|
정의
|
- 공격 시그니처를 찾아내 네트워크에 연결된 기기에 수상한 활용이 이루어지는 지를 감시하여 자동으로 해결조치 하는 보안 솔루션
- 침입방지 능력과 신속한 대응속도를 위하여 네트워크 라인상 또는 시스템의 커널에 위하는 침입을 탐지하고 즉각적인 대응이 가능한 보안시스템
|
|
등장배경
|
- 기존 보안제품의 한계 : IDS는 공격을 탐지하더라도 방어할 수 없고, 사람의 개입이 반드시 필요함
- 효과적 공격탐지 필요 : IDS의 문제점인 높은 오탐율에 대한 해결 방안 필요
- 신속한 자동대응 : 광대역 네트워크에 적합한 Wire Speed의 성능 보장 필요
|
|
주요기능
|
- 2단계 방어 : 방화벽과 연동하여 IPS와 2단계 방어를 제공
- DDoS 차단 : 공격을 차단하여 보안 인프라와 네트워크 영향 최소화
- 모든 트래픽 처리 : TCP, UDP, IP 등 모든 프로토콜에 대한 트래픽 처리
|
|
주요기능
|
- Web Management Interface : 웹 브라우저를 통한 구성 및 관리기능
- Security Alarms : 공격에 대한 정보를 제공하는 알림 서비스
- SYN Flood Reporting : DDoS 해킹 공격에 대한 보고
- IP Application Rate Limiting : 애플리케이션 별로 속도 제한 기능
|
|
구성
|
- IPS는 방화벽 후방에 인라인 형태로써 트래픽에 대한 모든 세션관리가 가능하게 구성됨
- 방화벽에서 DMZ를 구성시, DMZ 구간 링크에 대해서도 추가적으로 인라인으로 구성함
- 일반적으로 IPS로 인한 장애를 방지하기 위해서 고가용성 구조로써 구성함
|
|
고려사항
|
- 지연은 대화형 어플리케이션에 영향을 주고, 사용자 응답시간에 영향을 줄 수 있음
- IPS 도입으로 인한 지연의 영향을 분석하고 최대 수용 가능한 지연을 결정하는 것이 중요함
- 장기간의 안정성이 인라인 IPS 장치에서 네트워크 장애를 방지하기 위해서 매우 중요함
- 합법적인 트래픽과 함께 들어오는 공격 트래픽에 대해서 장치는 공격을 100% 차단하고, 합법적인 트래픽은 모두 통과시키는 것이 서비스에 필수 요건임
|