中国计算机报 问题:我们看到入侵防护(IPS)设备正在取代入侵检测(IDS)设备的地位,请问如何选购IPS设备呢?
McAfee专家:在保护企业至关重要的服务器不受攻击方面,IT和网络安全经理面临着众多的挑战。缺少专用的安全资源和越来越先进的攻击方式是最令人头疼的问题。尽管在过去,入侵检测系统(IDS)是一种受到企业欢迎的解决方案,它还是不足以阻断当今互联网中不断发展的攻击。入侵检测系统的一个主要问题是,它不会主动在攻击发生前阻断它们。同时,许多入侵检测系统基于签名,所以它们不能检测到新的攻击或老式攻击的变形,也不能对加密流量中的攻击进行检测。 那么,企业还有什么选择呢?入侵防护系统(IPS)是企业下一代安全系统。它不仅可进行检测,还能在攻击造成损坏前阻断它们,从而将入侵检测系统提升到一个新水平。入侵检测系统和入侵防护系统的明显区别在于:入侵防护系统阻断了红色代码、尼姆达和SQL Slammer,而入侵检测系统用户在每一次攻击后都需花费数百万美元进行病毒清除工作。 目前,市场上有许多种产品都被冠以“防护”的字眼。但是,真正的入侵防护解决方案可使企业不必进行分析即可采取措施保护系统;同时,它可防止攻击对操作系统、应用程序和数据造成损坏。McAfee公司认为,一个理想的入侵防护解决方案应该包括以下“亮点”:
一、主动、实时预防攻击。真正的解决方案应该提供对攻击的实时预防和分析。它应该在任何未授权活动开始前找出攻击,并防止它进入重要的服务器资源。McAfee IntruShield独特的体系结构集成了多项专利技术,包括特征检测、异常检测和拒绝服务分析技术,从而能在几千兆的网络流量下进行准确和智能的检测和防护,使企业免遭已知攻击、首次发生的未知攻击,以及DoS攻击的影响。
二、补丁等待保护。补丁管理是一个复杂的过程。在补丁被开发和安装之间,聪明的黑客会对服务器和重要数据造成破坏,McAfee IntruShield入侵防护解决方案可为系统管理员提供补丁等待期内的保护和足够的时间,以测试并安装补丁。
三、保护每个重要的服务器。服务器中有最敏感的企业数据,是大多数黑客攻击的主要目标。所以,拥有专门为服务器保护订制的入侵防护解决方案十分重要。通过对IntruShield进行配置,可以设定对服务器的专门保护方案,从而为企业的重要的资源提供深层防护。
四、签名和行为规则。检测入侵最有效的方法是采取混合方式,即整合针对具体攻击的签名和行为规则的力量。这一混合方式可提供已知和未知攻击的保护,而同时将误报率保持在最低,从而无需做出任何损失性让步。McAfee IntruShield通过进行签名设置,以in-line(串联在网络中)模式配置的入侵防护解决方案,可以设定一种响应行为,用以抓取攻击的数据包,从而在黑客对漏洞发动攻击之前,就阻止它们。
五、深层防护。强大的安全都是基于深度防御的概念,可进行深层防护。IntruShield独特的体系结构集成了多项专利技术,包括特征检测、异常检测和拒绝服务分析技术,从而能在几千兆的网络流量下进行准确和智能的检测和防护。这种对创造性技术的驾驭能力可以保护那些具有最严格要求的网络,使其免遭已知攻击、首次发生的未知攻击,以及DoS攻击的影响。
六、可管理性。理想的入侵防护解决方案可使安全设置和政策被各种应用程序、用户组和代理程序利用,从而降低安装并维护大型安全产品的成本。McAfee IntruShield高度自动、易于管理且有很大的灵活性,可分阶段实施安装,从而避免原有入侵探测系统不可避免的误报,从而可使客户能够制定正确的政策,以在他们独特的IT基础架构中阻断攻击。
七、可扩展性。企业级入侵防护解决方案必须可升级,以满足企业不断发展的需求,而同时保持最高水平的安全。可扩展性体现在可支持众多受保护的服务器、支持大流量和支持分散型安全管理,以满足大型分散式企业的需求。具有良好可扩展性的IntruShield方案提供了综合的防护体系,可以跨越企业核心网络、企业边界网络,以及分支机构的网络。
八、经验证的防护技术。企业所要选择的解决方案是否采用了业界先进的新技术,是否经过充分测试、使用,并在受到持续不断地维护,这一点很重要。McAfee IntruShield网络安全产品采用业界最先进的实时网络入侵检测和防护体系,集成了多项专利技术,包括特征检测、异常检测和拒绝服务分析技术,从而能在几千兆的网络流量下进行准确和智能的检测和防护。 随着互联网的飞速发展,网络成了企业发展的基础架构。当企业在不断拓展网络架构时,企业面临的安全问题也变得越来越复杂了。因为,网络的每一次扩张都为蠕虫病毒和恶意代码创造了新的攻击点,这些攻击对企业来讲都具有非常大的风险。
McAfee入侵防护战略为企业网络构建了一道坚实屏障。无论是混合威胁,还是黑客攻击,都将无法撼动企业的深层系统和网络核心,真正为企业提供从核心到边缘的深层防护。