网络防御工具：入侵防御系统（IPS）

IPS 与 IDS 的区别在于，它可以通过在网络各个位置的路由器/交换机上设置过滤标准来配置，以阻止潜在威胁。

IPS 系统实时监控流量，丢弃任何可疑的恶意数据包，阻止来自恶意源地址的流量或重置可疑连接。在大多数情况下，IPS 还具有 IDS 功能。一些 IDS/IPS 工具会在垃圾邮件准备阶段生成警报，这可以通过垃圾邮件机器人在发送垃圾邮件之前为发现邮件服务器而生成的 DNS MX 查询的增加来指示。

IPS 系统是主动的，理论上，它应该可以自主工作，无需安全/网络管理员的干预。例如，在检查标题时，如果 IPS 系统怀疑某封电子邮件不安全，它可以阻止将其转发给最终用户。但是，由于误报或这些系统配置错误，阻止合法流量的风险是一个巨大的问题。然而，在实践中，IPS 系统大多设置为检测模式，并且只有当事件发生率为真阳性的置信度很高时才开始阻止流量。

IDS/IPS 供应商会定期提供签名更新，安全团队必须根据部署的网络环境确定部署哪些签名更新。IDS/IPS 也可以是软件，部署在战略端点的应用层上。它们没有自己的操作系统，而是依赖于主机，但可以进行微调以支持和保护部署到的特定设备。

网络防御还有其他几种机制。在国防或关键基础设施等高度安全的环境中，可以配置一种称为数据二极管的设备，以允许仅在一个方向上进行安全的数据流。例如，水坝可以向居住在附近的人们提供有关水位的信息，但可能会限制将任何信息发送回水坝控制网络。有关此主题的全面介绍，请参阅安全运营和事件管理知识领域。