筛选IPS之八大定律

在保护企业网服务器不受攻击方面，安全经理面临着众多的挑战。尽管入侵检测系统（IDS）曾一度广受欢迎，但如今互联网上攻击方式不断翻新，同时，签名技术的IDS检测不到新攻击和变形攻击，也检测不出加密流量中的攻击，因此，传统的IDS在主动性上逐渐显示出其局限性。

那么，企业还有什么选择呢？入侵防护系统（IPS）是企业下一代安全系统的大趋势。它不仅可进行检测，还能在攻击造成损坏前阻断它们，从而将IDS提升到一个新水平。IDS和IPS的明显区别在于：IPS阻断了病毒，而IDS则在病毒爆发后进行病毒清除工作。

目前市场上有许多种产品都被冠以“防护”的字眼。但是，真正的入侵防护解决方案可使企业不必进行分析即可采取措施保护系统；同时，它可防止攻击对操作系统、应用程序和数据造成损坏。McAfee公司认为，一个理想的入侵防护解决方案应该包括以下八大特点：

主动、实时预防攻击

应该在任何未授权活动开始前找出攻击，并防止它进入重要的服务器资源。

补丁等待保护

补丁管理是一个复杂的过程。在补丁被开发和安装之间，聪明的黑客会对服务器和重要数据造成破坏，McAfee IntruShield入侵防护解决方案可为系统管理员提供补丁等待期内的保护和充足时间，以测试并安装补丁。

保护每个重要的服务器

服务器中有最敏感的企业数据，是大多数黑客攻击的主要目标。通过对IntruShield进行配置，可以设定对服务器的专门保护方案，从而为企业的重要的资源提供深层防护。

签名和行为规则

检测入侵最有效的方法是采取混合方式，即整合针对具体攻击的签名和行为规则的力量。这一混合方式可提供已知和未知攻击保护，而同时将误报率保持在最低，从而无须做出任何损失性让步。McAfee IntruShield通过进行签名设置，以“in-line”模式配置的入侵防护解决方案，可以设定一种响应行为，用以抓取攻击的数据包，从而在黑客对漏洞发动攻击之前，就阻止它们。