第八步：对于IPS记录的攻击行为和利用的漏洞我们都可以通过查看详细内容来进一步了解，例如之前介绍的MS-SQL hello buffer overflow信息，我们可以查看到具体的利用方法以及防范方法。（如图8）

　　第九步：之前我们已经为各位读者介绍了如何通过IPS来了解攻击者使用的攻击行为以及设备安全记录信息，当然IPS与IDS最大的区别在于他能够实现联动的功能，也就是说可以根据记录的攻击手段实现不同的防御手段而不是盲目接招。所有防御联动的参数都在ips->action sets行为设置中完成，在这里我们会看到包括block阻止，阻止+提醒，阻止+提醒+跟踪以及带宽限制到10M，带宽限制到5M等操作方法。我们可以在这里设置更加详细更加有效的防御行为。（如图9）

　　第十步：当我们设置了防御行为后过一段时间将可以看到防御的效果，具体信息都在logs->block log中显示，包括IP地址，端口信息等内容。（如图10）

　　第十一步：当然大部分IPS系统不仅仅具备入侵防御功能，很多时候厂商为了能够提供功能整合让产品可以身兼数职还会添加诸如网络管理，流量控制的功能，例如笔者使用的这个IPS设备就具备流量管理功能，我们通过他的设置界面可以将某个服务，某个通讯使用的流量进行限制。（如图11）

　　第十二步：任何一台入侵防御系统IPS都可以对其网络参数进行设置，同时根据企业安全级别设置其使用的管理协议，在这里建议大家通过HTTPS管理，如果非要开启CLI命令行管理模式的话应该选择SSH协议而不是telnet管理，毕竟后者是明文传输的，很容易被网络中的sniffer检测监视到。（如图12）

　　第十三步：有时我们网络管理员不可能24小时的守护在IPS和企业内网周围，因此IPS系统还会为我们提供诸如短信息提醒，电子邮件提醒等功能，这些功能帮助我们在最短时间内发现问题并快速解决问题。（如图13）

　　第十四步：也许有些读者会说IPS记录了这么多个信息，那么他的硬盘空间一定很大吧，实际上我们可以顺利轻松的将记录的日志信息保存到远程服务器或企业内部的存储系统，这点类似于保存路由交换设备的日志，通过设置远程日志服务器来实现此功能，日后可以直接通过分析工具对服务器上的日志信息进行统计和汇总，从而发现网络中最常见的被攻击手段。（如图14）

　　第十五步：如果要临时查看记录的日志信息我们可以通过download log下载日志文件成为HTML格式保存到本机硬盘，由于篇幅关系具体操作就不详细说明了，总之非常简单。（如图15）

　　小提示：

　　针对某服务某程序进行流量限制时我们并不一定非要限制为5M或10M这样的数值，在action set details行为设置具体界面中可以通过下拉菜单选择流量限制速度限制的数值，从几K到几十M都是可以的。当然如果不想限制速度也可以直接选择permit容许通讯或block来阻止通讯。（如图16）

　　三、总结：

　　本文主要针对企业中起到很大作用的入侵防御系统IPS的操作和简单设置进行了介绍，实际上大部分IPS都会涉及本文介绍的功能，在日常使用过程中针对 IPS的设置并不多，只要我们事先设置好规则，其他操作IPS都会自动完成，我们只需要定期查看系统运行状态和留意EMAIL或手机中的警报信息即可。当然IPS中的防御规则也不是一成不变的，我们应该养成定期分析记录的日志文件来添加修改原有规则的习惯，这样才能够让你的入侵防御系统IPS与石俱进将黑客与漏洞病毒彻底阻挡在企业网络大门之外。