入侵防御系統（Intrusion Prevention System）是對防病毒軟件和防火墻的有效補充。IPS可以監視網絡中的異常信息，并且能夠即時的中斷、阻止、告警內外網的異常網絡行為。
在WFilter NGF中，我們集成了基于snort的入侵防御系統，該系統主要可以實現如下三個方面的功能：

1. 保護內網的web服務器、文件服務器、郵件服務器。

2. 檢測內網終端的木馬和惡意軟件。

3. 檢測內網終端的異常網絡行為。

在本文中，我簡單介紹下如何實現這三個方面的功能。

1. 保護內網的服務器

在企事業的內部局域網，存在ERP、CRM、OA等Web服務器、文件服務器、郵件服務器等各種服務。有些服務是發布到互聯網的，容易被攻擊。在WSG的“入侵檢測”中，開啟“系統漏洞攻擊”和“服務器漏洞攻擊”的選項，即可有效的檢測對服務器的攻擊。如下圖：

對外網的攻擊，可以設置“記錄日志并封鎖IP 10分鐘”，這樣一旦檢測到外網攻擊，就立刻禁止該ip的連接，從而阻止其后續的攻擊行為。對內網的攻擊，可以記錄日志并記錄告警事件，供后續查證核實。

2. 檢測內網終端的木馬和惡意軟件

病毒和木馬軟件的肆虐，導致局域網內會存在大量的毒機和礦機。對于網管人員來說，要查殺這些毒機和礦機絕對不是一件輕松的事情。從技術層面來說，這些木馬程序都會存在一定的網絡特征，那么入侵檢測就可以通過這些網絡特征來進行定位。網管技術人員可以通過入侵檢測先定位到該終端，然后再到該終端上去處理。如圖：

3. 檢測內網終端的異常網絡行為

這個功能一般用于自定義檢測腳本，用于檢測一些個性化的內容。比如，需要檢測內網訪問某個IP的事件。可以添加自定義規則的方式，如下圖：

自定義規則格式：alert tcp $HOME_NET any -> 120.55.165.132 22 (msg:"SSH attempt"; sid:1000003; rev:1;)

意思是：本地（HOME_NET）的任意端口（any）到120.55.165.132的tcp 22端口，都會觸發命名為“SSH attempt”的入侵檢測事件。

綜上所述，“入侵防御”功能非常強大，使用好該模塊，可以有效的保護內網網絡安全、檢測內網的毒機和礦機。如果會自己編寫策略，還可以實現更加強大的檢測功能。