網絡安全防范中,傳統的方法是對操作系統進行安全加固,通過各種各樣的安全補丁提高操作系統本身的抗攻擊性。這種方法雖然可以部分地解決系統的安全問題,但其缺點也很突出。俗話說,揚湯止沸,何如釜底抽薪。如果在網絡邊界檢查到攻擊包的同時將其直接拋棄,則攻擊包將無法到達目標,從而可以從根本上避免黑客的攻擊。這樣,在新漏洞出現后,只需要撰寫一個過濾規則,就可以防止此類攻擊的威脅了。
火災預警還是智能滅火
Gartner在今年6月發布的一個研究報告中稱入侵檢測系統(IDS, Intrusion Detection System)已經“死”了,Gartner認為IDS不能給網絡帶來附加的安全,反而會增加管理員的困擾。建議用戶使用入侵防御系統(IPS, Intrusion Prevention System)來代替IDS。
Gartner的報告雖然語出驚人,但聯想到各大安全廠商紛紛在IPS領域有所動作,便知Gartner的這個報告并不是空穴來風,可以預計IPS產品將會成為網絡安全中的一支生力軍。
從功能上來看,IDS是一種并聯在網絡上的設備,它只能被動地檢測網絡遭到了何種攻擊,它的阻斷攻擊能力非常有限,一般只能通過發送TCP reset包或聯動防火墻來阻止攻擊。而IPS則是一種主動的、積極的入侵防范、阻止系統,它部署在網絡的進出口處,當它檢測到攻擊企圖后,它會自動地將攻擊包丟掉或采取措施將攻擊源阻斷。舉一個簡單的例子,IDS就如同火災預警裝置,火災發生時,它會自動報警,但無法阻止火災的蔓延,必須要有人來操作進行滅火。而IPS就像智能滅火裝置,當它發現有火災發生后,會主動采取措施滅火,中間不需要人的干預。
這也許就是最近幾個月來國外信息安全領域津津樂道的關于IDS(入侵檢測系統)還是IPS(入侵防御系統)大討論的原因之一吧!
IPS等于防火墻加上IDS
簡單地理解,可認為IPS就是防火墻加上入侵檢測系統。但并不是說IPS可以代替防火墻或入侵檢測系統。防火墻是粒度比較粗的訪問控制產品,它在基于TCP/IP協議的過濾方面表現出色,而且在大多數情況下,可以提供網絡地址轉換、服務代理、流量統計等功能,甚至有的防火墻還能提供VPN功能。
和防火墻比較起來,IPS的功能比較單一,它只能串聯在網絡上(類似于通常所說的網橋式防火墻),對防火墻所不能過濾的攻擊進行過濾。這樣一個兩級的過濾模式,可以最大地保證系統的安全。一般來說,企業用戶關注的是自己的網絡能否避免被攻擊,對于能檢測到多少攻擊并不是很熱衷。但這并不是說入侵檢測系統就沒有用處,在一些專業的機構,或對網絡安全要求比較高的地方,入侵檢測系統和其他審計跟蹤產品結合,可以提供針對企業信息資源全面的審計資料,這些資料對于攻擊還原、入侵取證、異常事件識別、網絡故障排除等等都有很重要的作用。
IPS的檢測功能類似于IDS,但IPS檢測到攻擊后會采取行動阻止攻擊,可以說IPS是基于IDS的、是建立在IDS發展的基礎上的新生網絡安全產品。早在1980年,IDS的概念就已經產生了。在1990年,出現了世界上第一個網絡入侵檢測系統。在早期,網絡入侵檢測產品存在著各種各樣的問題,例如誤報、漏報太多,運行不夠穩定,高負載下性能太差,不能進行連接狀態分析等等,但經過10多年的發展,IDS產品不斷成熟,從而使得IPS產品的產生有了穩固的基礎。可以想象一下一個有著很高誤報率的IPS系統會使管理員多么惱火。幸好網絡安全技術的發展使得對于攻擊的識別率越來越高,從而將誤報率控制在用戶可以接受的水平。
IPS,讓你安心地隔岸觀火
實踐證明,單一功能的產品已不能滿足客戶的需求,安全產品的融合、協同、集中管理是網絡安全重要的發展方向。大型企業需要一體化的安全解決方案,需要細粒度的安全控制手段。中小企業一邊希望能夠獲得切實的安全保障,一邊又不可能對信息安全有太多的投入。從早期的主動響應入侵檢測系統到入侵檢測系統與防火墻聯動,再到最近的入侵防御系統,是一個不斷完善的解決安全需求的過程。
信息安全產品的發展趨勢是不斷的走向融合,走向集中管理。但防火墻加入侵檢測產品互動的方式也有一些不足。首先使用兩個產品防御攻擊會使系統很復雜,任何一個產品發生故障都會導致安全防范體系的崩潰,而且兩個產品的維護成本也比較高。最重要的問題在于防火墻和入侵檢測產品的互動并沒有一個被廣泛認可的通用標準。這樣,用戶在采購安全產品的時候,不得不考慮到不同產品的交互性問題,從而限制了用戶選擇產品的范圍。
為了解決不同安全產品難于協作的問題,開發人員考慮將兩個產品的功能集成到一個產品內。這樣就產生了NIPS(網絡入侵防御系統)。NIPS的出現有一個前提,就是入侵檢測產品的誤報率必須控制在可以接受的范圍內。
對于IDS系統,用戶很自然地會有這樣的想法:既然可以檢測到攻擊行為,為什么不去阻止它呢?實際上,IDS系統的開發人員也確實是這樣去做的。在早期,開發人員試圖在網絡層對攻擊行為進行阻斷,這樣就產生了所謂的主動響應的網絡入侵檢測系統。但是這種主動響應的網絡入侵檢測系統只針對TCP流和UDP連接進行阻斷。顯然,IDS向IPS的發展,就是一個尋求在準確檢測攻擊基礎上防御攻擊的過程,是IDS功能由單純的審計跟蹤到審計跟蹤結合訪問控制的擴展和延伸。
隨著互聯網絡的飛速發展,網絡上的攻擊行為越來越多、越來越泛濫,一臺剛剛聯網的計算機,在幾個小時之內就有惡意黑客或蠕蟲趕來試圖侵入。在傳統的安全解決方案中,一個網絡安全管理員要和來自世界各地,成千上萬的黑客或惡意代碼進行斗爭,這樣往往使得網絡管理員疲于奔命、狼狽不堪。而使用IPS后,網絡管理員只需少數的幾次配置,也許就可以放心地隔岸觀火,由IPS系統來對付來自各處的攻擊了。
