Kỹ thuật ngăn chặn xâm nhập có thể dừng các đường truyền xâm nhập trước khi nó xâm nhập vào mạng bởi việc đặt sensor ở lớp 2 thiết bị forwading (Switch) trong mạng.
Hình 5.2.3.1a: Triển khai Intrusion Prevention Sensor
NIPS có thể hủy đường truyền theo các cách sau :
Hủy một gói tin: Kiểu đơn giản nhất của NIPS bao gồm việc xác định một gói tin
khả nghi và hủy chúng. Các gói tin xấu sẽ khơng tới các hệ thống đích bởi thế mạng của bạn sẽ được bảo vệ. Tuy nhiên kẻ tấn cơng có thể gửi lại các gói tin xấu. Đối với mỗi gói tin IPS cần phân tích gói tin mạng và nơi mà đường truyền cho qua hay từ chối, chi phối tài nguyên trong thiết bị IPS.
Hủy tất cả các gói tin trong kết nối: Thay vì hủy từng gói tin một, hệ thống IPS có
thể hủy tồn bộ các gói tin trong kết nối đặc biệt đối với cấu hình theo chu kỳ thời gian. Sự kết nối được xác định tính tốn các thành phần:
- Địa chỉ nguồn.
- Địa chỉ đích.
- Cổng đích.
- Cổng nguồn (không bắt buộc).
Ưu điểm của ngắt kết nối là các gói tin đến sau tính tốn kết nối có thể ngắt tự động mà khơng cần phân tích. Về mặt hạn chê, tuy nhiên kẻ tấn cơng vẫn có khả năng gửi
đường truyền mà khơng cần tính tốn kết nối có thể ngắt.
Hủy tất cả các đường truyền từ địa chỉ nguồn:
Cơ chế ngắt cuối cùng là ngắt tất cả các đường truyền từ địa chỉ nguồn đặc biệt. Trong một số trường hợp, khi các gói tin khả nghi được phát hiện, nó sẽ được ngắt, cùng
với tất cả đường truyền tương ứng với địa chỉ nguồn đối với cấu hình trong chu kỳ thời gian. Bởi vì tất cả đường truyền từ host tấn cơng có thể bị ngắt trong vài phiên.Thiết bị IPS sử dụng ít tài nguyên. Hạn chế chính là nếu kẻ tấn cơng có thể giả mạo địa chỉ nguồn và giả vờ là hệ thống quan trọng như phần thương mại, nếu bắt đầu đăng ký là khả năng lỗi và đường truyền sẽ từ chối mạng của bạn.
Lợi ích chính của việc sử dụng NIPS là ngăn chặn tấn cơng đảm bảo đường truyền bình thường và thực thi các chính sách bảo mật có hiệu quả.