# intrusion prevention(IPS)的主要功能和特性： ## 實時監控和檢測 功能：IPS 系統實時監控網絡流量，分析數據包以檢測可疑行為和潛在攻擊。 特性：使用簽名和行為分析技術來識別已知和未知的威脅。 ## 阻止攻擊 功能：一旦檢測到威脅，IPS 系統可以立即采取措施阻止攻擊，如丟棄惡意流量或阻斷源 IP 地址。 特性：動態阻止惡意行為，防止攻擊成功。 ## 簽名庫 功能：IPS 使用預定義的攻擊簽名來識別已知威脅，簽名庫需要定期更新以應對新的威脅。 特性：定期更新簽名庫以確保防護能力。 ## 行為分析 功能：通過分析流量模式和行為來檢測未知威脅或零日攻擊（Zero-day Attack）。 特性：能夠識別異常行為和潛在威脅，即使它們不在簽名庫中。 ## 報告和警報 功能：生成詳細的安全報告和警報，提供有關攻擊企圖和阻止行動的資訊。 特性：有助於安全管理員了解和分析安全事件，改進安全策略。 # Inspection Mode模式差別 FortiGate 設備提供兩種主要的檢查模式（Inspection Mode），每種模式在流量檢查方式和性能影響方面有所不同。這兩種模式分別是「Proxy-based inspection」和「Flow-based inspection」。 ## Proxy-based Inspection 在Proxy-based模式下，FortiGate 會作為中介代理來處理所有流量。當流量進入FortiGate 時，數據包會被完全重組並進行深度檢查，然後再根據檢查結果將數據包轉發到目標地址。 * 適用場景：適合需要高級威脅防護的環境，如金融機構、企業內網和需要精細化安全策略的場景。 * 使用建議：在對安全性要求極高且流量較小的環境中使用，以充分利用其深度檢查能力。 **特性和優點：** **1. 深度檢查：** * 特性：能夠對所有數據包進行深入分析，包括內容檢查和應用層的深度包檢查（DPI）。 * 優點：提供高級威脅防護，能夠檢測和阻止更複雜的攻擊，如病毒、惡意軟件、間諜軟件和入侵。 **2.精確控制：** 特性：允許對流量進行精細化的策略控制和過濾。 優點：能夠實施詳細的安全策略和應用控制，提供更高的安全性。 缺點： 性能影響：由於需要進行深度檢查和數據包重組，代理檢查模式可能會對網絡性能產生較大影響，尤其是在高流量環境中。 ## Flow-based Inspection 在流量檢查模式下，FortiGate 只對流量進行逐包檢查，檢查過程不需要完全重組數據包。這種模式側重於快速識別和處理流量，而不是深入分析每個數據包的內容。 * 適用場景：適合高流量、對性能要求高的環境，如大型數據中心、互聯網服務提供商和需要快速處理流量的場景。 * 使用建議：在對性能要求高且能接受基本安全防護的環境中使用，以保持網絡的高效運行。 ### 特性和優點： **1.高性能：** * 特性：檢查過程更快，對網絡性能影響較小。 * 優點：適合高流量環境和對性能要求較高的應用場景，能夠在提供基本安全檢查的同時保持網絡的高效運行。 **2.基本防護：** * 特性：提供基本的安全檢查功能，如 IPS、應用控制和一些基本的內容過濾。 * 優點：能夠阻止大部分已知的威脅和攻擊，提供足夠的安全防護。 **3.缺點：** * 檢查深度有限：相比代理檢查模式，流量檢查模式無法進行深度內容檢查，對於一些複雜攻擊和高級威脅的檢測能力較弱。 適用場景