位于主機和網絡層的入侵檢測系統和防御系統是當今信息安全的主要產品。然而隨著虛擬技術的出現，許多網絡安全專家已經意識到傳統的入侵檢測系統已經不能如以前融入到傳統的企業基礎設施中一樣融入或是在虛擬的網絡或系統中工作。

例如，網絡入侵檢測可能會更加困難，因為主要平臺供應商的默認虛擬交換機不允許用來建立交換端口分析器(SPAN)或鏡像端口，防止流量被復制到入侵檢測系統(IDS)傳感器。同樣地，入侵防護系統(IPS)是被放置在傳統的物理網絡區域內的，不可能輕易地融入到一個虛擬的環境中，尤其是虛擬網絡流量。一個基于主機的入侵檢測系統(IDS)在虛擬機上仍可以正常運行，但它現在將使用其從共享工具上提取的資源，使得防御網絡不能正常安裝。

幸運的是，有很多的方法可以用來調整IDS/IPS 實施策略和監控虛擬系統流量。這就是我們要在此提出的。對于初學者來說，VMware公司的虛擬交換機或端口組分為“混合模式”，在這種模式下一個虛擬IDS傳感器可以在相同的虛擬部件上監測到流量。此外，流量可能會到達被物理IDS傳感器監控的接口。現在有許多有效的開放源碼和第三方虛擬交換機是可以用操作傳統交換機的方法來操作的。

對于思杰系統公司(Citrix Systems Inc.)，內核虛擬機(KVMs)，和甲骨文公司(Oracle Corp.)的VirtualBox的平臺來說，開放虛擬交換標準(Open vSwithch)提供了一個完全特定的虛擬交換機，這為流量鏡像和流量監控建立了SPAN端口。思科系統公司(Cisco Sywtems Inc.)的Nexus 1000V商業交換機具有相同的功能，并使用著名的思科IOS命令行界面。這些交換機都支持流量數據采集和分析，也可以用于系統和網絡之間的形為監控。

除了重新設計他們的系統和使用更多的多功能虛擬交換機以外，網絡安全專家們應該研究虛擬設備格式化的開放源碼和商業入侵檢測及防御辦法。許多著名的企業，如Sourcefire Inc.，惠普TippingPoint和IBM ISS，也已經將其現有的IDS和IPS平臺轉移到一個虛擬設備中。這些虛擬設備都可以很容易地融入到虛擬網絡中，提供虛擬機之間，虛擬和物理網絡之間的流量監控。

如今市場上專業的虛擬產品是Reflex Systems LLC、 Catbird Networks 和HyTrust等公司的產品，這些產品在虛擬環境中提供基礎的流量監控與分析。雖然他們并非真正命名為入侵檢測系統，但是這些產品可以增加一個更為傳統的IDS / IPS，用來進行粒狀的流量監控和訪問控制以及為虛擬網絡獲得更大的安全行為分析。

市場上有很多免費產品。無論是Snort和Shadow的入侵檢測系統還是威睿(VMware)的Vmware Virtual Applicances都是免費的，都可以連接到Vmware的虛擬環境中，監控和檢測入侵企圖。值得一提的是，正是這一獨特的能力優勢意味著VMware超過了其競爭對手。

此外，現有的一些主機IDS和IPS產品已經過測試和認證，能夠在很多的虛擬環境中工作。 Check Point軟件技術有限公司，McAfee公司和Symantec公司就是這些支持虛擬客戶系統的主機的IDS/IPS的眾多廠商中的代表。

另一代表就是OSSEC HIDS(一款開源的入侵檢測系統，現已歸Trend Micro公司所有)，它已證明了在沒有任何穩定性的虛擬系統中，仍然能夠正常工作。通常，商業HIDS和HIPS代理程序都是經過測試和修改的，以便在虛擬系統上使用更少的資源，避免管理程序平臺超載。然而，基于主機的設備仍然需要消耗大量的資源和集約化管理。額外的調度和控制能力也可確保虛擬機不會在掃描過程或監控過程中超負荷運轉。

對于許多機構來說，最關鍵的問題應該是：“我們需要多少監控?”現有的硬件設施可以監測流量和虛擬網絡，大多數的機構卻很少這樣做，如果有的話，也只是監測系統間特定的網絡段。但是，對于那些想要或者需要一個更高的入侵檢測和防御水平的人來說，好消息就是，在網絡和主機層面上也有眾多的選擇。不管怎樣，由于虛擬化越來越普遍，毫無疑問，虛擬IDS和IPS技術也會變得越來越普遍。

虛擬IDS IPS安全實施戰略的介紹就到此為止，希望大家已經掌握和理解，我們還會繼續為大家整理相關內容和知識的。

【編輯推薦】

1. 如何應對層出不窮的虛擬化安全問題？
2. 虛擬化安全規劃：替換實體分隔技術
3. 梭子魚全球市場拓展副總裁解析WAF與IPS IDS的區別
4. 虛擬網絡的安全策略 IDS/IPS的實施
5. 入侵預防系統（IPS）設備在虛擬機環境下仍然有用嗎？