安全时期重新审视入侵预防系统的作用

来源：ChinaITLab 收集整理作者：出处：巧巧读书 2006-08-08 进入讨论组

关键词：dos 安全病毒防火墙服务器

　　防范日益频繁的网络入侵，目前最好的办法就是综合使用防火墙、IDS和IPS进行层层设防。
　　

　　传统的状态检测防火墙作为第一道防线，能够防止网络层攻击，却无法防范蠕虫等针对应用层的攻击(这些攻击都利用了80和443等开放端口)。入侵检测系统使用传感器，传感器被动地安装在网络上，用来监测网络通信，寻找任何恶意访问迹象。传感器能够发现针对应用层的攻击，却不能阻止这些攻击，当网管员接到IDS的报警信息并采取相应措施时，经常为时已晚。
　　
　　IDS的困扰
　　IDS会带来大量的错误报警。一些用户认为，IDS经常不断发报警信息，结果大部分是误报，而且报警信息不合乎逻辑，处理IDS的报警信息是一个让人头痛的问题，通常用户需要花费20个小时去调查分析两个小时的报警信息。一些网管员抱怨说，“我每天都花大量时间查看IDS记录，边吃午饭边查看，就连逢年过节也不例外，那些IDS记录简直就成了我每天必看的红宝书。”
　　
　　对于存在缺陷的IDS，Gartner建议用户使用IPS（入侵预防系统）代替传统的IDS。ISS、NetScreen、NAI、TippingPoint、StillSecure以及Top Layer等公司都能提供IPS设备。与进行简单监控并发出报警的IDS所不同的是，IPS只需保持在线就可以阻止攻击。Entercept（如今是NAI公司的一部分）以及Okena（如今是Cisco公司的一部分）等公司基于主机的IPS软件，可以直接部署在应用服务器上，拦截系统调用，监控对关键系统文件的修改、文件允许权限的变更以及其他攻击迹象。
　　
　　IDS真如Gartner所说的那样寿终正寝了吗？IPS能随时取代IDS吗？大多数分析家以及IDS厂商，甚至IPS厂商并不这么认为。起码到目前为止，大家认为IDS在安全审计和事后追踪方面仍然无法替代。实际上，IDS和IPS 使用相同的检测技术，两者都会受到检测准确性的困扰。由于担心IPS的错误判断有可能影响正常的网络服务，大多数用户将IPS以IDS（仅用于监控）模式接入到企业网络中。
　　
　　IDS携手IPS
　　IDS和IPS厂商在自动化配置和智能分析方面正在做出更多尝试。例如，TippingPoint公司的UnityOne可以在数分钟内配置好。包括Cisco、Symantec和ISS在内的IDS厂商也能够提供系统审计功能，以去除不相关的报警信息。
　　
　　与IDS产品相比，IPS设备价格昂贵。IPS在保护外围、DMZ区以及一个或两个关键性的子网方面很有用处，但是在一个拥有400个子网的大型网络里，用户也许就没有经济实力为所有子网都部署IPS了。
　　
　　事实上，IPS与IDS配合使用可以各取所长。IPS在阻止蠕虫病毒等针对应用层攻击的同时，还可以减少内部IDS生成的报警数量，使用户安心地使用IDS监控子网以及完善企业安全战略。例如，一位用户使用Top Layer的Attack Mitigator IPS来保护网关和数据中心，通过打开每一个过滤程序以确信不会封锁任何合法的商业流程。Attack Mitigator IPS被部署在防火墙之外以阻挡DoS攻击，同时这位用户在网络内部使用IDS进行监控，并不需要花费太多时间去查看IDS记录。无独有偶，另一位用户在网络外围使用TippingPoint UnityOne IPS设备，并在网络内部大量使用基于行为检测技术的StealthWatch IDS以取代原来的Snort IDS设备。在IPS的阻断作用下，IDS报警信息的数量减少了99％，以前这位用户需要把整天时间用来查看IDS记录，现在却不用这样做了。
　　
　　小结
　　除IPS之外，另一种专门用来保护Web服务器和DMZ应用的技术是Web应用防火墙，这类产品主要是阻止Web应用盗用，尤其是防止被防火墙和IPS遗漏的Web应用盗用攻击。此外，基于主机的入侵防御软件还可以为Web应用以及内部关键服务器提供额外保护。Check Point和NetScreen在防火墙产品中增加了深层检测功能，与依靠硬件实现深层检测功能的IPS和Web应用防火墙所不同的是，Check Point和NetScreen应用防火墙是基于软件来实现的。
　　
　　面对当前的安全挑战，大多数分析家和厂商一致认为:层层设防，让防火墙、IPS和IDS各自发挥优势，是当前保护企业网络的最佳手段。