公司刚买了台新的入侵防御系统(IPS),厂商工程师上门装完、点几下鼠标就走了。结果第二天,内网服务器被横向扫描了半小时,日志里全是可疑连接,IPS却一动不动——不是它不工作,是压根没和防火墙、交换机、SIEM对上号。
集成不是接根网线就完事
很多管理员以为把IPS串在出口位置,开个默认策略就能防住攻击。实际中,IPS得知道‘谁是谁’:它要认出内部IP段是不是办公网,要理解DNS日志里的域名是否异常,还得把告警实时推给值班人员的飞书群。这些都靠集成配置来打通。
三个绕不开的集成点
1. 与防火墙联动
比如用FortiGate做出口网关,可以在IPS触发高危规则(如CVE-2023-27997漏洞利用)时,自动下发临时阻断策略:
config firewall policy\n edit 101\n set srcintf "internal"\n set dstintf "wan1"\n set srcaddr "192.168.10.0/24"\n set dstaddr "any"\n set action deny\n set schedule "onetime_20240522_1430"\n next\nend2. 与SIEM对接
Splunk或ELK要能解析IPS的syslog。常见坑是时间戳格式不一致,导致事件乱序。在Suricata配置里得明确指定:
outputs:\n - alert_fast:\n enabled: yes\n filename: /var/log/suricata/alert.fast\n - eve-log:\n enabled: yes\n filetype: syslog\n syslog-facility: local5\n timestamp-format: "iso"3. 与终端EDR同步IOC
当IPS发现某IP持续尝试暴力破解SSH,可把该IP自动同步到CrowdStrike的IOC列表,让终端侧同步拉黑。命令行脚本示例(配合API):
curl -X POST https://api.crowdstrike.com/indicators/entities/iocs/v1 \n -H "Authorization: Bearer $TOKEN" \n -H "Content-Type: application/json" \n -d '{"type": "ipv4", "value": "203.0.113.45", "policy": "deny"}'配置前先画张草图
拿张白纸,画出你网络里真实走流量的路径:用户→接入交换机→核心→防火墙→IPS→互联网。再标出哪些设备支持SNMP、Syslog、REST API、NetFlow。IPS插在哪?日志往哪发?阻断指令从哪来?草图比任何文档都管用。
有次帮客户调一台Palo Alto PA-5200的IPS模块,折腾两天没效果,最后发现是VLAN子接口没开启“Security Profile”,策略根本没生效——配置界面藏得深,但草图上一标,问题立马浮现。
上线前必须做的三件事
• 抓包验证:在IPS前后端口同时抓包,确认恶意payload真被拦住了,而不是仅告警;
• 模拟误报:用curl发一条合法但含关键词(如‘union select’)的请求,看是否被错杀;
• 断网测试:拔掉IPS管理口网线,观察业务是否中断——如果断了,说明它被错误地配成了路由模式,应切回透明桥接。