防范和抵御两手都要硬(转)-优快云博客

随着网络攻击日益复杂，防火墙和入侵检测系统(IDS)难以全面防护。入侵防御系统(IPS)作为新兴技术，能在攻击发生前阻止威胁，是对现有安全措施的有效补充。TopLayer公司的AttackMitigatorIPS套件采用ASIC技术，能够在线阻止多种攻击类型，保障正常数据流畅通。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

防范和抵御两手都要硬(转)[@more@]

　　防火墙、IDS(入侵检测系统)是保障网络安全不可缺少的基础产品，但是单靠防火墙和IDS的安全机制，不可能完全应对越来越复杂的网络攻击。在实际环境中，防火墙和IDS都已显示出一些不足。例如，攻击者通过防火墙的开放端口入侵网络系统；防火墙不能有效阻止HTTP蠕虫、混合攻击、DoS攻击以及DDoS攻击；当防火墙不能抵挡攻击时，就会变成攻击者用来攻击他人的工具。IDS系统能够识别并记录攻击，但却不能及时阻止攻击，而且在IDS生成的大量预警记录中人们很难在短时间内从中找出有用信息。近年来兴起的入侵防御（Intrusion　Prevention　system，IPS）技术可以弥补防火墙和IDS的以上不足。

　　 IPS是由最初研究IDS的一班人马提出的。一经提出，IPS便倍受重视，并开始被产品化。Top Layer公司是较早涉足IPS领域的厂商之一，据该公司大中华区总经理陈劲夫先生介绍，IPS的原理是既能够实时检测入侵又可以在灾害发生之前正确阻止攻击，是对防火墙和IDS的有益补充，从网络拓扑结构上看，IPS设备应该位于防火墙和IDS之间。

　　不同厂商在实现IPS工作机制时采用了各不相同的技术手段。Top Layer公司实现入侵防御的途径是采用由Top Fire Engine软件和ASIC硬件集成的基本架构，通过对网络流量进行多层分类，使良性业务流量在短时间内通过IPS设备，恶性业务流量被过滤掉，可疑业务流量经过多个过滤引擎处理，以此达到安全防御的目的。网络设备的速度直接决定该设备是否会成为网络的瓶颈，为了赋予IPS设备高速度，Top Layer一直进行ASIC自主研发，并率先在ASIC中增加了CPU设计。CPU的加入使得Top Layer为提高IPS产品的扩展性能打下了坚实的技术基础。

　　不久前，Top Layer正式在中国市场上投放了采用ASIC技术的IPS产品――Attack Mitigator IPS套件。该套件是一种在线的解决方案，可以阻止由防火墙漏掉的，或IDS只能检测而不能处理的网络攻击。在对混合性攻击、HTTP蠕虫、SYN flood、协议和数据量异常、DoS和DDoS进行阻止的同时，Attack Mitigator IPS套件可以保障良性数据流快速顺利通过。目前Top Layer推出的Attack Mitigator IPS套件包含以下解决方案：针对100Mbps的部门级解决方案、针对1Gbps流量的企业级解决方案、带有冗余配置的2Gbps流量解决方案以及带有高可用配置的2Gbps流量解决方案。

　　陈劲夫希望Top Layer的 Attack Mitigator IPS 产品套件能够以更全面、更智能的检测方法，使中国用户的网络免受各种攻击。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/8403220/viewspace-935278/，如需转载，请注明出处，否则将追究法律责任。