DOS/DDOS防御

支持JOLT2、PING、OF DEATH、TEAR、DROP等DDOS攻击防御。支持TCP、UDP、ICMP、FLOOD攻击防御。支持TCP、UDP、ICMP扫描防护。

WEB安全

支持WEB内容关键字、URL和文件传输过滤。

病毒过滤

支持基于数据流的查杀模式，实时阻断含有网络病毒的数据报文和连接。支持HTTP、FTP、SNMP、POP3、IMAP等协议。

流量控制

支持以区域单位的总流量出/入限制。支持以服务器为单位的总流量出/入限制。支持限制单位时间内每台客户机连接服务器TCP、UDP、ICMP连接的数目。支持限制单位时间内服务器允许客户机TCP、UDP、ICMP连接的数目。支持以具体网络应用（如：P2P下载、网络多媒体）为单位的流量限制。

上网行为管理

支持即时通信软件、P2P软件、网络游戏、证券软件、网络多媒体等应用的识别。支持基于各种应用的精细化控制，可以对单个应用进行监视、透传、阻断和限速管理。

未知检测

支持针对未知病毒攻击的检测和识别。支持基于HTTP、SMTP、POP3、IMAP、FTP协议的办公、压缩等文件过滤。

■ 在线部署

爱思考IPS采用在线部署方式，能够实时检测和防御包括拒绝服务、缓冲区溢出、木马蠕虫、CMS、WEBSHELL等3000多种网络攻击行为。

■ 自主防御

爱思考IPS有力的弥补了防火墙和入侵检测系统的不足，其能自主的进行深度检测和自动防御，而不只是简单的告警等待用户处理。

■ 保护机制

爱思考IPS能有效保护用户的网络资源，使其免收各种外部攻击，全面保证业务系统的健康运行。

典型部署

TYPICAL DEPLOYMENT

部署方式

由于企业结构和业务系统的特殊性，使得网络结构都不尽相同，IPS提供了串联、路由和旁路等多种接入方式，无需改变用户的网络结构，即可达到防御外来网络入侵和对办公区域终端上网行为进行管控的目的。

部署介绍

将爱思考IPS部署在网络接口处，该部署模式既支持单条链路接入，也支持多条链路同时接入。具体链路接入方式需根据用户的实际网络环境进行选择。 爱思考IPS在接入多条链路时，各链路之间不进行任何数据交换，彼此相互独立，互不影响，从而可以保证各条链路的相对安全。 爱思考IPS实时检测各种流量，可以对办公区域的各种上网行为进行管控，保证办公区域的网络畅通；也可以防御外网的各种攻击，保证办公网络和服务器的安全。 当前很多企业为了保证网络带宽的充足和网络冗余，网络出口一般都采用多链路连接的方式，本节以多链路为例，以图片的方式展示IPS的部署方式如下。

交换防护部署

EXCHANGE PROTECTION DEPLOYMENT

部署介绍

企业内部网络可能会根据工作地点或部门的不通，将内部网络划分成多个网段，各个网段都与核心交换机连接，进行数据通信。如何保证企业内部各个网段的网络安全，往往是网络管理员比较关心的问题。针对上述需求，爱思考IPS提供了交换防护的部署模式。在该模式下，爱思考IPS类似于一台交换机，一个接口与外网进行数据交互，使用其他接口与内网的不同网段进行连接。爱思考IPS会根据报文所属的网段，将报文从该网段对应的接口上发出，保证报文能够正确传输。爱思考IPS实时检测各网段的各种流量，可以对各种上网行为进行管控，保证各个网段的网络畅通；也可以防御外网的各种攻击，保证内部网络的安全。部署方式如下图所示。

路由部署

ROUTING DEPLOYMENT

部署介绍

很多企业在网络边界的敏感区域串联了很多安全设备，造成网络边界的故障率升高，为了降低整个网络的安全威胁，很多企业不希望将IPS设备串联到自身的网络环境中，但是又希望IPS能对网络进行安全防御。针对这一需求，爱思考IPS提供了路由部署模式，通过配置静态路由和策略路由的方式，既可以将流量导入到IPS进行安全防护，又不会影响内外网的正常通信。部署方式与串联部署相同，唯一不同的是IPS会作为路由器与对端路由器进行通信。

混合部署

HYBRID DEPLOYMENT

部署介绍

大型企业的网络规模一般都比较大，而且网络结构也比较复杂，此时企业既需要保护敏感区域的安全，又需要保护内部网络的安全。针对这一需求，爱思考IPS提供了混合部署方案，在企业网的边界采用路由部署模式部署爱思考IPS设备，对边界流量进行网络入侵检测和防御。在企业网内部网段之间或与分支机构网络联通位置，采用串联模式部署爱思考IPS设备，实现安全区域划分和控制。在企业内部服务器区采用旁路部署的方式部署爱思考IPS设备，相当于部署一台入侵检测设备，对服务器进行安全检测，并及时告警。部署方式如下图所示。