IPS主動(dòng)式防護(hù) 多層深層保護(hù)企業(yè)網(wǎng)絡(luò)
隨著核心應(yīng)用業(yè)務(wù)逐漸網(wǎng)絡(luò)化,網(wǎng)絡(luò)安全成為企業(yè)網(wǎng)絡(luò)管理人員最急需解決的問題,“系統(tǒng)入侵”目前是威脅企業(yè)網(wǎng)絡(luò)信息安全的首要元兇,系統(tǒng)漏洞屢被攻擊,病毒在網(wǎng)絡(luò)泛濫,主動(dòng)防御和應(yīng)用安全的壓力日益增大,我們需要一個(gè)能夠?qū)崟r(shí)有效的安全防護(hù)系統(tǒng)。
安全防護(hù)系統(tǒng)是一個(gè)多層次的保護(hù)機(jī)制,它既包括企業(yè)的安全策略,又包括防火墻、防病毒、入侵防護(hù)等多種產(chǎn)品的解決方案。傳統(tǒng)的,我們會(huì)僅用防火墻或防毒墻來(lái)反擊,但因?yàn)樗麄冎饕欠烙苯拥目梢闪髁浚鎸?duì)黑客攻擊水平的不斷提高,及內(nèi)部因計(jì)算機(jī)操作而存在的安全隱患等混合威脅的不斷發(fā)展,這種單一的防護(hù)措施已經(jīng)顯得力不從心。
IDS入侵檢測(cè)系統(tǒng)一直以來(lái)充當(dāng)了安全防護(hù)系統(tǒng)的重要角色,IDS技術(shù)是通過從網(wǎng)絡(luò)上得到數(shù)據(jù)包進(jìn)行分析,從而檢測(cè)和識(shí)別出系統(tǒng)中的未授權(quán)或異常現(xiàn)象。IDS注重的是網(wǎng)絡(luò)監(jiān)控、審核跟蹤,告知網(wǎng)絡(luò)是否安全,發(fā)現(xiàn)異常行為時(shí),自身不作為,而是通過與防火墻等安全設(shè)備聯(lián)動(dòng)的方式進(jìn)行防護(hù)。
IDS目前是一種受到企業(yè)歡迎的解決方案,但其目前存在以下幾個(gè)顯著缺陷:一是網(wǎng)絡(luò)缺陷(用交換機(jī)代替可共享監(jiān)聽的HUB使IDS的網(wǎng)絡(luò)監(jiān)聽?zhēng)?lái)麻煩,并且在復(fù)雜的網(wǎng)絡(luò)下精心的發(fā)包也可以繞過IDS的監(jiān)聽);二是誤報(bào)量大(只要一開機(jī),報(bào)警不停);三是自身防攻擊能力差等缺陷,所以,IDS還是不足完成網(wǎng)絡(luò)安全防護(hù)的重任。
IDS的缺陷,成就了IPS的發(fā)展,IPS技術(shù)能夠?qū)W(wǎng)絡(luò)進(jìn)行多層、深層、主動(dòng)的防護(hù)以有效保證企業(yè)網(wǎng)絡(luò)安全,IPS的出現(xiàn)可謂是企業(yè)網(wǎng)絡(luò)安全的革命性創(chuàng)新。簡(jiǎn)單地理解,IPS等于防火墻加上入侵檢測(cè)系統(tǒng),但并不代表IPS可以替代防火墻或IDS。
防火墻在基于TCP/IP協(xié)議的過濾方面表現(xiàn)非常出色,IDS提供的全面審計(jì)資料對(duì)于攻擊還原、入侵取證、異常事件識(shí)別、網(wǎng)絡(luò)故障排除等等都有很重要的作用。
下面,我們來(lái)分析一下市場(chǎng)上主流的IPS生產(chǎn)廠商,看看他們?cè)谠O(shè)計(jì)IPS產(chǎn)品時(shí),是如何有效實(shí)現(xiàn)IPS的主動(dòng)入侵防護(hù)功能的。
從安全廠商來(lái)看,國(guó)外品牌McAfee、ISS、Juniper、Symantec、華為3Com,國(guó)內(nèi)品牌如冰峰網(wǎng)絡(luò)、綠盟科技等眾多廠商都有多款百兆和千兆的IPS產(chǎn)品,國(guó)產(chǎn)品牌(如冰峰網(wǎng)絡(luò))的千兆IPS產(chǎn)品的性能相對(duì)過去,更是有了長(zhǎng)足的發(fā)展,對(duì)大流量網(wǎng)絡(luò)的適應(yīng)能力明顯增強(qiáng)。從對(duì)這些主流IPS 產(chǎn)品的評(píng)測(cè)來(lái)看,一個(gè)穩(wěn)定高效的IPS產(chǎn)品,需要具備以下幾個(gè)方面的能力:
檢測(cè)機(jī)制:
由于需要具備主動(dòng)阻斷能力,檢測(cè)準(zhǔn)確程度的高低對(duì)于IPS來(lái)說(shuō)十分關(guān)鍵。IPS廠商綜合使用多種檢測(cè)機(jī)制來(lái)提高IPS的檢測(cè)準(zhǔn)確性。據(jù)Juniper 的工程師介紹,Juniper產(chǎn)品中使用包括狀態(tài)簽名、協(xié)議異常、后門檢測(cè)、流量異常、混合式攻擊檢測(cè)在內(nèi)的“多重檢測(cè)技術(shù)”,以提高檢測(cè)和阻斷的準(zhǔn)確程度。
McAfee 公司則在自己的實(shí)驗(yàn)室里加強(qiáng)了對(duì)溢出型漏洞的研究和跟蹤,把針對(duì)溢出型攻擊的相應(yīng)防范手段推送到IPS 設(shè)備的策略庫(kù)中。國(guó)內(nèi)品牌冰峰網(wǎng)絡(luò)在IPS設(shè)備中采用了漏洞阻截技術(shù),通過研究漏洞特征,將其加入到過濾規(guī)則中,IPS就可以發(fā)現(xiàn)符合漏洞特征的所有攻擊流量,在沖擊波及其變種大規(guī)模爆發(fā)時(shí),直接將其阻斷,從而贏得打補(bǔ)丁的關(guān)鍵時(shí)間。
弱點(diǎn)分析:
IPS產(chǎn)品的發(fā)展前景取決于攻擊阻截功能的完善。引入弱點(diǎn)分析技術(shù)是IPS完善攻擊阻截能力的更要依據(jù),IPS廠商通過分析系統(tǒng)漏洞、收集和分析攻擊代碼或蠕蟲代碼、描述攻擊特征或缺陷特征,使IPS 能夠主動(dòng)保護(hù)脆弱系統(tǒng)。由于軟件漏洞是不法分子的主要攻擊目標(biāo),所以幾乎所有IPS廠商都在加強(qiáng)系統(tǒng)脆弱性的研究。
ISS、賽門鐵克分別設(shè)立了漏洞分析機(jī)構(gòu)。McAfee也于日前收購(gòu)了從事漏洞研究的 Foundstone公司,致力于把漏洞分析技術(shù)與入侵防護(hù)技術(shù)結(jié)合起來(lái),Juniper設(shè)有一個(gè)專門的安全小組,密切關(guān)注新的系統(tǒng)弱點(diǎn)和蠕蟲,國(guó)內(nèi)的IPS廠商,如綠盟科技、冰峰網(wǎng)絡(luò)等,雖然沒有自己獨(dú)立的弱點(diǎn)分析機(jī)構(gòu),但也在嚴(yán)密關(guān)注相關(guān)權(quán)威機(jī)構(gòu)發(fā)布的弱點(diǎn)分析報(bào)告,及時(shí)更新過濾機(jī)制。
應(yīng)用環(huán)境:
IPS 的檢測(cè)準(zhǔn)確率還依賴于應(yīng)用環(huán)境。一些流量對(duì)于某些用戶來(lái)說(shuō)可能是惡意的,而對(duì)于另外的用戶來(lái)說(shuō)就是正常流量,這就需要IPS能夠針對(duì)用戶的特定需求提供靈活而容易使用的策略調(diào)優(yōu)手段,以提高檢測(cè)準(zhǔn)確率。McAfee、Juniper、ISS、冰峰網(wǎng)絡(luò)等公司同時(shí)都在IPS中提供了調(diào)優(yōu)機(jī)制,使IPS通過自學(xué)習(xí)提高檢測(cè)的準(zhǔn)確性。
全面兼容:
所有的用戶都希望用相對(duì)少的投入,建設(shè)一個(gè)最安全、最易管理的網(wǎng)絡(luò)環(huán)境。IPS如若需達(dá)到全面防護(hù)工作,則還要把其它網(wǎng)絡(luò)管理功能集成起來(lái),如網(wǎng)絡(luò)管理、負(fù)載均衡、日志管理等,各自分工,但緊密協(xié)作。
【相關(guān)文章】
