什麼是 IPS (入侵防禦系統, Intrusion Prevention System)?🛡️
IPS 是一種網路安全設備或軟體,它的主要功能是持續監控網路流量,並在偵測到惡意活動時,自動且即時地採取行動,主動阻止這些威脅。
你可以把 IPS 想像成一個有權力執法的「安全警衛」。這個警衛不只會像監視器那樣錄影和發出警報(這是 IDS 的工作),他還會直接動手,在壞人造成傷害之前就將其攔截。
IPS 的核心功能 🔑
IPS 的核心價值在於它將「偵測」和「防禦」結合在一起。- 偵測 (Detection) 🔍:
- IPS 會檢查流經網路的所有數據封包,尋找可疑的活動。它主要透過兩種方法來偵測威脅:
- 基於特徵碼 (Signature-based): 就像警方有犯罪分子的「指紋庫」一樣,IPS 內建一個包含已知攻擊模式的資料庫。當它發現任何流量與這些模式(特徵碼)匹配時,就會將其標記為惡意。
- 基於異常 (Anomaly-based): IPS 會先學習和建立網路流量的「正常行為基準線」。當它偵測到流量與這個基準線有顯著偏差時,就會將其標記為可疑。
- 防禦 (Prevention) 🛑:
- 這是 IPS 與 IDS (入侵偵測系統) 最根本的區別。一旦 IPS 偵測到威脅,它會立即採取行動來阻止攻擊:
- 阻擋惡意封包: 直接丟棄包含惡意內容的封包,不讓它們進入網路。
- 切斷連接: 終止惡意的網路連接,防止攻擊繼續。
- 封鎖來源 IP: 暫時或永久地阻擋來自攻擊者的 IP 位址的所有流量。
- 發出警報: 除了主動防禦,IPS 也會發出警報通知管理員,以便他們進行後續的調查。
IPS 的部署與運作 🛠️
- 部署位置: IPS 必須部署在網路的「線上」(in-line),也就是所有網路流量都必須流經 IPS 設備。這樣它才能在流量到達目標伺服器之前,就對其進行實時分析和阻擋。
- 與防火牆的關係: IPS 通常部署在防火牆的後面,作為第二道防線。防火牆負責阻擋那些明確違反基本規則(例如 IP 位址、埠號)的流量,而 IPS 則對那些通過防火牆但仍然可疑的流量進行更深層次的檢查。
NetFlow 是什麼?📊
NetFlow 是一個由 Cisco 開發的網路協定,用於收集和分析網路流量的元數據 (Metadata)。
你可以把 NetFlow 想像成你的「網路通話明細」或「網路電話帳單」。這張帳單不會記錄通話的實際內容(你說了什麼),但會詳細記錄:
- 誰 打給 誰?(來源和目的 IP)
- 何時 打的?(通話時間)
- 講了 多久?(通話持續時間)
- 說了 多少 話?(傳輸的數據量)
🔹一句話解釋
NetFlow 是讓你看清楚「一段時間內,網路上有誰跟誰講話、用了多少頻寬」的工具,像是網路的「通話記錄本」。
