一、引言
(一)核心概念定义
主动防御技术是指在攻击发生前或攻击过程中,主动识别、拦截、诱骗攻击者的一类安全技术,区别于传统被动检测、事后响应的安全机制,核心目标是将防御前置,降低攻击成功概率与损害范围。本文聚焦主动防御体系中的两类核心拦截型技术:入侵阻断与网络流量清洗,均属于软考信息安全工程师考试中网络安全模块的高频考点,在历年真题中占比约 5-8 分。
(二)技术发展脉络
入侵阻断技术起源于 20 世纪 90 年代末,在传统入侵检测系统(IDS)仅告警不拦截的局限性下发展而来,2000 年前后首款商用入侵防御系统(IPS)面世,2010 年后随着硬件加速技术成熟,广泛部署于企业网络边界。网络流量清洗技术则伴随 DDoS 攻击规模增长发展,2005 年左右首次出现运营商级流量清洗中心,2015 年后云化高防 IP 服务普及,成为中小企业对抗大流量 DDoS 的主流方案。
(三)知识覆盖说明
本文将从技术原理、实现方案、应用场景、架构设计四个维度展开,覆盖软考大纲要求的核心考点,同时结合行业标准与最佳实践,帮助考生建立系统化的知识体系。
二、入侵阻断技术核心原理
(一)基本定义与工作机制
入侵阻断技术的核心是对网络攻击行为进行实时检测与主动阻断,核心产品为入侵防御系统(IPS)。与 IDS 旁路部署、仅产生告警的工作模式不同,IPS 采用串联部署模式,所有流经网络边界的流量均需经过 IPS 处理。其工作流程分为三个阶段:
- 深度包检测:对数据包的网络层、传输层、应用层内容进行全栈解析,匹配内置的攻击特征库,同时基于行为基线识别异常流量。
- 实时决策:根据检测结果,对符合攻击特征的流量执行丢弃、阻断、限流等操作,对正常流量直接放行。
- 日志审计:记录所有攻击事件与处理动作,支持与安全运营中心(SOC)联动分析。
(二)关键技术细节
- 硬件加速机制:为避免成为网络瓶颈,商用 IPS 通常采用 FPGA(现场可编程门阵列)或 NP(网络处理器)实现数据包解析与特征匹配的硬件加速,吞吐量可达到 10Gbps-100Gbps 级别,延迟控制在微秒级,符合《信息安全技术 入侵防御系统技术要求和测试评价方法》(GB/T 28451-2012)中性能指标要求。
- Bypass 高可用机制:IPS 设备内置 Bypass 模块,当设备出现硬件故障、电源中断或软件崩溃时,Bypass 模块会自动将两个网络接口直接连通,流量不再经过 IPS 处理,避免导致整体网络中断,可用性指标达到 99.999%。
- 旁路阻断变种:旁路阻断系统(SPS)是 IPS 的轻量化实现,采用旁路部署模式,仅镜像流量进行检测,发现攻击时通过旁路端口向通信双方注入 TCP RST 或 FIN 报文,中断攻击连接。该方案部署灵活,对网络延迟无影响,但仅能阻断 TCP 协议攻击,无法处理 UDP、ICMP 等无连接协议的攻击。
(三)技术优缺点对比
| 技术类型 | 部署模式 | 支持协议范围 | 性能影响 | 阻断准确率 | 适用场景 |
|---|---|---|---|---|---|
| 串联 IPS | 串联 | 全协议 | 存在少量延迟 | 99% 以上 | 企业核心边界、关键业务区域入口 |
| 旁路阻断系统 | 旁路 | 仅 TCP | 无影响 | 90% 左右 | 非核心业务区域、临时安全加固场景 |
| IDS | 旁路 | 全协议 | 无影响 | 仅告警不阻断 | 安全审计、攻击溯源场景 |
IPS 与 IDS 部署模式对比示意图,包含串联、旁路两种部署的网络拓扑,标注关键流量路径与设备角色
三、网络流量清洗技术实现方案
(一)核心目标与技术原理
网络流量清洗是专门针对 DDoS 等洪流攻击的主动防御技术,核心目标是从混杂正常业务与攻击流量的网络洪流中,精准分离并过滤恶意流量,确保正常业务流量可达。其核心原理基于流量基线建模、多维度特征过滤、动态路由调度三类技术,符合《信息安全技术 抗拒绝服务攻击产品技术要求和测试评价方法》(GB/T 32925-2016)的规范要求。
(二)标准工作流程
网络流量清洗的完整流程分为四个核心步骤:
- 流量检测:通过分布式探针实时采集网络流量,基于历史流量建立正常业务基线,结合特征匹配、行为分析、机器学习等算法,识别 DDoS 攻击特征,包括畸形报文、流量阈值突增、源 IP 分布异常等,检测准确率要求达到 99.5% 以上。
- 流量牵引:监测到攻击后,通过 BGP 路由协议发布目标 IP 的更具体路由,将原本指向目标服务器的所有公网流量动态牵引到专用的流量清洗中心,牵引过程收敛时间通常小于 30 秒。
- 流量清洗:在清洗中心通过多层过滤机制处理流量:首先过滤畸形报文,然后基于源 IP 信誉、会话合法性检测过滤伪造源流量,再通过速率限制、指纹识别剥离 TCP/UDP Flood 流量,最后针对应用层攻击进行 HTTP 合法性校验、验证码挑战等处理。
- 流量回注:将清洗后的纯净正常流量,通过 GRE 隧道、MPLS VPN 或物理专线回注到目标服务器的网络路径,确保业务正常访问。
(三)主流实现方案对比
| 方案类型 | 部署位置 | 防御能力 | 成本投入 | 适用主体 |
|---|---|---|---|---|
| 本地清洗设备 | 企业自身网络边界 | 支持 10Gbps 以下 DDoS 攻击防御 | 一次性硬件采购成本高 | 大型企业、金融机构 |
| 运营商级清洗中心 | 运营商骨干网络节点 | 支持 Tbps 级大流量攻击防御 | 按攻击流量付费 | 互联网企业、游戏厂商 |
| 云高防 IP 服务 | 云服务商边缘节点 | 支持几百 Gbps 级攻击防御 | 按需订阅,成本灵活 | 中小型企业、个人站长 |
网络流量清洗标准工作流程图,标注检测、牵引、清洗、回注四个阶段的关键技术与数据流向
四、实际应用场景与案例分析
(一)入侵阻断技术典型应用
- 企业网络边界防护:某金融机构在核心业务区入口部署 100Gbps 吞吐量的 IPS,配置 SQL 注入、XSS 攻击、漏洞利用等 2 万 + 攻击特征规则,日均拦截攻击事件约 1.2 万次,阻断成功率达到 99.8%,同时开启 Bypass 机制,确保设备故障不影响业务连续性。
- 工业控制系统防护:在工业 SCADA 系统边界部署专用工业 IPS,针对 Modbus、S7 等工业协议进行深度解析,阻断未授权的控制指令写入,符合等保 2.0 中工业控制系统安全扩展要求。
(二)网络流量清洗技术典型应用
- 畸形报文过滤:针对 Land、Smurf、泪滴(TearDrop)等利用 TCP/IP 协议栈漏洞的攻击,流量清洗设备可直接识别并丢弃畸形数据包,避免服务器操作系统崩溃。某运营商流量清洗中心日均拦截该类攻击约 30 万次。
- 抗 DDoS 攻击:某游戏厂商在公测期间遭遇 1.2Tbps 的 SYN Flood+UDP Flood 混合攻击,通过运营商级流量清洗中心过滤 99.9% 的恶意流量,保障公测活动正常进行,业务可用性达到 99.97%。
- Web 应用防护:针对 HTTP GET/POST Flood、Slowloris 等应用层 DDoS 攻击,流量清洗系统通过 JavaScript 挑战、人机识别、频率限制等机制,过滤恶意请求,某电商平台在大促期间通过该机制拦截超过 500 万次的爬虫与 CC 攻击。
- 云高防 IP 服务:某中小企业官网遭受 200Gbps DDoS 攻击,传统本地防火墙完全瘫痪,通过切换到云高防 IP 服务,所有公网流量先经过云清洗集群处理,再转发到源站,攻击发生后 10 分钟内业务恢复正常,总防护成本仅为本地硬件方案的 1/5。
云高防 IP 服务架构示意图,展示用户、高防集群、源站三者的流量路径与防护逻辑
五、主动防御系统架构设计
(一)边界主动防御体系架构
基于入侵阻断与流量清洗技术的边界主动防御体系采用分层部署架构:
- 最外层部署流量清洗系统(或接入云高防 IP),负责过滤大流量 DDoS 攻击与畸形报文,处理网络层、传输层的泛洪攻击。
- 第二层部署 IPS 设备,负责深度检测并阻断应用层攻击、漏洞利用行为、未授权访问等精准攻击。
- 第三层部署防火墙,执行基础的访问控制策略,隔离不同安全区域的流量。
三个模块联动形成纵深防御体系,覆盖从泛洪攻击到精准攻击的全类型防御。
(二)关键模块交互机制
- 流量清洗系统与 IPS 的联动:流量清洗系统检测到应用层攻击特征时,可将攻击源 IP 同步到 IPS 的黑名单,实现攻击的二次拦截,同时 IPS 发现异常流量突增时,可触发流量清洗系统启动防护流程。
- 高可用架构设计:流量清洗系统采用集群部署模式,多节点负载均衡,单节点故障时流量自动切换到其他节点;IPS 采用双机热备部署,主设备故障时备用设备秒级切换,整体系统可用性达到 99.99%。
边界主动防御体系分层架构图,标注各安全设备的部署位置、防护范围与联动关系
六、技术发展趋势与软考考点提示
(一)技术前沿发展
- 智能化检测能力:基于大语言模型的攻击特征自动生成技术正在逐步应用,IPS 与流量清洗系统的攻击识别准确率提升 30% 以上,可有效检测未知攻击。
- 云边协同防护:边缘计算节点与云端清洗中心联动,攻击流量在边缘节点就近过滤,降低回注延迟,防御响应时间缩短到 10 秒以内。
- 零信任架构融合:入侵阻断技术与零信任访问控制结合,基于用户身份、设备状态、环境信息的多维度决策,实现更细粒度的访问阻断。
(二)软考考试重点提示
- 高频考点:IPS 与 IDS 的部署模式、功能差异;流量清洗的四个核心流程;两类技术的适用场景对比,以上考点在历年选择题、案例分析题中多次出现。
- 易错点:混淆旁路阻断与串联 IPS 的适用范围;遗漏流量清洗流程中的 BGP 牵引、GRE 回注等技术细节;忽略 IPS 的 Bypass 高可用机制的作用。
入侵阻断与流量清洗技术演进路线图,标注从第一代硬件设备到云边协同方案的发展节点与关键特性
七、总结与备考建议
(一)核心知识点提炼
- 入侵阻断技术的核心是串联部署、实时检测与阻断,核心产品 IPS 区别于 IDS 的核心特征是主动拦截而非仅告警,旁路阻断系统是轻量化实现方案,仅支持 TCP 协议攻击阻断。
- 网络流量清洗技术的核心流程是流量检测、流量牵引、流量清洗、流量回注,可防御畸形报文、DDoS 攻击、应用层 Flood 攻击三类攻击,云高防 IP 是中小企业的低成本实现方案。
- 两类技术一外一内构成边界主动防御的核心防线,流量清洗负责应对大流量泛洪攻击,IPS 负责应对精准应用层攻击。
(二)备考与实践建议
- 备考策略:重点记忆两类技术的核心原理、部署模式、技术指标、适用场景,结合历年真题梳理考点,重点掌握 GB/T 28451、GB/T 32925 等相关国家标准的核心要求。
- 实践应用:企业部署时需根据业务规模选择合适方案,中小型企业优先选择云高防 IP + 旁路阻断的组合,大型企业核心业务区建议采用运营商级清洗服务 + 串联 IPS 的分层架构,同时定期开展攻防演练验证防护效果。
- 注意事项:IPS 部署需合理配置规则,避免误阻断正常业务;流量清洗方案需提前测试路由牵引与回注的连通性,避免攻击发生时出现配置故障导致业务中断。