基於主機的入侵防禦

分層安全是電腦和網路安全中廣泛接受的原則。該原則的基本前提是需要多層防禦來保護資源和資料免受各種攻擊和威脅。一種產品或一種技術不僅不可能防禦每一種可能的威脅，而且擁有多道防線還可以讓產品「捕獲」繞過現有威脅的入侵者。

許多應用程式和裝置可用於不同的安全層，例如防毒軟體、防火牆、IDS（入侵偵測系統）等。每種類型都有自己的功能。功能略有不同，能夠保護系統免受各種威脅不同的攻擊。

其中一項較新的技術是 IPS（入侵防禦系統）。 IPS 就像是將 IDS 與防火牆結合。典型的 IDS 會記錄或警告使用者有關可疑流量的信息，但如何回應取決於使用者。 IPS 有策略和規則來比較網路流量。如果任何流量違反這些策略和規則，IPS 可以設定為回應，而不僅僅是警告使用者。典型的回應可能是阻止來自來源IP 位址的所有流量或阻止該連接埠上的傳入流量，以主動保護電腦或網路。

有基於網路的入侵防禦系統（NIPS）和基於主機的入侵防禦系統（HIPS）。儘管部署 HIPS 的成本可能更高，尤其是在大型企業環境中，但只要有可能，建議使用基於伺服器的安全性。

基於主機的網路入侵防禦解決方案 (HIPS)

• 不要依賴簽章：簽章或已知威脅的特徵是防毒和入侵偵測 (IDS) 軟體使用的主要手段之一。直到威脅實際存在並且用戶可能在創建簽名之前受到攻擊時才能開發簽名。基於主機的入侵防禦解決方案應將基於簽章的偵測與異常偵測結合，以建立「正常」網路活動的基線，然後對出現的任何異常流量做出回應。例如，如果電腦從不使用 FTP，且突然有威脅嘗試從該電腦開啟 FTP 連接，HIPS 會將其偵測為異常活動。
• 使用設定：某些 HIPS 解決方案可能會限制它們可以監視和保護的程式或進程。您應該嘗試尋找能夠處理商用軟體包以及任何正在使用的內部自訂應用程式的 HIPS。如果您不使用自訂應用程式或不認為這對您的環境來說是一個重要問題，那麼至少要確保您的 HIPS 解決方案能夠保護正在運行的程式和進程。
• 允許建立策略：大多數 HIPS 解決方案都附帶一套相當完整的策略，供應商通常會更新或發布新策略，以針對新威脅或攻擊提供特定回應。但是，重要的是，您有能力創建自己的策略，以防出現供應商未解釋的獨特威脅，或者出現新威脅而您需要策略時。在供應商之前製定策略來保護您的系統有時間發布更新。您需要確保您使用的產品不僅能夠創建策略，而且策略創建也易於理解，不需要數週的培訓或專家程式設計技能。
• 提供集中報告和管理：當談到針對單一伺服器或工作站的基於伺服器的保護時，HIPS 和 NIPS 解決方案相對昂貴，超出了普通家庭單一使用者的承受能力。因此，即使在談論 HIPS 時，從網路上數百個桌面和伺服器上部署 HIPS 的角度來看，它也可能值得考慮。雖然在單一桌面層級受到保護固然很好，但如果沒有管理和良好的重點報告的能力，管理數百個單獨的系統或嘗試產生匯總報告幾乎是不可能的。選擇產品時，請確保它具有集中式報告和管理功能，以便您可以將新策略部署到所有電腦或從一個位置的所有電腦產生報告。

其他需要記住的事情

您還需要牢記其他一些事項。首先，HIPS 和 NIPS 並不是解決安全等複雜問題的簡單解決方案。它們可以成為堅固的多層防禦系統（包括防火牆和防毒應用程式）的重要補充，但不能取代現有技術。

其次，實施 HIPS 解決方案一開始可能會有點困難。配置基於異常的檢測通常需要大量“幫助”，以便應用程式了解什麼是“正常”流量以及什麼是異常流量。在建立定義系統「正常」流量的基線時，您可能會遇到一些問題。

最終，公司通常會根據產品能為他們做什麼來決定購買產品。實際上，這是根據投資回報率或 ROI（投資回報率）來衡量的。也就是說，如果您在新產品或技術上投入一筆資金，該產品或技術需要多長時間才能獲得回報？

不幸的是，電腦和網路安全產品通常並不相同。如果安全產品或技術按設計工作，網路將是安全的，但不會有「利潤」來衡量投資回報。人們必須看到其缺點，並考慮如果不採用該產品或技術，公司可能會損失多少。需要多少資金來重建伺服器、恢復資料、技術人員在攻擊後「清理」的時間和資源等等？如果不使用該安全產品，企業損失的資金可能會比購買產品或技術的成本多得多。