IPS是使網(wǎng)絡(luò)健康的關(guān)鍵防護措施
一、IPS 對網(wǎng)絡(luò)的關(guān)鍵作用
眾所周知,近年來網(wǎng)絡(luò)安全事件層出不窮(國際權(quán)威組織CERT(Computer Exigency Response Team,計算機緊急響應(yīng)小組)監(jiān)測并統(tǒng)計得到:2008年上半年,平均每天會有1.5萬個網(wǎng)頁受到病毒感染,即每5秒鐘內(nèi)就會增加一個被感染網(wǎng)頁)。專業(yè)的安全廠家和研究機構(gòu)通過分析和驗證所有這些安全攻擊事件,形成肯定的結(jié)論:所有的安全事件其根本技術(shù)原因就是黑客發(fā)現(xiàn)和利用了目標(biāo)機的系統(tǒng)漏洞。我們知道,漏洞大致分為“各類操作系統(tǒng)”漏洞和“各類應(yīng)用系統(tǒng)”漏洞。我們可以再肯定的說,任何漏洞都可能造成攻擊目標(biāo)的失陷。
如何來跟蹤和收集這些漏洞,并對漏洞特征進行分析歸納,從而發(fā)明一種設(shè)備來檢測并阻斷利用這些漏洞的攻擊報文呢?IPS(Intrusion Prevention System,入侵防御系統(tǒng))設(shè)備就是基于這種思想開發(fā)的網(wǎng)絡(luò)安全設(shè)備。有實力的IPS廠商一般都組建有特征庫團隊,分析和跟蹤常用基礎(chǔ)軟件的漏洞,以及常用應(yīng)用系統(tǒng)的漏洞利用機理,并生成攻擊特征庫定期下發(fā)到IPS設(shè)備上,保證IPS在防范已知漏洞的基礎(chǔ)上,能對新出現(xiàn)的漏洞也能進行防范,從而,在源頭上堵住系統(tǒng)漏洞,在源頭上將安全事件的根本原因消除掉。可以說,如果在每個網(wǎng)絡(luò)域的出口都部署IPS,并定期升級IPS特征庫的話,那么,安全事件是可以從源頭上消除掉的。
二、IPS 是不可替代的
人類不是未卜先知的神靈,可以一簇而就的制造出完美的IPS設(shè)備。在對漏洞的攻擊和防護上,網(wǎng)絡(luò)技術(shù)人員走過了認(rèn)識、深化、修正、提升的曲折發(fā)展道路。這個發(fā)展過程也是符合IT技術(shù)的發(fā)展規(guī)律的。
1988年,Morris蠕蟲造成的網(wǎng)絡(luò)癱瘓事件導(dǎo)致了業(yè)界對漏洞攻擊入侵的真正認(rèn)識和深入關(guān)注,網(wǎng)絡(luò)技術(shù)人員提出了簡單模型的IDS(Intrusion Detection System,入侵偵聽系統(tǒng))。1995年,IDS逐步從研究性、嘗試性的產(chǎn)品逐漸發(fā)展到了市場化的產(chǎn)品,隨著網(wǎng)絡(luò)安全事件的不斷涌現(xiàn)和危害程度不斷加重,IDS逐漸得到了廣泛的應(yīng)用。但隨后遵循摩爾定律,網(wǎng)絡(luò)技術(shù)和計算機技術(shù)飛速發(fā)展,網(wǎng)絡(luò)技術(shù)人員逐漸發(fā)現(xiàn)IDS在應(yīng)對不斷翻番的網(wǎng)絡(luò)流量和不斷出現(xiàn)的網(wǎng)絡(luò)復(fù)雜應(yīng)用時已力不從心,如出現(xiàn)了海量攻擊事件、檢測性能不夠、檢測精度不夠、分析攻擊事件困難、無法有效阻斷攻擊等,因此,業(yè)界也在不停地探討利用新的軟、硬件技術(shù)來實現(xiàn)一個更高級的入侵檢測防御的IPS模型,不同于IDS,該模型與生俱來的設(shè)計思想就是:精確檢測、實時阻斷。隨后國際上各廠商紛紛推出IPS產(chǎn)品,并在各行各業(yè)形成了規(guī)模應(yīng)用;2003年,國際著名咨詢機構(gòu)Gartner副總裁在大量的數(shù)據(jù)分析后,發(fā)表了“IDS is dead”判斷,并逐漸在美國、日本等互聯(lián)網(wǎng)發(fā)達(dá)的國家得到驗證,國際上的廠商逐漸停止生產(chǎn)銷售IDS,而專注于研發(fā)銷售IPS,同時,通過將各種先進的軟、硬件技術(shù)引入到IPS的開發(fā)中,如多核技術(shù)、ASIC技術(shù)等,使得IPS的檢測性能與日俱增。
簡言之,IPS代表了更新更先進的產(chǎn)品形態(tài),將逐步涵蓋和終結(jié)IDS產(chǎn)品形態(tài),下表羅列了兩者之間的根本區(qū)別。
表1. IDS、IPS產(chǎn)品的主要區(qū)別
三、 IPS在線部署的可靠性是完全有保障的
在線部署的IPS是否會成為網(wǎng)絡(luò)業(yè)務(wù)的一個新的故障點呢?這是很多用戶會擔(dān)心的問題。IPS是一個深入應(yīng)用層(七層)的安全設(shè)備,主要提供網(wǎng)絡(luò)威脅防御的業(yè)務(wù),不同于交換機、路由器,IPS本身不參與報文選路和交換,而是透明部署,從一個接口上接收網(wǎng)絡(luò)流量,對報文進行深入七層的實時的分析檢測,根據(jù)檢測結(jié)果阻斷攻擊流量,并將正常流量從另一個確定的接口上轉(zhuǎn)發(fā)出去。所以,在IPS上可以實現(xiàn)相比交換機、路由器更多的可靠性設(shè)計,即IPS的多重高可靠性(MHA)設(shè)計。IPS的多重高可靠性(MHA)面向業(yè)務(wù)傳送的所有層面進行高可靠保護,使得在任何情況下業(yè)務(wù)都不會因為IPS的故障而中斷,使得IPS這個網(wǎng)絡(luò)節(jié)點永遠(yuǎn)不會成為中斷業(yè)務(wù)的故障點。
H3C IPS按照電信級標(biāo)準(zhǔn)設(shè)計了冗余電源進行供電,并設(shè)計了無源連接設(shè)備PFC(Power Free Connector),PFC可以為IPS產(chǎn)品提供了掉電保護功能。在IPS掉電的情況下,PFC可以將網(wǎng)絡(luò)流量自動繞開IPS、旁路到下一跳設(shè)備上去;而當(dāng)管理員恢復(fù)電源供給后,PFC又會自動禁止旁路功能,所有流量將再度流經(jīng)IPS接受檢測。如下圖所示。
圖1. H3C IPS的掉電保護機制設(shè)計
PFC是通過IPS設(shè)備上的USB口供電的,當(dāng)IPS掉電后,PFC也掉電,PFC掉電后通過內(nèi)部的繼電器裝置會迅速連通網(wǎng)絡(luò),實現(xiàn)一層Bypass。利用PFC設(shè)備,H3C IPS在掉電后小于10ms的時間內(nèi)即能恢復(fù)網(wǎng)絡(luò)連通。
在線部署的IPS是否會因為性能問題而導(dǎo)致IPS節(jié)點成為網(wǎng)絡(luò)瓶頸?這也是很多用戶會擔(dān)心的問題。其實這個擔(dān)心是沒有必要的。網(wǎng)絡(luò)產(chǎn)品(路由、交換機)的硬件技術(shù)、軟件技術(shù)的發(fā)展使得萬兆,百萬兆的流量處理都是能夠?qū)崿F(xiàn)的,包括IPS在內(nèi)的各種安全設(shè)備在架構(gòu)設(shè)計和芯片處理上都可以借鑒和挪用這些技術(shù)積累,從而擁有了更強勁的處理能力,可以保證:IPS能夠在可預(yù)見的網(wǎng)絡(luò)帶寬下以“交換機式”性能完成入侵檢測防御。
IPS已經(jīng)得到了全球范圍的規(guī)模應(yīng)用,說明了IPS的性能是完全可以滿足各種實際應(yīng)用環(huán)境的。特別是從2000年開始,業(yè)界對IPS的開發(fā)和測評已積累了足夠的經(jīng)驗,尤其對IPS產(chǎn)品的性能評價和性能測試方法已經(jīng)足夠客觀準(zhǔn)確,廠家或測評機構(gòu)可通過客觀的IPS性能測試方法來獲得IPS的吞吐量、時延、并發(fā)連接數(shù)、新建連接數(shù)等指標(biāo),而將IPS用在與這些指標(biāo)相對應(yīng)的網(wǎng)絡(luò)環(huán)境中時,IPS的性能是決不會成為瓶頸的。H3C IPS的從高端到低端的全系列IPS產(chǎn)品的時延都在50微秒以下。
IPS的硬件設(shè)計先進,如采用多核CPU、多核多線程,采用專有交換芯片實現(xiàn)正常報文轉(zhuǎn)發(fā)等,多核CPU可以多達(dá)8核、16核、32核。每個核具有多個硬件線程,每個線程具有獨立的寄存器組,這些核可以并發(fā)地執(zhí)行指令,保證了多個硬件線程的高速運行。先進的硬件架構(gòu)使多核并行運算,提供入侵檢測防御業(yè)務(wù),確保IPS性能。。
四、 總結(jié)
通過我們的分析,知道IPS是防范安全威脅的最有效的網(wǎng)絡(luò)安全設(shè)備。分析IPS的發(fā)展歷史,我們知道IPS規(guī)避了IDS的缺陷,IPS相比IDS代表了更先進的產(chǎn)品形態(tài)。分析IPS的技術(shù)和應(yīng)用,我們知道IPS不會因為可靠性和性能而影響網(wǎng)絡(luò)的正常業(yè)務(wù)。分析IPS產(chǎn)品在國內(nèi)、外的應(yīng)用歷史和趨勢,我們知道IPS已成為主流的網(wǎng)絡(luò)安全設(shè)備在各行各業(yè)的網(wǎng)絡(luò)上進行了規(guī)模部署。
我們發(fā)現(xiàn),交換機和路由器的規(guī)模部署使網(wǎng)絡(luò)實現(xiàn)了互聯(lián)互通,當(dāng)網(wǎng)絡(luò)規(guī)模變大、安全問題變嚴(yán)重時,防火墻的規(guī)模部署使網(wǎng)絡(luò)實現(xiàn)了訪問控制,解決了部分安全問題,而當(dāng)網(wǎng)絡(luò)應(yīng)用不斷豐富并且不斷商業(yè)化、安全形勢變得更加嚴(yán)峻時,IPS的規(guī)模部署使網(wǎng)絡(luò)實現(xiàn)深度報文檢測和入侵防御必然是網(wǎng)絡(luò)和網(wǎng)絡(luò)安全的發(fā)展趨勢。
【編輯推薦】
