IPS（Intrusion Prevention System，入侵检测系统）是一种实时对流量进行深度检测以发现威胁并进行防御的安全技术。

通过对经过设备的流量进行实时的深度检测，IPS可以识别流量中隐藏的恶意信息，并进行实时的告警、阻断，保护用户不受恶意流量的威胁。

设备的IPS功能配置都是以“模板”的方式呈现的，不同的模板，对应的IPS规则可以不同。用户可以根据自己的需求自定义定义属于自己的模板。同时，设备出厂时还内置了经过严格验证的“预定义模板”。

自定义模板是IPS功能的基础配置，模板可以由多个“规则过滤器”组成，而每个规则过滤器由若干个规则构成。用户可以根据自身的需求，将特定的规则组合成一个配置模板。

配置模板、规则过滤器、规则这三者的关系可以用下图来描述。

图1-1 配置模板、规则过滤器、规则关系示意图

预定义模板所包含的元素和自定义模板是一致的。与自定义模板不同的是：

l 预定义模板是由锐捷根据各个不同的使用场景来定义的，经过市场验证的一系列模板。用户可以直接使用，避免繁琐的配置与调试。

l 预定义模板会自动更新，锐捷会根据市场的反馈更新预定义模板中的规则集，用户使用预定义模板的时候，可以减少后期维护人力。

模板路径：[对象]>>[内容模板]>>[入侵防御]>>[预定义模板]

4 策略引用IPS模板

配置完IPS模板后，如需让IPS功能真正生效，需要在行为管理策略页面引用IPS的模板。同时我们在引用模板后，可以根据自身的需要，选择命中模板后流量的动作：

l 默认动作：所有命中签名的流量，使用签名上的动作进行处理。

l 告警：所有命中签名的流量，都使用告警的方式处理，忽略签名的原始动作。

l 阻断：所有命中签名的流量，都使用阻断的方式处理，忽略签名的原始动作。

配置路径：[策略]>>[行为管理]