38、SRX设备的入侵防御系统（IPS）功能详解

SRX设备的入侵防御系统（IPS）功能详解

1. SRX的IPS管理与攻击阶段

1.1 SRX的IPS管理特性

SRX在IPS管理方面有独特之处。以往管理Juniper的IPS产品（如独立IDP设备和带有IDP安全模块的ISG）需要网络和安全管理器（NSM）平台，但SRX无需NSM即可实现所有IPS功能，不过NSM也能对其进行管理。用户可通过CLI全面管理SRX的IPS，大部分功能也能在J - Web中操作。虽然在NSM上查看攻击对象内容等任务更便捷，但SRX本身已具备完整功能，无需额外软件系统。

1.2 系统被攻击的常见阶段

理解攻击阶段对提供全面安全防护至关重要，常见的攻击阶段可简化为以下四个：
- 侦察阶段 ：攻击者通常在此阶段识别易受攻击的主机，采用端口扫描、横幅抓取等技术，试图获取系统平台及软件信息。SRX可通过屏幕功能防范各类扫描，其IPS中有大量与信息泄露尝试相关的攻击对象，还能使用IP操作（后续章节会详细讨论）屏蔽进行此类侦察的源流量。
- 漏洞利用阶段 ：识别出易受攻击的系统后，攻击者会尝试利用系统漏洞。此阶段可能导致系统或服务崩溃（拒绝服务攻击，DoS），或改变系统执行控制。攻击者常注入shellcode以进一步利用漏洞。SRX拥有数千个攻击对象，能基于协议异常和签名对漏洞利用进行全面防护，可抵御导致系统崩溃和试图破坏系统的攻击。
- Shellcode执行阶段 ：若攻击目的是破坏而非仅使系统崩溃，攻击者在漏洞利用阶段通常会注入shellcode。Shellcode可替代正常应用程序执行，实