从大量国内外应用案例分析,笔者认为国内用户在部署IPS的时候,最好采取分阶段、分层次的做法,这样可以获得最大的经济效益。
第一阶段,用户可以把IPS当作一个传统的IDS使用。毕竟是新设备,从稳定性、处理能力和网络状态方面考虑,建议首先将IPS设备并联接入。
第二阶段,运行一到两周以后,如果用户觉得使用上没有问题了,再进行串联接入,但是不要做任何数据的阻断。这样运行一段时间后,如果IPS性能和检测能力没有问题,用户就可以知道自己网络中经常会发生什么事情了。
第三阶段,在此基础上,实施IPS阻断策略,根据前两阶段的分析,用户可以对感兴趣的攻击进行阻断,从而实现安全防御。
需要注意的是,从设备本身部署过程上划分,这三个阶段并非独立,而是混合的。
比如企业购买一台拥有多个端口的Hi-End级IPS,网络管理员可以在设备某一组端口上做in line,用来管理某一组链路,而在另外一些端口做scan或者其他串联等应用,所有的模式混合在一起工作。
特别是一些既有100Mbps端口,又有1000Mbps端口的IPS设备,接入到网络以后,用户可以用1000Mbps做in line阻断,用100Mbps连接一些新建的网络或者服务器群做scan,检测是否有问题。
另外,在一个IPS端口之下,还可以进一步划分VIPS,每个虚拟IPS中的策略也可以独立配置,这对于国内很多的IDC用户非常有帮助,可以实现逐层对不同网段设置block,对收费用户实施安全LAN控制,对免费用户的LAN就不用做保护。
所以说,分阶段、分层次部署IPS,将会大大提升IPS的使用效益。