IPS整体解决方案

国家电网公司

信息网络安全等级保护设备IPS入侵防护系统

解决方案建议书

1典型网络风险分析 (4)

1.1病毒、蠕虫泛滥 (4)

1.2操作系统和应用软件漏洞隐患 (4)

1.3系统安全配置薄弱 (5)

1.4各种D O S和DD O S攻击的带来的威胁 (5)

1.5与工作无关的网络行为 (6)

2安全产品及解决方案效能分析 (6)

2.1传统安全技术的薄弱之处 (6)

2.1.1防火墙 (7)

2.1.2入侵检测 (7)

2.1.3补丁管理 (7)

2.2入侵防御系统简介 (8)

3领信信息安全保障解决方案介绍 (9)

3.1领信信息安全保障体系 (9)

3.2安氏领信入侵防御系统介绍 (11)

3.2.1领信入侵防御系统主要功能 (11)

3.2.2领信入侵防御系统产品特点 (12)

3.2.3领信入侵防御系统支持的工作模式 (14)

3.2.4入侵防御系统推荐部署流程 (15)

3.2.4.1IPS的学习适应期阶段 (16)

3.2.4.2IPS的Inline模式工作阶段 (17)

4入侵防御系统部署建议 (17)

4.1系统组件说明 (17)

4.1.1集中部署方式 (18)

4.1.2分布部署方式 (19)

4.1.3部署准备 (20)

4.2边界防护部署 (21)

4.3重点防护部署 (21)

5入侵防御系统安全策略配置与应用 (22)

6项目过渡方案及应急预案 (23)

6.1过渡方案 (23)

6.2应急预案 (24)

7工程实施方案 (25)

7.1分工界面 (25)

7.2工程设计 (26)

7.3产品生产及出厂验收 (26)

7.4设备运输、包装与到货安排 (26)

7.5到货验收 (27)

7.6安装调试及系统集成 (28)

7.7系统测试 (28)

7.8初步验收 (28)

7.9系统试运行 (28)

7.10最终验收 (28)

7.11工程实施进度表 (29)

8系统验收测试计划 (30)

8.1系统上线测试 (30)

8.2用户管理功能 (31)

8.3引擎工作模式配置 (31)

8.4组件管理 (31)

8.5策略配置 (32)

8.6威胁事件收集显示 (32)

8.7攻击检测能力 (33)

8.8系统升级能力 (33)

8.9日志报表 (34)

1 典型网络风险分析

通过对大量企业网络的安全现状和已有安全控制措施进行深入分析，我们发现很多企业网络中仍然存在着大量的安全隐患和风险，这些风险对企业网络的正常运行和业务的正常开展构成严重威胁，主要表现在：

1.1 病毒、蠕虫泛滥

目前，企业网络面临的病毒、蠕虫威胁具有传播速度快、范围广、破坏性大、种类多、变化快等特点，即使再先进的防病毒软件、入侵检测技术也不能独立有效的完成安全防护，特别是对新类型新变种的防护技术总要相对落后于新病毒、新蠕虫的入侵。

病毒、蠕虫很容易通过各种途径侵入企业的内部网络，除了利用企业网络安全防护措施的漏洞外，最大的威胁却是来自于网络用户的各种危险的应用：不安装杀毒软件；安装杀毒软件但未能及时升级；网络用户在安装完自己的办公桌面系统后未进行各种有效防护措施就直接连接到危险的开放网络环境中，特别是INTERNET；移动用户计算机连接到各种情况不明网络环境后，在没有采取任何措施情况下又连入企业网络；终端用户在使用各种数据介质、软件介质时都可能将病毒、蠕虫在不知不觉中带入到企业网络中，给企业信息基础设施、企业业务带来无法估量的损失。

1.2 操作系统和应用软件漏洞隐患

企业网络多由数量庞大、种类繁多的软件系统组成，有系统软件、数据库系统、应用软件等等，尤其是存在于广大终端用户办公桌面上的各种应用软件不胜繁杂，每一个软件系统都有不可避免的潜在的或已知的软件漏洞，每天软件开发者都在生产漏洞，每时每刻都可能有软件漏洞被发现被利用。无论哪一部分的漏洞被利用，都会给企业带来危害，轻者危及个别设备，重者漏洞成为攻击整个企

业网络的跳板，危及整个企业网络安全，即使安全防护已经很完备的企业网络也会由于一个联网用户个人终端PC机存在漏洞而丧失其整体安全防护能力。在与在与黑客的速度竞赛中，企业用户正处在越来越被动的地位，针对这些漏洞的补丁从补丁程序开发、测试、验证、再到最终的部署可能需要几天甚至几十天时间，而黑客攻击的速度却越来越快,例如著名的CodeRed蠕虫扩散到全球用了12个小时；而SQL SLAMMER感染全世界90%有漏洞的机器则只用了10分钟；

1.3 系统安全配置薄弱

一个安全的网络应该执行良好的安全配置策略，例如，账号策略、审核策略、口令策略、匿名访问限制、建立拨号连接限制策略等等。这些安全配置的正确应用对于各种软件系统自身的安全防护的增强具有重要作用，但在实际的网络环境中，这些安全配置却被忽视，尤其是那些网络的终端用户，从而导致软件系统的安全配置“软肋”，有时可能将严重的配置漏洞完全暴露给整个外部，使黑客可以长驱直入。

1.4 各种DoS和DDoS攻击的带来的威胁

除了由于操作系统和网络协议存在漏洞和缺陷，而可能遭受攻击外，现在IT

部门还会拒绝服务攻击（DoS）和分布式拒绝服务攻击（DDoS）的挑战。DOS 和DDOS攻击可以被分为两类：一种是利用网络协议的固有缺陷或实现上的弱点来进行攻击，与漏洞攻击相似。这类供给典型的例子如Teardrop、Land、KoD 和Winnuke；对第一种DOS攻击可以通过打补丁的方法来防御，但对付第二种攻击就没那么简单了，另一类DOS和DDOS利用看似合理的海量服务请求来耗尽网络和系统的资源，从而使合法用户无法得到服务的响应。

DOS和DDOS攻击会耗尽用户宝贵的网络和系统资源，使依赖计算机网络的正常业务无法进行，严重损害企业的声誉并造成极大的经济损失，据2004 美国CSI/FBI的计算机犯罪和安全调研分析，DOS和DDOS攻击已成为对企业损害最大的犯罪行为，超出其他各种犯罪类型两倍。

1.5 与工作无关的网络行为

权威调查机构IDC的统计表明：30％～40％的工作时间内发生的企业员工网络访问行为是与业务无关的，比如游戏、聊天、视频、P2P下载等等；另一项调查表明：1/3的员工曾在上班时间玩电脑游戏；

Emule、BT等P2P应用和MSN、QQ等即时通信软件在很多网络中被不加控制的使用，使大量宝贵的带宽资源被业务无关流量消耗。这些行为无疑会浪费网络资源、降低劳动生产率、增加企业运营成本支出，并有可能因为不良的网络访问行为导致企业信息系统被入侵和机密资料被窃，引起法律责任和诉讼风险。

2 安全产品及解决方案效能分析

2.1 传统安全技术的薄弱之处

当前随着网络软硬件技术的快速发展，网络信息安全问题日益严重，新的安全威胁不断涌现，如蠕虫病毒肆意泛滥、系统漏洞层出不穷、漏洞利用(vulnerability exploit)的时间日益缩短,甚至可能出现零日攻击(zero-day exploit),同时很多入侵和攻击由网络层逐渐向应用层发展,给检测和识别这些威胁带来了

困难。面临诸多安全问题，传统的安全产品和解决方案显示出其薄弱和不足之处。

2.1.1 防火墙

绝大多数人在谈到网络安全时，首先会想到“防火墙”。防火墙目前已经得到了广泛的部署，用户一般采用防火墙作为安全保障体系的第一道防线，防御黑客攻击。但是，随着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙已经无法满足企业的安全需要。传统防火墙的不足主要体现在以下几个方面：

●防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代

码，比如针对WEB服务的Code Red蠕虫等。

●有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络

中的攻击行为。

2.1.2 入侵检测

入侵检测系统IDS（Intrusion Detection System）是近几年来发展起来的一类安全产品，它通过检测、分析网络中的数据流量，从中发现网络系统中是否有违反安全策略的行为和被攻击的迹象。它弥补了防火墙的某些缺陷，但随着网络技术的发展，IDS受到新的挑战：

●IDS旁路在网络上，当它检测出黑客入侵攻击时，攻击已到达目标造成损失。

IDS无法有效阻断攻击，比如蠕虫爆发造成企业网络瘫痪，IDS无能为力。

●蠕虫、病毒、DDoS攻击、垃圾邮件等混合威胁越来越多，传播速度加快，

留给人们响应的时间越来越短，使用户来不及对入侵做出响应，往往造成企业网络瘫痪，IDS无法把攻击防御在企业网络之外。

2.1.3 补丁管理

补丁管理是重要的主动防御手段，但补丁管理同时也存在一些局限性，例如：1、对于某些操作系统，将不再能够获得厂商提供的支持。例如微软宣布将从2006年7月11日开始停止为多个老版本的Windows 操作系统提供技术支持，这意

味着全球将有超过7000万名Windows用户面临网络攻击和恶意代码的危险，因为他们无法继续从微软获得安全更新。

2、补丁从漏洞发现、操作系统开发补丁、测试补丁、发布补丁到用户接收补丁、局部更新测试补丁到大范围更新补丁需要一定的时间周期，即所谓空窗期，在空窗期内用户的系统漏洞无法得到有效的防御，而恶意的程序和代码有可能利用这段时间对系统造成破坏；

3、某些系统和应用由于自身的原因（如非授权软件、程序冲突等等）不适合打补丁，这样自身即使存在漏洞，也无法得到修复；

针对以上技术和产品面对新的安全威胁所暴露出来的薄弱之处,作为有效的整体安全体系的重要组成和有效补充,入侵防御系统IPS（Intrusion Prevention System）作为新一代安全防护产品应运而生。

2.2 入侵防御系统简介

基于目前网络安全形势的严峻，入侵防御系统IPS（Intrusion Prevention System）作为新一代安全防护产品应运而生。

入侵防御系统/IPS提供一种主动的、实时的防护，其设计旨在对常规网络流量中的恶意数据包进行检测，阻止入侵活动，预先对攻击性的流量进行自动拦截，使它们无法造成损失，而不是简单地在监测到恶意流量的同时或之后发出警报。IPS 是通过直接串联到网络链路中而实现这一功能的，即IPS接收到外部数据流量时，如果检测到攻击企图，就会自动地将攻击包丢掉或采取措施将攻击源阻断，而不把攻击流量放进内部网络。

从IPS的工作原理来看，IPS有几个主要的特点：

●为企业网络提供虚拟补丁

IPS预先、自动拦截黑客攻击、蠕虫、网络病毒、DDoS等恶意流量，使攻击无法到达目的主机，这样即使没有及时安装最新的安全补丁，企业网络仍然不会受到损失。IPS给企业提供了时间缓冲，在厂商就新漏洞提供补丁和更新之前确保企业的安全。

●提供流量净化

目前企业网络遭受到越来越多的流量消耗类型的攻击方式，比如蠕虫。病毒造成网络瘫痪、BT,电驴等P2P下载造成网络带宽资源严重占用等。IPS过滤正常流量中的恶意流量，为网络加速，还企业一个干净、可用的网络环境。

提供反间谍能力

企业机密数据被窃取，个人信息甚至银行账户被盗，令许多企业和个人蒙受重大损失。IPS可以发现并阻断间谍软件的活动，保护企业机密。

总的来说,入侵防御系统IPS的设计侧重访问控制，注重主动防御，而不仅仅是检测和日志记录，解决了入侵检测系统IDS的不足，为企业提供了一个全新的网络安全保护解决方案。

3 领信信息安全保障解决方案介绍

3.1 领信信息安全保障体系

“信息安全是一条链，其强度取决于链上最弱的一环(著名安全专家Bruce Schneier语)”这句话深刻阐明了整体安全的重要性。为了建设一个有效的安全防御体系，就要从保护、检测、响应等多个环节以及网络和基础设施、网络边界、终端环境等多个层次全面考虑，综合防范，这样才能提高网络整体的信息安全保障能力，保证安全体系中不存在薄弱的环节。

安氏领信基于对信息安全的深刻理解，以及多年的安全领域建设经验，总结提炼出安氏独有的信息安全保障体系框架模型，该安全体系从保障对象、安全需求、能力来源三个维度深刻揭示了信息安全保障的内涵：

保障对象是信息安全建设要保护的目标，分成多个安全防御领域，包括：网络基础设施，网络边界，局域计算环境，支持性基础设施；

安全需求包括信息的机密性，完整性，可用性，可控性，不可否认性等需求；信息的机密性，完整性，可用性，可控性，不可否认性需求是信息安全的基本属性，所有的安全技术和安全产品从本质来说都是为了满足被保护对象的上述安全需求；

为了有效的满足保障对象的安全需求，需要从人员，技术，管理等方面提供安全保障能力；技术层面的安全保障能力源于业界所采用的各种安全产品和技术,包括访问控制、入侵检测、入侵防御、弱点评估等等技术；

安氏领信信息安全保障体系（ISAF）

在安氏信息保障体系框架（ISAF）之下，安氏领信公司开发出一系列世界领先的信息安全产品，包括防火墙、入侵检测、终端安全管理系统、统一威胁管理系统入侵防御系统等等，提供强有力的技术手段，帮助用户构筑一个主动的、深层的安全技术体系，从容应对来自网络外部和内部的、已知的和未知的安全风险，保护信息资产的安全，以及企业业务的正常运营。

安氏领信技术体系及对应防御领域

在领信安全保障体系中，入侵防御系统系统（IPS）占有重要的位置，它可以根据用户的实际需求，部署在某些关键位置，如网关出口，内部服务器集群，以及某些重要业务系统前端，起到实时检测和主动防御的效果，提高防御性能，缩短响应时间，为网络提供强有力的保护。

3.2 安氏领信入侵防御系统介绍

安氏领信入侵检测系统（Linktrust IPS）是安氏领信针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS等黑客攻击，以及网络资源滥用（P2P下载、IM即时通讯、网游等）等推出的全新安全防护方案，其具有先进的体系架构并继承了安氏领信入侵检测系统先进的入侵检测技术，以全面深入的协议分析技术为基础，结合协议异常检测、协议异常检测、关联分析形成的新一代检测引擎，实时拦截数据流量中各种类型的恶意攻击流量，把攻击防御在企业网络之外，保护企业的信息资产。

3.2.1 领信入侵防御系统主要功能

领信入侵防御系统的主要功能可以总结为几个方面，如下图所示：

具体功能阐述如下：

●阻止来自外部或内部的蠕虫、病毒和黑客等的威胁，确保企业信息资产的安

全。

●阻止间谍软件的威胁，保护企业机密。

●阻止企业员工因为各种IM即时通讯软件、网络在线游戏、P2P下载、在线

视频导致的企业网络资源滥用而影响正常工作，净化流量，为网络加速。

●阻止P2P应用可能导致的企业重要机密信息泄漏和可能引发的与版权相关

的法律问题。

●实时保障企业网络系统7x24不间断运行，提高企业整体的网络安全水平。

●智能、自动化的安全防御，降低企业整体的安全费用以及对于网络安全领域

人才的需求。

●高效、全面的流量分析、事件统计，能迅速定位网络故障，提高网络稳定运

行时间。

3.2.2 领信入侵防御系统产品特点

●实时的主动防御

?多种检测技术的结合使得Linktrust IPS可以预防多种已知和未知攻击，

准确率保持在很高的水平

?最小化人员干预，结合安氏领信的SOC系统可以使网络管理人员从大

量的事件分析工作中解脱出来，有效减轻攻击报警处理的压力。

?IPS的检测模块与内置防火墙模块的完美集成使得产品具有更安全可靠

的防护能力，同时还可获得更强的访问控制功能和灵活性。准确的检测/

防护

?Linktrust IPS基于状态的协议分析检测技术、流量和协议异常检测技术、

基于漏洞存在的攻击检测技术，结合基于特征匹配的检测技术，极大地

提高检测的准确性，降低误报率。

?Linktrust IPS独有的协议识别技术能够识别近100种包括后门、木马、

IM、网络游戏在内的应用层协议，不仅可以更有效的检测通过动态端口

或者智能隧道等进行的恶意入侵，并且能更好的提高检测效率和准确率。

?Linktrust IPS出色的协议异常检测针对检测未知的溢出攻击与拒绝服务

攻

击，达到接近100%的检测准确率和几乎为零的误报率。

?Linktrust IPS能够有效防御拒绝服务攻击DoS，阻止攻击者消耗网络资

源、中止服务。

●优异的产品性能

?Linktrust IPS专门设计了安全、可靠、高效的硬件运行平台。硬件平台

采用严格的设计和工艺标准，保证了高可靠性；独特的硬件体系结构大

大提升了处理能力、吞吐量；操作系统经过优化和安全性处理，保证系

统的安全性和抗毁性。

?Linktrust IPS依赖先进的体系架构、高性能专用硬件，在实际网络环境

部署中性能表现优异，具有线速的分析与处理能力。

●高可靠、可扩展

?Linktrust IPS支持失效开放（Fail bypass）机制，当出现软件故障、硬

件故障、电源故障时，系统自动切换到直通状态以保障网络可用性，避

免单点故障。

?Linktrust IPS支持双机热备HA，不仅支持Active-Standby（主从热备），

还支持Active-Active（对等热备），提供高可用性保障。

?Linktrust IPS的工作模式灵活多样，支持inline主动防御、旁路检测、

以及bypass方式，能够快速部署在几乎所有的网络环境中

●强大的管理能力

?全新的集中管理平台－Linktrust安全防护中心，使得用户可操作性和方

便性都有了很大程度的提高。

?极易扩展的集中管理平台使得用户在升级网络时无需额外的投资

●全中文图形化的操作界面，符合安氏领信产品操作简单灵活的传统。丰富的

报表格式

?提供了多达40余种的统计报表模版，方便用户直观的了解网络安全状

况

?提供了向导式的自定义报表功能，用户可以根据网络的实际情况制定出

符合自身需求的报表模版

3.2.3 领信入侵防御系统支持的工作模式

领信入侵防御系统产品支持4种工作模式，包括透明学习模式、服务保障模式、强制防御模式、以及旁路模式，以适应不同的网络环境和不同的业务需求。用户可以根据自身的安全需求灵活的进行选择和切换。其中Passive模式相当于传统的IDS设备，我们重点关注的是其中的三种“Inline”模式。

这些工作模式的定义如下：

1透明学习模式（Inline Bridging）：该模式下引擎将根据安全策略对网络中通

过的数据进行检测，但是不会采取任何阻断或流量控制操作。这种模式主要用于首次部署时对用户网络环境的学习与策略优化阶段。

2服务保障模式（Inline Fail-passthrough）：该模式下引擎将按照安全策略对所有会话过程进行检测，并产生对不符合安全策略的内容进行告警和适当的防御。当进入IPS引擎的数据包在引擎内的转发延迟超过最大转发延迟所限制的时延时，超时的数据包会被转发以保障服务的可用性。另外在一些特殊条件下引擎也会采用透明转发或Bypass的方式保障服务可用性。这些可能的特殊情况有：

●当引擎正处在Reboot或初始化过程中时。（非bypass功能支持）

●当引擎正在执行“策略应用”命令，或正在编译签名时。（非bypass

功能支持）

●当引擎失去电源，或意外掉电时(该项需要网卡硬件支持)

●当出现任何硬件故障，导致引擎无法工作时(该项需要网卡硬件支持)

●当检测引擎由于某种原因而意外失效时（如：死机，系统崩溃等）(该

项需要网卡硬件支持)

●数据转发延迟超时后数据直接被转发（非bypass功能支持）

3强制防御模式（Inline Fail-severed）：与服务保障模式的工作方式类似，引擎会按照安全策略的要求对通信内容进行检测并作出反应，区别在于当进入IPS 引擎的数据包在引擎内的转发延迟超过最大转发延迟所限制的时延时，超时的数据包会被丢弃以保障通信的安全性，在此模式下bypass功能将被禁用。

4旁路模式（Passive）：传统IDS部署模式，采用旁路监听方式部属；

3.2.4 入侵防御系统推荐部署流程

安氏领信提供一整套的入侵保护解决方案，具有良好可扩展性的Linktrust IPS的部署方式灵活多样，能够快速部署在几乎所有的网络环境中，实现从企业网络核心至边缘及分支机构的全面保护，适用于不同环境不同企业的安全需求。

入侵防御系统通常部署在网络中的关键位置,这样对入侵防御系统自身的安装配置提出了很高的要求,为了更好的让领信入侵防御系统适应用户的网络环境,发挥更高的防御能力,我们推荐用户将入侵防御系统的上线分为两个阶段: 第一阶段:IPS的学习适应期阶段，采用透明学习模式（Inline Bridging）;

第二阶段: IPS的在线工作阶段。以Inline模式工作，全面检测，全面防护;

其中Inline模又可以具体分成服务保障模式（Inline Fail-passthrough）和强制防御模式（Inline Fail-severed），具体采用何种模式取决与用户对安全性的要求和对设备鲁棒性的要求；我们强烈建议您采用服务保障模式，这样可以在设备故障或失效的情况下仍然保证网络的可用性。

3.2.

4.1 IPS的学习适应期阶段

入侵防御系统和入侵检测系统在部署方式上的区别为IPS工作于Inline模式，而IDS工作于旁路监听模式，但并不意味着只要将IPS放置于网络的出口处，设置为inline模式，让它直接对攻击或可疑行为进行丢弃就可以了，通常情况下，在IPS以Iiline模式部署后，都需要一段时间的学习适应，才能正确无误的担当起主动防护的重任。

之所以IPS需要一个学习适应的过程，主要是因为：

●防止IPS设备误阻挡合法的数据流量

●根据被保护网络的流量，调整各项攻击阈值参数（threshold）

●根据被保护网络环境，调整需要检测的攻击特征项目

在这个阶段,IPS以Inline模式工作，只检测攻击并告警，不进行阻断

首先，将IPS的工作模式设置为Inline Bridging模式，并将IPS以Inline模式串接在被保护网络之前，所有进出被保护网络的数据包都会通过IPS的检查，正常的流量才会允许进入被保护网络。

在该模式下，IPS的检测引擎将根据安全策略对网络中通过的数据进行检测，如果用户设置了对攻击数据包的阻断功能，IPS会产生相应的阻断报警，但是不会采取任何阻断或流量控制操作。这种模式主要用于首次部署时对用户网络环境的学习与策略优化阶段，根据检测到的网络中可能出现的攻击行为，对攻击签名特征库和阈值等参数做出调整，减少IPS产生误报的可能性

另外在此模式下，用户可以观察IPS设备的加入会不会对原有的网络应用产生影响，以确保IPS的性能能够满足原有网络应用的需求。

3.2.

4.2 IPS的Inline模式工作阶段

在经过第一阶段的学习、调整和适应后，已经可以确认IPS能够以Inline方式正常运行，并且不会阻断正常合法的网络数据包，这时候就可以开启IPS的防御功能，进入阻断攻击、全面防御的阶段。

在此阶段中有两种模式可以供不同安全要求的用户使用：

1 Inline Fail-passthrough模式适用于对网络应用的连续性要求高于对网络安全性要求的用户，在此模式下，如果IPS不能正常检测攻击时或出现故障，将使用Bypass和超时转发技术优先保证用户业务的连续性。

2 Inline Fail-severed模式适用于对网络安全要求高于对网络应用连续性要求的用户，在此模式下，如果IPS不能正常检测攻击或出现故障，将拒绝所有数据包的通过，优先保证被保护网络中数据的安全。

4 入侵防御系统部署建议

4.1 系统组件说明

LinkTrust IPS需要安装的组件：

?LinkTrust IPS Console (控制台)

?LinkTrust IPS Event-Collector（事件收集服务器）

?MSDE 2000数据库（第三方软件）

?LinkTrust IPS LogServer（日志服务器）

?LinkTrust IPS Report（报表）

?Sensor（传感器）

4.1.1 集中部署方式

LinkTrust IPS 的包括多个相互独立的组件，集中式部署是最典型的一种部署方式，在这种方式下，LinkTrust IPS 管理组件控制台、数据库（包括MSDE数据库和LogServer）、报表和事件收集器安装到一台计算机上。这种部署方式易于管理，管理员可以通过对一台机器的操作完成配置组件、监控报警、查看报表等操作，在保证IPS性能的基础上充分节省了用户的资源。

4.1.2 分布部署方式

分布式部署安装可以选择将LinkTrust IPS的各个管理组件安装在多台计算机上，在大型的网络环境中，这种部署方式可以充分保证IPS系统的性能，所选的安装方式取决于拥有的传感器的数目，以及计划对它们进行部署的方式。

在一个典型的分布部署方式中，通常环境中会有多个传感器，LinkTrust IPS 管理组件分布在到四台计算机上。由于传感器数目较多，建议使用SQL Server 数据库。在这种部署方式中，有两台EC,每台EC可以接收多个传感器的报警事件，同时这两台EC又可以作为对方的备份EC。当某个EC出现故障的时候，向它发送报警事件的传感器可以将报警事件发送到另一台EC。这种部署的好处是均衡流量，并保证在一个EC故障时告警能够及时送达管理系统。控制台和报表安装在一台机器上，方便管理员查看任何时段的报警事件。

4.1.3 部署准备

攻击者可能会对我们的网络中的任何可用资源发起攻击。分析我们的网络拓扑结构对于定义我们的所有资源是至关重要的。而且，定义我们想要保护的信息和资源，是创建一个传感器部署计划的第一步。除非我们对我们的网络拓扑结构有非常透彻的理解，否则我们不可能全面地识别出需要保护的所有网络资源。当分析我们的网络拓扑结构时，我们必须考虑很多因素：

网络入口点。

关键网络组件。

远程网络。

网络大小和复杂度。

考虑安全策略限制。