IPS的实现机制

1、IP分片的重组以及TCP流的重组，防止因为分片对导致防火墙的逃脱

2、协议识别和协议解析，通过对报文的协议类型以及报文的上层内容识别，深入提取报文的特征

3、特征匹配，当防火墙识别了报文的上层的协议类型以及相关的内容，就会进行报文的特征匹配只有匹配到了相关的IPS特征库之后才会进行下一步的处理

所以从上面可以看出IPS的实现机制主要是依靠分片和流的重组以及上层协议的识别，相关的不良内容的识别主要依靠的是防火墙内部的IPS特征库

4、当匹配到了相对应的特征之后就会进行相对应的处理

上面是大致的匹配流程

在防火墙的内部都有诸多的签名，用户可以自己自定义签名也直接使用预定义的签名。

每个签名的内部都有自己事先定义的动作

但是当防火墙进行流量的处理的时候，面对众多的签名的时候肯定会导致数据流量的审查缓慢，所以就出现了签名配置文件，签名配置文件内部可以包含多个签名过滤器，以及多个签名个例。无论是签名过滤器还是签名个例，它们的主要作用都是为了解决具体场景使用具体IPS特征签名的作用，由此可以减少流量进行IPS流量检测的时长来加快流量的流动。

 例外签名的主要作用就是为了就是用于更细致化的进行IPS流量的放行。

签名过滤器有三种动作

 如果是采用签名的缺省动作，那么当流量匹配到IPS特征库中的签名的时候，就执行单体签名中事先制定好的动作。