明御入侵防御系统IPS
来源:
7.公司产品/0.思维导图/明御入侵防御系统IPS.xmindtmp/xmind/明御入侵防御系统IPS-outline.json明御入侵防御系统(DAS-IPS-G系列)产品白皮书-赵帅-20251119_103054.docx明御入侵防御系统(DAS-IPS-G系列)V3.0R01C01SPC200-产品招标参数(信创版)-赵帅-20260330_103022.docx- 网络安全整体结构理解图
0. 产品介绍思路
接着 明御防火墙DAS-TGFW 往下讲,防火墙解决“能不能进出”,但很多攻击会藏在被允许通过的协议载荷里,比如 HTTP、HTTPS、SMTP、FTP 等正常业务流量里的漏洞利用、木马、WebShell、勒索、挖矿和 C2 通信。IPS 就是补上这一层:不只是看端口和策略,而是深度解析流量内容,并在链路上实时阻断攻击。
再和 明御入侵检测系统IDS 对比,IDS 更偏旁路检测、告警和取证,IPS 更偏串联检测和阻断。客户如果只是想先看清攻击,可以上 IDS;如果关键链路需要实时拦截攻击,就要上 IPS。IPS 的核心价值就是“全面深度检测,智能精准阻断”。
在等保 2.0 里,IPS 主要支撑关键网络节点的入侵防范、恶意代码防范、访问控制辅助、安全审计和安全事件处置。功能可以按入侵防御、病毒防护、Web 防护、威胁情报、SSL 解密、内容过滤、网络管理、高可靠和智能分析来记。部署位置通常是互联网出口、数据中心出口、DMZ 边界、关键业务区前端和核心区域;部署方式以透明/路由/混合串联为主,也支持旁挂检测、HA、BYPASS 和智能模式。
1. 一句话总览
明御入侵防御系统 IPS 是串联在关键链路上的网络入侵检测与阻断设备:通过实时监控和持续深度解析网络流量,发现漏洞利用、木马、蠕虫、Web 攻击、病毒、DGA、C&C、挖矿、加密攻击等威胁,并按策略阻断攻击流量。
通俗记忆:
IPS = 深度看流量 + 发现攻击 + 在线阻断 + 保障业务连续它不是只告警的 IDS,也不是只做边界访问控制的防火墙。它更像串在关键链路上的“攻击拦截闸门”。
2. 产品是干什么用的
IPS 主要解决五类问题:
| 客户问题 | 产品做法 | 输出结果 |
|---|---|---|
| 防火墙放行了合法端口,但攻击藏在业务流量里 | 对 L2-L7 流量做深度解析和规则检测 | 漏洞利用、木马后门、Web 攻击等告警和阻断记录 |
| Web、病毒、勒索、挖矿等威胁需要实时拦截 | 启用 IPS、AV、Web 防护、DNS/DGA、威胁情报和 SSL 解密 | 攻击阻断、病毒查杀、C&C/DGA/矿池拦截 |
| 串联设备担心影响业务连续性 | 支持 HA、BYPASS、智能模式、升级回滚 | 高可用、故障直通、性能过载保护 |
| 关键业务区需要更深的七层防护 | 在数据中心出口或核心业务区前端串接 IPS | 对进出核心业务流量进行持续检测防护 |
| 旁路先观测,不想直接阻断 | 旁挂接入核心交换机镜像口,做检测告警和审计 | 不改业务链路即可获得入侵检测结果 |
一句话定位:在防火墙之后或关键业务链路上做深度入侵防御,把攻击从“可见”推进到“可阻断”。
3. 在等保 2.0 里哪里体现
IPS 在等保 2.0 中主要体现于 入侵防范、恶意代码防范、边界防护、访问控制辅助、安全审计和事件处置。
| 等保相关方向 | IPS 对应能力 | 怎么理解 |
|---|---|---|
| 入侵防范 | 在出口、数据中心、核心链路等关键网络节点检测并阻断攻击 | 对漏洞利用、暴力破解、Web 攻击、DDoS、扫描等进行实时防护 |
| 恶意代码防范 | AV、病毒库、文件检测、云沙箱、DGA、威胁情报 | 检测木马、蠕虫、勒索、挖矿、恶意网页代码 |
| 边界防护 | 透明/路由串联部署于边界和安全域之间 | 对进出边界的流量做深度检查 |
| 访问控制辅助 | 一体化安全策略可结合安全域、用户、应用、服务等条件 | 在访问控制基础上增加攻击内容识别 |
| 安全审计 | 入侵防御日志、病毒日志、Web 防护日志、威胁情报命中记录 | 为测评、复盘和追责提供证据 |
| 事件处置 | 按策略阻断、加黑、联动 EDR/情报/云沙箱 | 从发现攻击推进到实际处置 |
注意边界:
Important
IPS 强调实时检测和阻断,但深层 Web 业务逻辑防护仍建议配合 WAF;终端侧处置靠 EDR;全流量旁路取证和高级威胁分析可配合 IDS、AI-APT 或 AiLPHA/XSIAM。
4. 产品功能有几个大的功能模块
按 XMind、白皮书和招标参数,可以记成 8 个大功能模块:
| 模块 | 作用 |
|---|---|
| 入侵防御 | 内置 11000+ 攻击特征库,检测漏洞、木马后门、CGI 攻击、溢出、拒绝服务、扫描等并按策略阻断 |
| 病毒防护 | 内置病毒库,支持 HTTP、SMTP、FTP、POP3、IMAP 等协议和 ZIP/RAR 压缩包查杀 |
| Web 攻击防护 | 检测 SQL 注入、XSS、CSRF、WebShell、命令注入等攻击,并支持自定义 Web 防护规则 |
| 威胁情报与 DNS/DGA | 通过云端情报检测 C&C、僵尸网络、勒索、挖矿、矿池、恶意代理和 DGA 域名 |
| SSL 解密与加密流量检测 | 解密 HTTPS、SMTPS、POPS、IMAPS 等流量后再做 IPS、AV、内容过滤等深度检测 |
| 内容与文件过滤 | 对邮件内容、文件名、传输内容、协议命令、网页内容和文件类型进行阻断或告警 |
| 网络与管理特性 | 透明、路由、混合、旁挂部署;路由、NAT、IPv4/IPv6、用户识别、应用识别、升级回滚 |
| 高可靠与智能安全中心 | HA、BYPASS、智能模式、智能 DGA、智能事件分析、恒脑 AI 研判、EDR 联动和云沙箱接入 |
也可以简化成四层架构:
流量接入层 -> 深度检测层 -> 阻断处置层 -> 高可靠与智能运维层5. 产品部署在哪里
结合网络结构图,IPS 应部署在 关键流量必须经过、且需要实时阻断攻击的位置。
常见位置:
- 互联网出口 / 边界区:串联在出口链路上,对办公区、DMZ 和其他区域进出流量做入侵防御、AV、Web 防护和威胁情报检测。
- DMZ 边界:保护公网 Web、API、邮件、代理等对外服务,阻断 Web 攻击、漏洞利用和恶意文件。
- 数据中心出口 / 核心业务区前端:保护服务器、数据库、中间件和核心业务系统的进出流量。
- 核心交换区域:以旁挂方式接收镜像流量,先做检测审计和风险评估。
- 总部与分支出口:对总部和分支进出流量做统一检测,适合和防火墙、VPN、集中管理平台配合。
- IPv6 或信创网络环境:支持 IPv4/IPv6 双协议栈和信创版本,适合国产化环境建设。
记忆图:
关键链路和关键区域前
├─ 互联网出口:外部攻击入口,适合透明/路由串联
├─ DMZ边界:Web/API/邮件等对外服务防护
├─ 数据中心出口:核心业务和服务器流量深度防护
├─ 核心交换旁路:镜像流量检测、审计和告警
├─ 总部/分支出口:多区域统一边界防御
└─ 信创/IPv6环境:国产化和双栈网络入侵防护6. 产品部署方式有哪些
| 部署方式 | 适用场景 | 记忆点 |
|---|---|---|
| 透明模式 | 不想改三层网关和路由,但需要串联阻断 | 串接检测或阻断,不改变网络结构 |
| 路由模式 | 设备作为三层节点接入 | 作为网关或路由设备检测阻断出入流量 |
| 混合模式 | 复杂网络改造 | 路由和透明结合 |
| 旁挂模式 | 先监测审计、不直接阻断 | 接核心交换镜像口,发现并上报可疑文件和行为 |
| HA 部署 | 出口和核心链路高可用 | A/S、A/A 双机备份,主设备故障自动切换 |
| BYPASS | 担心串联设备故障影响业务 | 硬件或电源故障时快速直通 |
| 智能模式 | 流量突增导致安全引擎过载 | 部分新流量直接转发,避免业务中断 |
| 云沙箱 / EDR 联动 | 需要样本分析和终端处置 | 跳转云沙箱分析文件,联动 EDR 管控失陷主机 |
核心部署口径:
IPS要阻断,通常要串联;
不改网络用透明;
作为网关用路由;
复杂场景用混合;
只想先看风险用旁挂;
关键链路必须配HA/BYPASS;
深度样本和终端处置靠云沙箱/EDR联动。7. 新人速记
明御入侵防御系统IPS
├─ 是什么:串联链路上的网络入侵防御设备
├─ 干什么:深度解析流量,发现并阻断漏洞利用、Web攻击、病毒、DGA、C2、挖矿
├─ 等保作用:入侵防范、恶意代码防范、边界防护、安全审计、事件处置
├─ 功能模块:入侵防御、病毒防护、Web防护、威胁情报、SSL解密、内容文件过滤、网络管理、高可靠智能中心
├─ 部署位置:互联网出口、DMZ、数据中心、核心业务区、核心交换旁路、总部/分支出口
├─ 部署方式:透明、路由、混合、旁挂、HA、BYPASS、智能模式、联动云沙箱/EDR
└─ 产品边界:实时阻断强于IDS,但旁挂时主要是检测告警;Web深层逻辑和终端处置要联动WAF/EDR8. 一句话复述
明御入侵防御系统 IPS 是部署在互联网出口、DMZ、数据中心和关键业务链路上的网络入侵防御设备,通过 L2-L7 深度解析、入侵防御、病毒防护、Web 防护、威胁情报、SSL 解密、DGA 检测、智能事件分析和高可靠机制,帮助客户在关键网络节点实时发现并阻断攻击,支撑等保 2.0 的入侵防范、恶意代码防范、安全审计和事件处置要求。