发信人: Sinbad <anonymous@anonymous.com> 标 题: 入侵防御:互联网安全的盾牌 发信站: 辛巴达 (Fri Apr 18 15:41:40 2003)
作者:美国《Network World》专栏作家Kevin Tolly 任何IPS产品的性能指标测试必须要考虑到三种因素的影响:网络性能、安全精确度和安全效率。
2003年1月25日绝非一个特别的日子,但是这一天应该让那些设计和管理企业级网络的人士终生铭记。
这一天,MS-SQL Slammer病毒在格林威治时间5:30大肆发作,使得互联网的等待时间增加了20%(几乎是平常情况下的20倍)。到那一周的周末,Slammer病毒已经感染了大约50万台服务器,对企业的内部网产生了极大的破坏力量,使得众多的电子商务交易不得不停滞下来,并严重影响了全球互联网的服务。
在这次严重事件过后不到两个月的时间内,网络构建者被迫要面对许多类似Slammer病毒的恶意攻击。目前流行的入侵检测系统只能看作为企业防护的前沿,它虽然可以在受到攻击时发出警报,但是企业的网管人员还必须依赖手工操作访问各种控制列表,以便控制攻击的扩散和影响范围。现在,网络构建者盼望已久的入侵防御系统(Intrusion-Prevention Sys tem,IPS)已经出现。这类系统将会迅速成熟起来,它们能够识别攻击者签名,并且能够在攻击入侵企业网络之前将之档在门外。
虽然目前有一些可以衡量IPS性能的工具,但是没有任何一种测试软件可以真正描绘出IPS全部的性能蓝图。笔者认为,任何IPS产品的性能指标测试必须要考虑到三种因素的影响:网络性能、安全精确度和安全效率。
网络性能指标不能单独成立,它必须包含多个指标。在考虑IPS性能的时候,需要考虑总的通过量,即将IPS引入和通过系统的响应时间计算在内。我们也可以将IPS系统的会话设置速率作为衡量指标之一,该速率应该与LAN交换机建立和结束会话的速率相同。
最后,需要IPS设备的用户显然还需要IPS系统能够证明它可以实时地处理数据,提供与2层或者3层交换机同样的性能。
除了网络性能之外,还有安全性能需要考虑。我们还需要检测IPS可以过滤的恶意攻击的数量。很明显,该系统可以屏蔽掉的攻击数量越多,其性能就越好;当然,我们还要考虑安全效率问题。也就是说,IPS不能创建虚假否定或虚假肯定的攻击检测机制,导致真的攻击通过而合法的内容却被挡在门外。
我们需要重点研究IPS的性能,组织多家厂商探讨这一课题,并在今后的文章中对IPS的性能测试结果加以介绍。
-- ※ 来源: http://sinbad.zhoubin.com ※ 链接: http://sinbad.zhoubin.com/read.html?board=IDS&num=102
|