8.1.2　端点安全

回顾“端口镜像”小节内容，通过配置虚拟交换机的ERSPAN可以将来自VM的数据包转发至网络的IPS设备上，也可以通过基于主机的IPS完成这一功能。基于主机的IPS是保护端点免遭漏洞攻击和防范恶意软件的最有效方法之一，它能应对大多数已知攻击方法，在预防零日漏洞（zero-day）攻击方面也非常有效。

说明：术语“零日”指安全漏洞曝光的那一天，开发人员发现软件的安全漏洞后，还来得及在黑客发现该漏洞或者某个志愿者将漏洞公之于众之前修复漏洞，而“零日攻击”则早于或刚刚好就在漏洞发现的第一天，意味着开发人员没有任何机会向软件用户发布漏洞修复补丁。

基于主机的IPS将对攻击行为进行检查以防范新的攻击，无需安装IPS攻击签名就能够完成这项检查。大多数与网络IPS进行互联的DMZ和服务器集群环境中一般会使用基于主机的IPS技术，基于网络IPS和基于主机IPS的详细内容则超过了本书的讨论范围。