻击。正巧最近笔者所在公司购买了一台上百万的IPS系统，下面我们就来零距离接触神秘的IPS，让我们揭开他的面纱。

　　一，IPS的网络位置：

　　任何网络设备在企业整体网络中都有他的位置，IPS作为企业防黑的重要角色必然放置在内网与外网的连接处。一般来说IPS都是一个网络设备，也有一些企业使用软IPS，通过软件来模拟IPS从而实现相关功能，不过软件方面表现再好也不如硬件的处理速度快。

　　笔者企业选择的这个IPS系统是由华为3COM公司开发推广的tippingpoint入侵防御系统，使用的型号是400。在企业设备实施过程中将该入侵防御系统放到内外网连接处，一边连接内网核心交换机，另外一边连接外网网络接口。

　　二，步步揭开IPS神秘面纱：

　　下面我们就为各位IT168网络频道的读者介绍IPS是如何工作的，另外还将为各位介绍简单的入侵防御配置方法。

　　第一步：一般来说为了安全起见我们都应该开启IPS的远程HTTPS协议管理功能，这样可以提高设备安全。我们通过系统集成商提供的管理地址访问IPS系统。由于是HTTPS协议所以会涉及到证书的安装。(如图1)

　　第二步：选择安装证书我们将访问IPS登录界面。(如图2)

　　第三步：从IPS登录界面中我们可以了解该设备的名称以及型号，输入正确的管理员帐户信息与密码进入IPS系统，这里要特别注意由于网上有很多非法用户在使用扫描器不停的扫描，所以我们首先要做的就是在系统集成以及设备安装完成后更改缺省管理员帐户名以及默认密码，设置一个足够强大的字符串，要知道IPS被恶意登录意味着企业内网全部裸露在攻击者面前，不光无法阻止非法入侵行为，就连正常的网络通讯也会受到很大影响。(如图3)

　　第四步：登录到IPS系统后我们首先看到的是系统运行状态显示界面，当然由于目前大部分IPS系统都使用的是国外的核心，所以管理界面都是英文的。在首页中显示的主要是系统运行状态，日志记录摘要以及IPS设备的软硬件型号等。(如图4)

　　第五步：从上面的系统运行状态处我们可以看到当前设备接收以及阻止的数据容量大小以及设备的性能，包括内存，磁盘容量以及电力能源状况，绿灯表示一切正常，如果有红色显示就需要特别关注尽快解决了。而在系统状态下则是日志记录区域，这里罗列出了包括“alert log”警报日志(当系统被成功攻击或入侵时的记录)，“audit log”登录日志(详细记录每个帐户访问的状况，包括顺利登录以及登录失败的)，“block log”(阻止数据通讯的所有日志)，“system log”系统日志，“packet trace log”数据包通讯日志等，每个日志记录区都能够保存成HTML格式的日志记录文件，同时还可以直接在IPS系统中通过右边的望远镜图标查询筛选相关信息。(如图5)

　　第六步：笔者以“audit log”登录日志为例进行简单介绍，当我们查看“audit log”登录日志详细信息时可以看到列出的一条条登录状况，包括登录时间，登录状况，访问IPS的源IP地址，使用的访问协议，当然尝试使用的用户名也在其中显示出来。例如笔者IPS中就罗列出了不少攻击者的信息，我们看第三条中的信息可知一二，首先攻击者的IP地址为211.144.87.122，使用的是CLI访问方式，这个应该是SSH或者TELNET，登录状态是失败，使用的登录帐号为ben。再结合其他错误信息我们可以清楚的了解到这个IP为211.144.87.122一定是在通过类似扫描器的工具攻击我们的IPS系统，先后尝试了包括ben在内的几百个用户名和简单的字符密码进行测试。(如图6)

　　第七步：除了针对网络设备进行攻击的监控与防御外，我们的IPS系统还有一个最大的特点，那就是针对企业内网的各个网络设备进行入侵防御，我们可以通过查看block log functions这个日志信息来查看详细记录内容，IPS系统会将所监控发现的入侵攻击行为按照严重级别进行分类，红色代表比较严重的攻击，我们可以通过点severity按钮来按照严重级别排序。在block log记录信息中我们能够看到包括攻击者IP地址，端口信息，被攻击者IP地址，端口信息以及攻击者利用的漏洞信息等，可以说针对入侵攻击的行为了解得清清楚楚，同时在最后的hit count处我们可以了解被攻击的次数。例如笔者通过浏览发现在2008年9月2日晚上7点多IP地址为121.135.196.99的入侵者向58.129.54.21的1433端口发动的攻击，利用的漏洞是MS-SQL hello buffer overflow的SQL SERVER HELLO益处漏洞。了解了这个信息后我们就可以针对IP地址为121.135.196.99的入侵者进行过滤了，同时还要提醒被攻击者及时更新补丁弥补漏洞。(如图7)

　　第八步：对于IPS记录的攻击行为和利用的漏洞我们都可以通过查看详细内容来进一步了解，例如之前介绍的MS-SQL hello buffer overflow信息，我们可以查看到具体的利用方法以及防范方法。(如图8)

　　第九步：之前我们已经为各位读者介绍了如何通过IPS来了解攻击者使用的攻击行为以及设备安全记录信息，当然IPS与IDS最大的区别在于他能够实现联动的功能，也就是说可以根据记录的攻击手段实现不同的防御手段而不是盲目接招。所有防御联动的参数都在ips->action sets行为设置中完成，在这里我们会看到包括block阻止，阻止+提醒，阻止+提醒+跟踪以及带宽限制到10M，带宽限制到5M等操作方法。我们可以在这里设置更加详细更加有效的防御行为。(如图9)

　　第十步：当我们设置了防御行为后过一段时间将可以看到防御的效果，具体信息都在logs->block log中显示，包括IP地址，端口信息等内容。(如图10)

　　第十一步：当然大部分IPS系统不仅仅具备入侵防御功能，很多时候厂商为了能够提供功能整合让产品可以身兼数职还会添加诸如网络管理，流量控制的功能，例如笔者使用的这个IPS设备就具备流量管理功能，我们通过他的设置界面可以将某个服务，某个通讯使用的流量进行限制。(如图11)

　　第十二步：任何一台入侵防御系统IPS都可以对其网络参数进行设置，同时根据企业安全级别设置其使用的管理协议，在这里建议大家通过HTTPS管理，如果非要开启CLI命令行管理模式的话应该选择SSH协议而不是telnet管理，毕竟后者是明文传输的，很容易被网络中的sniffer检测监视到。(如图12)

　　第十三步：有时我们网络管理员不可能24小时的守护在IPS和企业内网周围，因此IPS系统还会为我们提供诸如短信息提醒，电子邮件提醒等功能，这些功能帮助我们在最短时间内发现问题并快速解决问题。(如图13)

　　第十四步：也许有些读者会说IPS记录了这么多个信息，那么他的硬盘空间一定很大吧，实际上我们可以顺利轻松的将记录的日志信息保存到远程服务器或企业内部的存储系统，这点类似于保存路由交换设备的日志，通过设置远程日志服务器来实现此功能，日后可以直接通过分析工具对服务器上的日志信息进行统计和汇总，从而发现网络中最常见的被攻击手段。(如图14)

　　第十五步：如果要临时查看记录的日志信息我们可以通过download log下载日志文件成为HTML格式保存到本机硬盘，由于篇幅关系具体操作就不详细说明了，总之非常简单。(如图15)

　　小提示：

　　针对某服务某程序进行流量限制时我们并不一定非要限制为5M或10M这样的数值，在action set details行为设置具体界面中可以通过下拉菜单选择流量限制速度限制的数值，从几K到几十M都是可以的。当然如果不想限制速度也可以直接选择permit容许通讯或block来阻止通讯。(如图16)

　　三，总结：

　　本文主要针对企业中起到很大作用的入侵防御系统IPS的操作和简单设置进行了介绍，实际上大部分IPS都会涉及本文介绍的功能，在日常使用过程中针对IPS的设置并不多，只要我们事先设置好规则，其他操作IPS都会自动完成，我们只需要定期查看系统运行状态和留意EMAIL或手机中的警报信息即可。当然IPS中的防御规则也不是一成不变的，我们应该养成定期分析记录的日志文件来添加修改原有规则的习惯，这样才能够让你的入侵防御系统IPS与石俱进将黑客与漏洞病毒彻底阻挡在企业网络大门之外。