IPS یا Intrusion Prevention که به معنی سیستم جلوگیری از نفوذ است. این سیستم در ورودی شبکه داخلی یا بعد از فایروال و روتر ( در بعضی موارد درون آن ها) قرار دارد. یعنی تمام ترافیک های ورودی و خروجی شبکه باید از IPS عبور کنند. IPS همانند IDS می تواند ترافیک های شبکه را آنالیز کند اما تفاوتش با IDS این است که می تواند از تهدیدات و نفوذ جلوگیری کند. همانطور که گفته شد، تمام ترافیک های ورودی و خروجی شبکه داخلی از IPS عبور می کنند و IPS فرصت آنالیز آن ها را دارد. در این صورت اگر ترافیکی به عنوان ترافیک مخرب شناسایی شد، آن را از بین می برد.
انواع IPS
Network-based : یا NIPS که همان نوع مرسوم آن می باشد که در بالا توضیح داده شد و به عنوان یک دستگاه پشت یا بعد از فایروال و روتر درون شبکه داخلی راه اندازی می شود.
Host-Based : یا HIPS که به عنوان یک نرم افزار یا Agent به روی clinet ها ( مثل سیستم عامل های ویندوز یا لینوکس) نصب می شود تا تهدیدات فیزیکی و لوکال سیستم را آنالیز کند. مثلا اگر یک فلش به سیستم وصل شد، آن را بررسی می کند و اگر مشکل و تهدیدی را پیدا شد، اجازه کار به آن فلش داده نمی شود.
IPS چگونه کار می کند؟
در IDS و IPS دیتابیسی وجود دارد که در آن الگو هایی از حملات مختلف قرار داده شده است. یعنی اگر حمله به شبکه صورت گرفت و اگر الگو و قالب آن حمله در دیتابیس IDS و IPS قرار داشت، آن را تشخیص می دهد. بر اساس سیاست تعریف شده برای آن حمله تصمیمگیری می کند. فایروال ها ترافیک لایه 3 و 4 را بررسی می کنند و هیچ گونه نظارتی به محتوای ترافیک ندارند. در مقابل، IDS و IPS ها تا لایه 7 ترافیک را بررسی می کنند و رفتار بسته ها را زیر نظر دارند. به همین دلیل است که گفته می شود IDS و یا IPS را پشت فایروال قرار دهید با این کار اگر ترافیک نفوذگر از فایروال عبور کرد به سد آنها برخود کند.