随着核心应用业务逐渐网络化,网络安全成为企业网络管理人员最急需解决的问题,“系统入侵”目前是威胁企业网络信息安全的首要元凶,系统漏洞屡被攻击,病毒在网络泛滥,主动防御和应用安全的压力日益增大,我们需要一个能够实时有效的安全防护系统。
安全防护系统是一个多层次的保护机制,它既包括企业的安全策略,又包括防火墙、防病毒、入侵防护等多种产品的解决方案。传统的,我们会仅用防火墙或防毒墙来反击,但因为他们主要是防御直接的可疑流量,面对黑客攻击水平的不断提高,及内部因计算机操作而存在的安全隐患等混合威胁的不断发展,这种单一的防护措施已经显得力不从心。
IDS入侵检测系统一直以来充当了安全防护系统的重要角色,IDS技术是通过从网络上得到数据包进行分析,从而检测和识别出系统中的未授权或异常现象。IDS注重的是网络监控、审核跟踪,告知网络是否安全,发现异常行为时,自身不作为,而是通过与防火墙等安全设备联动的方式进行防护。IDS目前是一种受到企业欢迎的解决方案,但其目前存在以下几个显著缺陷:一是网络缺陷(用交换机代替可共享监听的HUB使IDS的网络监听带来麻烦,并且在复杂的网络下精心的发包也可以绕过IDS的监听);二是误报量大(只要一开机,报警不停);三是自身防攻击能力差等缺陷,所以,IDS还是不足完成网络安全防护的重任。
IDS的缺陷,成就了IPS的发展,IPS技术能够对网络进行多层、深层、主动的防护以有效保证企业网络安全,IPS的出现可谓是企业网络安全的革命性创新。简单地理解,IPS等于防火墙加上入侵检测系统,但并不代表IPS可以替代防火墙或IDS。防火墙在基于TCP/IP协议的过滤方面表现非常出色,IDS提供的全面审计资料对于攻击还原、入侵取证、异常事件识别、网络故障排除等等都有很重要的作用。
下面,我们来分析一下市场上主流的IPS生产厂商,看看他们在设计IPS产品时,是如何有效实现IPS的主动入侵防护功能的。
从安全厂商来看,国外品牌McAfee、ISS、Juniper、Symantec、华为3Com,国内品牌如冰峰网络、绿盟科技等众多厂商都有多款百兆和千兆的IPS产品,国产品牌(如冰峰网络)的千兆IPS产品的性能相对过去,更是有了长足的发展,对大流量网络的适应能力明显增强。从对这些主流IPS 产品的评测来看,一个稳定高效的IPS产品,需要具备以下几个方面的能力:
检测机制:由于需要具备主动阻断能力,检测准确程度的高低对于IPS来说十分关键。IPS厂商综合使用多种检测机制来提高IPS的检测准确性。据Juniper 的工程师介绍,Juniper产品中使用包括状态签名、协议异常、后门检测、流量异常、混合式攻击检测在内的“多重检测技术”,以提高检测和阻断的准确程度。McAfee 公司则在自己的实验室里加强了对溢出型漏洞的研究和跟踪,把针对溢出型攻击的相应防范手段推送到IPS 设备的策略库中。国内品牌冰峰网络在IPS设备中采用了漏洞阻截技术,通过研究漏洞特征,将其加入到过滤规则中,IPS就可以发现符合漏洞特征的所有攻击流量,在冲击波及其变种大规模爆发时,直接将其阻断,从而赢得打补丁的关键时间。
弱点分析:IPS产品的发展前景取决于攻击阻截功能的完善。引入弱点分析技术是IPS完善攻击阻截能力的更要依据,IPS厂商通过分析系统漏洞、收集和分析攻击代码或蠕虫代码、描述攻击特征或缺陷特征,使IPS 能够主动保护脆弱系统。由于软件漏洞是不法分子的主要攻击目标,所以几乎所有IPS厂商都在加强系统脆弱性的研究。ISS、赛门铁克分别设立了漏洞分析机构。McAfee也于日前收购了从事漏洞研究的 Foundstone公司,致力于把漏洞分析技术与入侵防护技术结合起来,Juniper设有一个专门的安全小组,密切关注新的系统弱点和蠕虫,国内的IPS厂商,如绿盟科技、冰峰网络等,虽然没有自己独立的弱点分析机构,但也在严密关注相关权威机构发布的弱点分析报告,及时更新过滤机制。
应用环境:IPS 的检测准确率还依赖于应用环境。一些流量对于某些用户来说可能是恶意的,而对于另外的用户来说就是正常流量,这就需要IPS能够针对用户的特定需求提供灵活而容易使用的策略调优手段,以提高检测准确率。McAfee、Juniper、ISS、冰峰网络等公司同时都在IPS中提供了调优机制,使IPS通过自学习提高检测的准确性。
全面兼容:所有的用户都希望用相对少的投入,建设一个最安全、最易管理的网络环境。IPS如若需达到全面防护工作,则还要把其它网络管理功能集成起来,如网络管理、负载均衡、日志管理等,各自分工,但紧密协作。