|
现在的IPS厂商,还是那些功能,只是解决了性能问题,敢给用户用这些功能了,就把产品作为IPS开卖。别小看这一点改进,可是核心竞争力,解决性能问题的各个厂商方法不同,思路都一样,就是把最消耗资源的部分用硬件实现,把最具有灵活性的部分用软件实现,达到提高性能的目的。
部署很简单
串接式部署是IPS和IDS区别的主要特征。IPS产品的部署方式和IDS有所不同。
IDS产品在网络中是旁路式工作,IPS产品在网络中是串接式工作。串接式工作保证所有网络数据都经过IPS设备,IPS检测数据流中的恶意代码,核对策略,在未转发到服务器之前,将信息包或数据流阻截。由于是在线操作,因而能保证处理方法适当而且可预知。
与此相比,通常的IDS响应机制(如TCP重置)则大不相同。传统的IDS能检测到信息流中的恶意代码,但由于是被动处理通信,本身不能对数据流作任何处理。必须在数据流中嵌入TCP包,以重置目标服务器中的会话。然而,整个攻击信息包有可能先于TCP重置信息包到达服务器,这时系统才做出响应已经来不及了。
重置防火墙规则也存在相同问题,处于被动工作状态的IDS能检测到恶意代码,并向防火墙发出请求阻截会话,但请求有可能到达太迟而无法防止攻击发生。
IPS是网关型设备,要发挥其最大的作用,最好串接在网络的出口处,比较简单的部署方案是串接在网关出口的防火墙和路由器之间,监控和保护网络。当然,在用户购买产品时,专业的安全工程师会根据用户的网络拓扑和需求做详细设计的。
用户之声
受访者:北京电力顺义供电公司信息中心主任 周维利
主动防御,是不是神话?
我对IPS技术和产品有些了解,认为它是一个不错的技术,能够在遇到病毒入侵和黑客攻击之前,帮助我们消除掉即将引发的破坏。但是,这种技术太神奇,让人感觉不太可信。
举个例子。以我的理解,IPS是可以防范一个还没出现过的新病毒,就好比灭火器可以预先灭掉没着起的火一样,这是否有些离奇?
还有,我认为IPS不可能一发现攻击,就马上调动防火墙拦截。从发现攻击到拦截攻击之间肯定有时间差,在这时间差中,极有可能给后来的攻击可乘之机。这样看来,具有主动防御能力的IPS不又形成了新的安全漏洞吗?
总的来说,IPS对用户保护企业安全很有帮助,如果能够规避一些弊端,像我这样的用户还是非常愿意使用它的。
我们公司的网络采取的安全防御措施很基础,就三样:防毒、防火墙和打补丁,一年来,我们没有遇到过什么安全威胁。我个人认为,与IPS相比,被动防御更可靠。
受访者:国电自动化研究院信息所 余勇博士
用IPS?再等一等
你问我IPS?好像国内用户用得不多,至少我没见身边的同仁们谁在用。那东西推出来时间不长呀。以我对它的了解,它在技术上存在一些问题,比如没有逃脱防火墙、IDS的弊端,仍有不低的误报漏报率。
以前用过IDS,那是好几年前的事儿。后来,我们就不用了。主要是因为它的误报漏报率太高,当然,我们自己应用得也不好。IDS是个高技术含量的产品,配置规则非常复杂,对我们用户的技术要求比较高,要用好它,有一定难度。
我们也比较担心IPS的使用难度,还担心它的处理性能。它是串连在关口的,如果优化不够,会对我们的业务造成负面影响。
与IDS相比,IPS的主动防御功能的确很好。个人觉得,IPS是个好产品,将来一定有很好的应用前途。现在,我们还不想用,再等等。待技术成熟后,我们会考虑使用IPS的。
切忌“仅”靠IPS
受访者:中国信息安全产品测评认证中心系统工程实验室副主任 彭勇
IPS的产生与用户的应用需求有很大关系。过去,使用IDS,可以达到检测非法入侵的目的,但是,入侵真的发生了,IDS却无力阻断它。于是IPS出现了,它弥补了IDS的不足,可以对入侵进行及时地拦截,有效消除攻击所带来的危害。
共5页: 上一页 [1] [2] [3] 4 [5] 下一页
|
