网络安全破坏表现的形式多种多样，企业雇员打开一封典型商务电子邮件的附件可能会感染病毒;被解雇员工可能通过公共Web服务器访问企业网络内部数据库盗取客户信息;端对端传输多媒体内容会占用很多带宽致使企业的公共Web 访问速度明显降低;员工使用即时消息工具与朋友聊天、操盘股票或玩游戏等这些情况都可能成为威胁企业网络安全的隐患。因为网络安全破坏涉及到网络内部和外部，因此，企业有必要引进某些安全设备进行防御攻击或过滤某种病毒，如IPS(Intrusion Prevention System , 入侵防御系统)。

　　IPS位于防火墙和路由器之间,一旦检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入内部网络。

　　目前，大部分企业由于缺乏网络安全防患意识，而没有购置IPS产品甚至防火墙，企业网络安全无法得到保障。市场上专业的IPS产品具有强大的攻击检测与实时防御能力、出色的性能和高可靠性等特征，确实有效地保证了企业的安全，但其不菲的价格却让绝大部分企业望而却步，三星电子针对市场状况，推出了专业、质优、价廉的Ubigate系列融合产品，为中小型企业提供了IPS/IDS及其它网络安全功能的一体化解决方案;同时该系列融合型产品还集路由、交换、安全、语音等多功能于一体，为企业带来低投资、高回报的解决方案。

　　对于安全性要求较高的企业，只要在Ubigate iBG系列融合产品上配置ISM(集成安全模块)，就能为企业提供一整套安全解决方案 。除了防火墙和VPN均内置在Ubigate iBG系列中，另外配置的ISM板卡则提供先进的安全功能——IPS/IDS、网关防病毒、反垃圾邮件、流量/会话整形、Web应用程序防火墙、URL筛选和端点安全性等等。众所周知，安全类产品对设备的性能要求很高，会占用大量的系统资源。普通的融合性产品的IPS通过共享主板CPU和内存来获得系统资源，因而IPS模块功能受限于主板的处理能力，而且会极大地影响其他功能的正常运作。基于模块化设计的三星Ubigate iBG系列融合产品的优势在于为ISM模块分配独立、专用的CPU和内存以确保ISM的优良性能，并且不影响网络性能。中小企业的网管或技术人员不需精通网络安全技术，选择基于GUI图形管理界面的ISM安全模块和附带引导性的配置便能迅速上手，帮助企业实现从一个全面管理的角度位置来监测来自所有途径的危害情况。

　　我们以一真实在用的中小企业为例介绍如何在ISM安全模块上实现IPS功能。该企业用户数在40-50人左右，使用一台带着ISM模块的三星Ubigate iBG3026作为路由、安全和语音网关。

　　下面我们介绍三星ISM安全模块是如何配置IPS的，以及简单的入侵防御配置方法。

　　1.我们通过进入Ubigate iBG3026 的图形化管理界面，对ISM进行配置。由于Ubigate iBG3026默认开启了HTTPS协议管理功能，因此我们利用安全的HTTPS协议，通过系统集成商提供的管理地址访问该公司的Ubigate iBG3026 (如图1) 。

　　图1

　　2.输入正确的管理员帐户信息与密码进入Ubigate iBG3026用户管理界面。由于Ubigate系列融合产品采用一体化的管理，因此建议用户设置较长的用户名和密码防止被破解，保证正常的网络通信(如图2)。

　　图2

　　3.登录到Ubigate iBG3026 的用户管理系统，首先看到的是Ubigate iBG3026的硬件的物理状态，绿色表示正常工作，然后是功能的运行状态，共有模块、接口、层2、路由、语音、QoS、AAA、VPN、防火墙、ISM安全模块、DHCP服务等功能的具体配置卡。另外，还显示包括Ubigate iBG3026运行的内存和CPU状态等信息 (如图3) 。

　　图3

　　4.选择ISM安全模块，ISM整合了防病毒引擎、防垃圾邮件、入侵检测/入侵防御、安全审计、流量监控等一系列安全产品的全部功能，加强了针对网络病毒和垃圾邮件等应用层攻击的防护措施，以多层次、立体式、全方位的保护网，彻底将攻击隔绝于网络之外，保障了网络的可用性。另外，ISM安全模块提供了方便快捷的自动配置向导，一方面可以针对不同企业的实际情况灵活选择配置，另一方面，对于不熟悉安全操作的网管人员，也能轻松驾驭，有效地为企业节省管理成本，图5为自动配置向导。

　　图5

　　5.为了更好地让大家了解IPS的功能，我们以手动配置方式为例进行介绍。首先在ISM子目录里选择IPS，再选择General卡，如图6示，我们可以设置阻止包括常见的Land.C、泪滴攻击、TCP/UDP泛洪、Ping Of Death、Smurf等攻击类型，并提供只删除及删除和阻挡的攻击处理选项。

　　图6

　　当然，针对不同企业的实际情况，我们可以做详细的配置。如选择SYN Flooding卡，可以设置出站和入站的检测方向，也可以设置当SYN packets达到一定的速率时启动限时block，另外，还可以添加exception list，对一些特殊的IP地址“网开一面”，当然这个功能只是用于企业的某些特殊用途，一般不建议添加，见图7。

　　图7

　　图8为UDP Flooding的配置界面。

　　图8

　　图9为IPS签名的配置，三星ISM安全模块IPS提供最大为2000个的签名数，并提供自动在线升级(图10)，定时更新最新的病毒库，使有效地隔绝病毒，保证了企业的网络安全。

　　图9

　　图10

　　6.我们可以查看日志来观察IPS执行的详细信息。首先，我们看看被ISM允许通过的会话的一些信息，IPS根据会话连接状态检测是否合法，如图11，其中一条记录是SYN的第二次握手，符合了TCP会话连接三次握手特征，因此允许连接。记录详细地列出了时间、规则、源IP地址、源端口、目标IP地址、目标端口、开始时间、接入端口、允许通过原因等信息。

　　图11

　　图12为拒绝连接的详细记录，同样也详细地列出了时间、规则、源IP地址、源端口、目标IP地址、目标端口、开始时间、接入端口、协议、拒绝行为等信息。通过这样详细的信息，企业网管人员能快捷地查出入侵者IP，网络中病毒主机等关键信息，我们也可以很方便地按照时间段或IP地址进行查询。

　　图12

　　7.此外，除了基于GUI的图形管理界面外，我们的ISM也可通过CLI命令行进行管理，如图13所示，列出该企业详细的阻挡信息记录，包括攻击类型、目标地址、源地址、处理结果，此信息可帮助网络管理员监控、查看日志、迅速判断网络故障的原因并对攻击来源进行监视或阻挡。

　　图13

　　同时，网络管理员也可通过命令行的形式查看内网用户信息流量的情况，进一步优化网络环境。如图14，监视到某公司的eth1端口有MSN的信息流量。

　　图14

　　8.最后，我们也可以轻松地将记录的日志保存到远程服务器或存储系统，方便以后通过分析工具对服务器上的日志信息进行统计和汇总，以便发现网络中最常见的被攻击手段(如图14)。

　　图15

　　本文主要针对企业的网络安全问题，结合三星Ubigate系列融合产品，简单介绍了三星ISM安全模块如何执行IPS。其实在日常使用过程中Ubigate iBG系列的ISM功能板卡针对IPS的设置并不复杂，我们只要事先设置好规则，IPS的操作都会自动完成，届时我们只需要定期查看系统运行状态和日志记录即可。事实上IPS功能只作为整个ISM模块功能的很小一部分，其他的ISM功能还包括IDS、网关防病毒、反垃圾邮件、Web应用程序防火墙、URL筛选和端点安全性、支持手动、自动“签名”升级等，只要策略应用得当，应用三星Ubigate iBG并使用集成安全模块(ISM)可以多层次地检测网络通信数据来阻止非法入侵和攻击。三星电子产品在业界享有相当崇高的地位，而其新开发的ISR产品是综合分析当前各大品牌的网络产品的基础上全新开发出来的，因此它具有比同类产品更高更稳定的性能、提供适用于不同企业所需要的各种丰富的功能模块，而且能同时解决当前网络设备普遍存在的问题，使得ISR灵活、易用、省钱等优势在企业网络的建设中得到很好的发挥。