【TechTarget中国原创】问:IPS传感器用“自上而下”的方式搜索特征文件是什么意思呢?
答:你可能对防火墙的“自上而下”的匹配方法比较熟悉。当防火墙遇到新的流量的时候,它就从规则的上部开始,检查每一条规则是否和流量匹配。当防火墙找到匹配的时候,它就执行某种行为并停止检查。即使流量和不止一条防火墙规则相匹配,它也只受最高等级的规则的影响:从上向下数的第一条。
IPS传感器使用同样的方法:他们从列表的开始处理入侵特征,然后执行第一条匹配规则的特定行为。因此,每个公司都应该把IPS特征分类,这样最重要的特征就能处于最高的位置。这样,当信息包和很多条特征相匹配的时候,你就可以肯定是最高优先级的规则在执行IPS响应。把规则以这种方法分类相当简单。实际上,最简单的做法是以响应的严重程度排序:把所有“拒绝”规则放在列表的最前面,下面是“警告”规则。然后是“允许”规则。这样可以保证最强大的可用回应最先执行。