|
|
 |
● 深層檢測(deep packet inspection)。現在的IDP 已經可以突破傳統防火牆的 限制,而檢視對應OSI
模型4 到7 層裡的封包內容(相當於TCP/IP 模型的 應用層)。
由於新型的攻擊的程式碼資料便隱藏在TCP/IP 通訊協定的應用層裡,「深層檢測」的技術能讓這些惡意攻擊的網路封包無所遁形。
● 串連模式(in-line mode)。IDP 必須置於企業網路入口的閘道位置, 所有進出企業內部網路的封包都需經過IPS 作深層檢測的工作。In-line
mode 的運行特徵是 IDP 與 IDS 在運行上的最大不同之處。IDS 只能在網路的一旁 以監聽模式(sniff mode)監聽網路封包,而當IDS
監聽到惡意攻擊封包時, 這些攻擊封包早已入侵企業內部網路。In-line mode 又稱「閘道器模式」或 者「在線模式」。
●即時偵測(real-time detection)。IDP 必須要能對所有進出企業內部網路的封 包做到「即時偵測」。若無法即時偵測,當攻擊封包穿過
IDP 欲再採取防禦 措施時也為時已晚。IDS 無法做到即時偵測,它的主要功能是紀錄入侵的網 路封包,並在發覺大量可疑的攻擊封包後發出警訊,或者提供封包記錄供相
關人員事後分析。
●主動防禦(proactive prevention)。「深層檢測」、「串連模式」、「即時偵測」 這三項特性讓IPS 能夠即時發現隱藏在TCP/IP
應用層裡的惡意攻擊封包, 並在發現這類惡意攻擊封包時,即時將它們丟棄,而之後與這些惡意封包相 關的所有封包都會被直接丟棄,不需要再作檢查;如此惡意攻擊封包便無法
進入網路,達到「主動防禦」的功能。
● 線速運行(wire-line speed)。由於IDP 以閘道器的模式串接企業的內部與外 部網路,它一方面必須對過往的封包做即時且深層的檢查/丟棄的工作,一
方面要讓企業使用者不能因為 IDP 的存在而覺得資料傳輸延滯的情形發 生,所以IPS 必須要有極高的執行效能,方能讓過往傳輸的封包到達「線速」
的境界。若IPS 無法以「線速」運行,則 IDP 會拖累企業網路對外界的傳輸 速度,並可能影響企業裝設 IDP 的意願。 |
|
| |
|
