Questão número 281160

Os sistemas IPS mantêm informação de estado, realizam detecção de anomalias e, após tais tarefas, encaminham os pacotes permitidos. Um IPS baseado em rede monitora todo o tráfego em busca de códigos maliciosos ou ataques e, quando um ataque é detectado, é possível bloquear os pacotes danosos enquanto o tráfego normal continua seu caminho.

Na solução 2, apenas o tráfego permitido pelo firewall é passado ao IPS, o qual, por sua vez, tem função de promover uma inspeção mais detalhada. Por exemplo, caso se tente fazer um telnet, a partir de uma máquina externa, a um servidor web localizado na DMZ, o firewall poderia bloquear tal acesso sem necessidade de uso de qualquer funcionalidade mais elaborada do IPS.

Na solução 1, todos os pacotes passariam inicialmente pelo IPS antes de chegarem à interface outside do firewall. A razão de se ter o IPS na rede outside é para permitir que ele proteja o firewall ou que limite as novas conexões para o IPS.

Um IPS complementa o trabalho realizado por um firewall stateless. Os firewalls stateless analisam os pacotes em todas as camadas TCP/IP e guardam o estado de cada conexão de maneira a impedir o tráfego de pacotes ilegítimos.

A solução 2 é adequada tanto em projetos em que os equipamentos são distintos quanto naqueles em que o IPS consiste em um módulo do firewall. Nesta solução é ainda comum que o firewall selecione os tipos de tráfego que serão direcionados ao IPS (em vez de se fazer o espelhamento completo), ação que também contribui para um melhor uso dos recursos de IPS.