主機型IPS軟體－Cisco Security Agent

Cisco Security Agent（CSA）的前身是Okena的StormWatch，它是一套專門用來防護伺服器主機或個人端電腦的入侵防禦系統（Host intrusion prevention，HIPS），透過分析異常的網路存取行為，強化漏洞或特徵碼空窗期的攻擊防護，輔助傳統比對病毒碼或入侵特徵的做法。

CSA需要將代理程式部署在末端電腦，同時要搭配專屬的管理主控臺CiscoWorks Management Center for Cisco Security Agents（CSA MC）。每臺裝有代理程式的電腦會主動連回MC，平時佔2KB到3KB的頻寬，上傳事件時增加至10KB內，而下載政策最大需100KB，依政策設定的變化量而定。CSA支援快取引擎，只需要一個代理程式取得更新，就可以發布到區域內各部電腦。MC若要發布提示訊息，將透過UDP封包傳遞，NAT只會影響快取機制。

可防護惡意程式與緩衝區溢位攻擊
CSA運作的原理是在應用程式與作業系統核心之間，監控末端電腦的檔案與記憶體的存取狀態、處理程序的模式、COM物件的使用以及共用函式庫的呼叫等可能影響效能與穩定性的動作，作為偵查的線索，然後將這些事件建立關聯性，從行為上發現異常和破壞活動，及時偵測與阻擋這些電腦受感染或遙控而發出的惡意攻擊。架構上，CSA可以攔截所有的作業系統對檔案、網路、模組和COM物件存取，也包含動態的執行資源變動，例如記憶體分頁、共用函式庫的系統呼叫。

強制電腦與伺服器落實企業政策
當裝有CSA代理程式的電腦與伺服器開始執行應用程式時，CSA會檢查應用程式政策，以便決定是否繼續允許應用程式執行，並記錄動作是否恰當。CSA提供作業系統鎖定、惡意程式防護與事件收集，搭配CiscoWorks VMS後，還能以政策控管多部Cisco設備，達到縱深防禦。

VMS能集中控管CSA代理程式，本身也提供不同的角色分權登入系統管理。在部署代理程式前，須在VMS上調整政策、監控的警示和報告產生的設定，並且針對控管的電腦與伺服器製作部署套件。系統預設提供20條政策，除了主動阻擋的模式，管理者可以選擇將代理程式部署為IDS模式－只偵測、發出警示而不阻擋。為了方便管理，主控臺具有調校精靈和代理程式組態精靈（Agent Profiler）和代理程式套件（Agent Kits），加速政策調整。

VMS內元件頗多，確實需要1GB以上的記憶體，否則會耗費很多時間安裝。更要小心的是，VMS只能安裝在Windows 2000 Server英文版。文⊙李宗翰