除了脆弱的杀毒工具，我们还有一种以网络为中心的方法对抗恶意代码：基于网络的入侵防御系统（network-based intrusion prevention system，以下简称基于网络IPS）。尽管基于网络的IPS用于对付洪水攻击（thwarting denial-of-service），保护系统不受威胁已有数年时间，但用于阻止蠕虫病毒的传播只是最近于开始流行。

　　这一技术的的主要思路是：一个组织在其网络的关键网络结点(strategic point)部署基于网络的IPS，实际上形成了自动的阻击点用于检测和阻止攻击。比较典型的情况下，这些工具在线运行（inline），监测通过的网络数据流，将这些数据与已知的攻击代码进行特征匹配，截留恶意代码。另一些工具不在线运行，而是监测LAN中的数据流，向网络中注入消息阻断攻击并阻止恶意代码的进一步传播。不同于基于网络的IDS（IDS主要功能是发现恶意代码、发出预警），基于网络的IPS不仅发现恶意代码、发出预警，还会自动做出反应：阻断通信或是重置连接。

　　当一台主机受到蠕虫病毒的感染时，运行于其上被控制的系统会开始自动地搜索其他易受攻击的主机。当这些数据流到达时，基于网络的IPS工具可以自动地发现它们，并且抑制这种搜索和传播病毒的数据流，以防止在IPS另一侧的系统受到感染，或是做为同一LAN上其他系统的IPS防止这些系统受到感染。值得注意的是，只有这些基于网络的IPS接收到数据流才能阻止恶意代码的传播。如果仅仅在整个企业网络中部署少量的监测点，它们确实可以防止病毒在网络上的传播，但也会留下一些真空区域易受攻击。

　　一些成熟产品，如ForeScout公司的WormScout、TippingPoint公司的UnityOne、Top Layer公司的Attack Mitigator、McAfee公司的 IntruShield (即以前的IntruVert) 和ISS Proventia，都属于这一类产品。也有一款开源且免费的基于网络的IPS产品snort_inline，它建立在Snort IDS之上，由Rob McMillen在Honeynet工程中进行维护。

　　读者可能会想：这些不就是防火墙支持的功能吗？当今的大多数防火墙检查数据包和协议，根据端口和服务的设置确定是否传送这些数据包。但是这些防火墙没有特征匹配功能用于检测漏洞、恶意代码或流量激增。换句话讲，防火墙只是检查服务和端口，并不检查是否具有攻击的特征和行为。IPS检查后者。

　　尽管如此，基于网络的IPS这一分类在防火墙是否也算做其中之一这一问题上，有一些模糊不清。随着防火墙中内建了越来越多的技术识别实际的攻击代码，防火墙与基于网络的IPS的之间的区别在逐渐减少。实际上，Check Point公司产品Application Intelligence的功能和Juniper Network 公司产品(NetScreen) Deep Inspection的技术都是防火墙的扩展，它们试图对已知的攻击进行特征匹配并且阻止这些攻击，修补很多蠕虫病毒使用的常见漏洞。这些使用了相应功能的防火墙，构成了一种形式的基于网络的IPS。不远的将来还会出现更多的具有IPS相似功能的防火墙，让我们拭目以待。

　　多数基于网络的IPS有它们自己的特征库用于检测漏洞和攻击性数据流。其中一些更进一步，它们监测网络流量(traffic load)，用于与已有的正常流量对比。比如TippingPoint提供了一种称为Statistical Anomaly Control的功能，这一功能监测不同协议的流量并与预期的基准流量进行比较。当网络流量超过基准流量时，基于网络的IPS会减小数据流或阻断它。举例来说，考虑感染Nachi病毒后产生的ICMP(互联网控制信息协议)数据流，当寻找新主机进行攻击时，如同洪水一样发送ping数据包。 TippingPoint的内置智能认为100Mbps的数据数对于ping数据流极为不正常，并决定阻断这一数据流，这一过程完全不需要任何人工的干预。

　　当检测到蠕虫病毒攻击时，基于网络的IPS设备可以以多种方式自动地采取行动，但是，用户需要仔细地配置设备做出何种方式的反应。大多数的工具都有对应于不同处理方法的选项，这些不同的处理方法包括减小流量以保留一部分带宽、用TCP Reset重置连接或是发送ICMP Host Unreachable（无法访问主机）消息、或是简单的丢掉与蠕虫病毒相关的数据流以阻止其传播。仅仅减小流量导致一个典型的问题，一些机器可能仍会被感染。重置连接或是由这些工具发送无法访问主机信息可能会导致更多的攻击，这将占用用户最需要的所有的带宽。数以千计被蠕虫病毒感染的系统寻找新猎物产生巨大的网络流量，用户的网络在这样的重压之下喘息，而不能用基于网络的IPS自身产生的重置数据包化解这一问题，这种情况非常糟糕。另外，精心设计的蠕虫病毒还可能忽略这些重置数据包而继续传播。由于这一原因，彻底地阻止与蠕虫病毒有关的网络数据流通常是基于网络的IPS最有效最安全的设置方法。这样，阻止了蠕虫病毒的传播，也保留了网络带宽。

　　此外，为防误报而开始阻止合法数据流，应确保基于网络的IPS配置为立即提醒紧急情况处理团队中的工作人员。他们可以人为的确认是否为攻击，可以允许被错误地阻止的合法数据流，或是当发生感染时启动一个清理的过程

　　如果部署这一技术，也不要放弃或是减弱其他的防御措施。我曾经有一个顾客，由于他们部署了一个新款的基于网络的IPS，而计划降低他们服务器上设置的安全等级并去掉与边界路由器之间的ACL。在线或是在LAN中的基于网络的IPS需对攻击进行实时的判断。要满足这样苛刻的性能要求，特征数据库及基于网络的IPS的适用性往往不如基于网络的IDS和基于主机的IPS全面。

　　由于它具有实时监测的能力，基于网络的IPS做出误判而带来的损失也较显著。不同于由紧急事件处理团队做出的误判（这可能是IDS引起的错误），或是只阻止了从一台主机发出的动作（这可能是基于主机的IPS发出的错误警告），基于网络的IPS做出的误判可能会严重到禁用一个网段，或是整个的网络连接，这取决于客户的网络结构。记住这一点，基于网络的IPS不是防火墙或是基于主机的安全设置的替代品。将基于网络的IPS应视为现在防御系统基础上额外的一层防御，并保证其他的防御措施（传统的防火墙、IDS产品、杀毒工具和文件完整性检查工具）升级到最新。

　　而且，为应付日益增多的逐渐加强的攻击，必须保证基于网络的IPS本身的特征数据库是最新的。需要自动的定期更新数据库，或是根据服务商发布数据库的周期每天手动更新数据库。仔细的切换这些工具也非常关键，以保证它们能辩认正常的网络数据流，并能区分攻击数据流（译者注：特征数据库中的数据包含大量恶意代码的特征，与攻击代码的部分代码段可能很相像，可能产生误判）。

　　最后，如果你还没有使用基于网络的IPS，请关注一下这一技术。它可以提供一个有益的用于防御层。如果你还没有做好准备购买，但希望更熟悉这种工具的功能，可以在实验室或是运行非关键任务的服务器前端尝试运行一个snort inline。然后决定是不是部署这一技术。