【小谈一下Network IPS】赛门铁克的流量扫描功能-Intrusion Prevention System

驭龙

      今天我有时间，把前几天重新安装诺顿的一个测试情况发上来，还是关于IPS-入侵防御系统的，官方也把其为Network Intrusion Prevention Solution，也就是网络入侵防御解决方案。
关于Network IPS的官方英文内容：

Network Intrusion Prevention Solution (Network IPS)
The protocol-aware IPS understands and scans over 200 different protocols. It intelligently and accurately breaks apart binary and network protocols looking for signs of malicious traffic. This intelligence allows for highly accurate network scanning while delivering robust protection. At its heart is a generic exploit-blocking engine, which provides evasion-proof blocking of attacks on vulnerabilities. A unique feature of the Symantec IPS is that no configuration is needed to enable Network IPS protection capabilities out of the box. Every Norton consumer product and every Symantec Endpoint Protection 12.1 and later enable this crucial technology by default.

      三年前我就发帖说过IPS是Norton的流量扫描，只不过抵御的是网络入侵特征，而非完整病毒库的流量扫描，相关内容可见我三年前的帖子
http://bbs.kafan.cn/thread-1281915-1-1.html

      虽然当初我已经这样说了，可我并没有给大家实际展示，前几天我回归Norton 360 22.5的时候，为了测试与EMET的冲突，我就做了一个测试，来证明IPS对于入侵的防御根本不需要插件和注入浏览器进程的模块。

      这几年我喜欢用EMET，而最新版的Norton 22系中IPS注入IE进程的模块与EMET模块冲突，无法同时注入相同的进程，所以我很少用新版本的Norton了，可事实上真的如此吗？

      我让EMET模块注入IE进程以后，IPS的模块无法注入IE，那么IPS失效了吗？我访问一个挂马网站（实机访问），IPS发威，即使是IE进程没有被IPS引擎模块，IPS强大的流量扫描依然发挥防御效果，阻止浏览器访问入侵网页。


      大家注意看IE进程中有EMET模块的，所以完全找不到IPS引擎模块，所以这可以确认IPS确实是基于网络层流量防御的功能。


      IPS引擎模块是不注入QQ浏览器进程的，我使用QQ浏览器访问挂马网站，IPS强大的网络层流量过滤依然轻松防御挂马网站的入侵特征。


再来一张IE拦截图。


      通过上述体验，足以证明IPS体系在没有引擎模块注入浏览器的情况下，其强大的网络层流量过滤依然具有强大的防御效果，所以大家无需担心Norton没有完整特征库的流量扫描，因为有强大的网络入侵防御解决方案足够防御网络入侵。

      当然，IPS模块注入IE进程还是很有用的，并不是没有用，IPS注入IE的引擎模块中有IPS Script Engine，这是十分重要的引擎模块，所以大家不要以为IPS引擎模块注入IE是多此一举，因为它真的是很有价值的，总之一句话，IPS网络层流量过滤和IPS注入的引擎模块才是Network IPS的完整防御体系!

PS：以上为个人观点，如有错误却各位多多包涵！

play_emma

嗯，懂了！测试证据表明，那个人真心乱给我解释……还是有测试截图靠谱！

尘梦幽然

ips还有很多局限，我还是很重视浏览器主动防护的

驭龙

尘梦幽然 发表于 2015-7-6 10:41
ips还有很多局限，我还是很重视浏览器主动防护的

当然了，SEP就缺少网页信誉的防护，也就是Norton的Web Protection库。

话说DrWeb 11 Beta就添加了Secure Browser功能，实际上就是近似于沙箱的功能把默认浏览器保护起来，似乎是不错的发展方向，如果Norton也有就好了

ksss5566

龙大又来科普了，前排围观

ksss5566

尘梦幽然 发表于 2015-7-6 10:41
ips还有很多局限，我还是很重视浏览器主动防护的

能简单讲讲吗？或者有介绍的给个链接也行。

驭龙

ksss5566 发表于 2015-7-6 10:54
龙大又来科普了，前排围观

这个不算科普，只是简单说一下测试情况

感谢来支持

欧阳宣

漏洞类挂马类感染类，毒网区光靠ips真能扛住的，不需要工具条

这一点诺顿真是棒棒哒

blacksaussage

这个贴差不多算回炉重造过了

驭龙

blacksaussage 发表于 2015-7-6 11:15
这个贴差不多算回炉重造过了

啥意思？啥叫差不多算回炉重造过？哪里有问题？我好像也没有编辑过啊