入侵防御系統（Intrusion Prevention System，IPS）能夠對經過的流量進行深度檢測，從而發現網絡中的惡意流量。入侵防御系統是云防火墻的一個重要組件，具有不斷更新的惡意威脅特征庫，能夠及時發現新的威脅；內置協議檢測引擎，可以自動檢測多種主流協議和應用；支持TCP流重組和HTTP協議還原，為報文檢測提供保障；采用多線程、pipeline技術、hyperscan算法等多種先進技術，提高入侵檢測系統的處理能力。作為云防火墻的重要組成部分，它極大的豐富了云防火墻的特性。
以下將分別介紹入侵防御系統的幾大特性：
1）不斷更新的特征庫
入侵防御系統實現了一個龐大的惡意威脅特征庫，基于此特征庫可以及時發現網絡中的惡意流量，通過不斷更新此特征庫，可以及時應對不斷出現的新的威脅。
2）多線程和cpu親和性
入侵防御系統支持多線程，可以實現對多條流并行檢測，提供較高的處理能力。多線程必然會帶來頻繁的核間切換，容易導致因cache miss和cache write back造成的大量性能損失，為了避免這種開銷浪費，同時保證更多cache hit，入侵防御系統利用線程的CPU親和性綁定的方式，將每個線程綁定到某個核上工作，獨占此核，從而減少了損耗，提高了性能。
3）pipeline技術
為了提高入侵防御系統的處理能力，采用了pipeline技術。每個線程包含報文的全部流程，包括報文解碼、流重組、協議檢測、協議解析、報文檢測、結果輸出等流程，每個報文在一個線程中完成全部處理，報文進入哪個流程則由報文接收模塊決定。
4）協議自動檢測
入侵檢測系統內置協議檢測引擎，根據報文的協議特征而不依賴協議常用端口，精準識別所屬的5層/7層協議，為訪問控制和協議解析提供準確的信息。
5）協議解析器
根據協議檢測的結果，進行協議的解析和還原，為后續報文檢測、特征匹配提供信息，支持如HTTP、SMTP、FTP、SSH、DNS、TFTP等主流協議。
5）TCP流引擎
TCP流引擎用來記錄TCP流的詳細信息，為報文檢測提供更加詳盡和靈活的配置選項，包括兩個子引擎，一個是流追蹤子引擎，主要記錄TCP流的連接狀態、序列號、TCP窗口、TCP選項等信息，報文檢測引擎可以根據這些信息對報文做更加靈活的檢測；另一個是流重組子引擎，主要用來緩存重組TCP報文，報文檢測引擎可以根據重組報文做檢測，解決惡意特征被拆包繞過防火墻的問題，提高惡意流量識別率。
6）HTTP引擎
HTTP協議是當前互聯網的主流協議，入侵檢測系統實現了一套完整的有狀態HTTP協議解析器，可以記錄還原HTTP協議交互的全過程，支持HTTP協議常見的字段，并且支持文件識別、解壓、提取，是報文檢測引擎不可或缺的重要組成部分。
7）hyperscan高效匹配算法
Hyperscan是業界一款非常優秀的、由intel開發的高性能的正則表達式匹配庫，在模式匹配中有非常廣泛的應用，特別適用于DPI/IPS/IDS/FW等場景中。我們也引入了這一高效匹配算法，大大提升了入侵防御系統的性能。

<dd id='rxmp4'></dd>

入侵防御系統作為云防火墻中不可或缺的一部分，經過不斷的技術演進、采用多種先進技術優化，具有識別準確、處理高效等特點，提升了云防火墻產品的競爭力。