入侵防禦系統 (IPS)

FortiGate IPS：防禦已知威脅和零日威脅 | 入侵防禦系統
Fortinet FortiGate防火牆提供了一款全方位的安全驅動型網絡平台，能夠為企業提供經行業驗證的 IPS 解決方案，幫助企業實現卓越的安全防禦性和提供行業領先的 IPS 性能。該平台由 FortiGuard Labs 的 AI/ML 驅動型威脅情報提供支持。

什麼是入侵防禦系統 (IPS)？
入侵防禦系統 (IPS) 可幫助企業識別惡意流量並主動攔截此類流量進入企業網絡。企業可將 IPS 功能部署到入棧流量方向，以監控並檢查入棧流量中是否存在漏洞和漏洞利用程序；如果檢測到威脅，則按照安全防禦策略採取適當的措施，比如阻止訪問、隔離主機或阻止訪問外部網站以免引入潛在威脅等。

入侵防禦系統工作原理
IPS 通常採用在線部署方式，位於源地址和目標地址之間的通信數據流上，可以實時分析該路徑上的所有網絡流量，並採取自動化預防措施。 IPS功能可部署在網絡數據流中的任何位置，但最常見的位置是：

•企業邊緣/邊界
•企業數據中心

IPS 可以作為一款獨立的解決方案進行部署，也可以集成到下一代防火牆 (NGFW) 的綜合性 IPS 功能中。 IPS 利用漏洞或漏洞利用程序特有的簽名庫來識別惡意流量，包括簽名檢測和統計異常行為檢測。

•簽名檢測技術使用的是漏洞利用程序代碼內的唯一標識簽名。一旦發現漏洞利用程序，它們的簽名就會被標記入一個不斷擴充的數據庫中。 IPS 簽名檢測需要用到兩種簽名：一種是漏洞利用程序簽名（用於識別各個漏洞利用程序），一種是漏洞簽名（用於識別攻擊者所瞄準的系統漏洞成語）。漏洞簽名統計有助於識別新出現的潛在威脅變體，但同時也會增加誤報風險（將合法數據包誤標為威脅）。
•統計異常檢測會隨機採用數據流量樣本，然後將其與標准進行比較。如果樣本不在標準範圍內，IPS 將觸發防止潛在攻擊的動作。
一旦發現入侵網絡的惡意流量，IPS 就會部署並更新虛擬補丁進行防禦。虛擬補丁是一種有效的安全防護措施，可防止攻擊者利用已知和未知漏洞入侵企業網絡。虛擬補丁通過實施安全策略和規則來發揮作用，可防止攻擊者潛入企業網絡路徑找到漏洞，從而實現整個網絡層而非僅主機層的漏洞防禦。

IPS vs. IDS
IPS 是入侵檢測系統 (IDS) 的增強版。 IDS 技術使用相同的概念來識別流量，也運用了一些類似的技術，但主要區別在於 IPS 是在線部署，而 IDS 是旁路部署，它檢查的是整個流量，可監控網絡威脅並提供相關分析和可視性，但無法採取任何預防措施。

當探測到威脅時，IDS 系統會向網絡管理員發送潛在威脅警報，而 IPS 系統可以採取更實質性的防禦措施來控製網絡訪問、監控入侵數據並防止攻擊層面的擴展。

FortiGate IPS
Fortinet FortiGate 防火牆提供了一款全方位的 IPS 解決方案 — 該解決方案既可作為獨立的 IPS 設備進行部署，又可集成到防火牆的綜合性 IPS 功能中。 FortiGate IPS 經過了 NSS Labs 和其他第三方評估測試的驗證，通過無與倫比的 IPS 吞吐量實現高度有效的安全性，並且在硬件設備、虛擬機和基於雲的服務中均可應用。