概要:一、IPS 对网络的关键作用众所周知,近年来网络安全事件层出不穷(国际权威组织CERT(Computer Exigency Response Team,计算机紧急响应小组)监测并统计得到:2008年上半年,平均每天会有1.5万个网页受到病毒感染,即每5秒钟内就会增加一个被感染网页)。专业的安全厂家和研究机构通过分析和验证所有这些安全攻击事件,形成肯定的结论:所有的安全事件其根本技术原因就是黑客发现和利用了目标机的系统漏洞。我们知道,漏洞大致分为“各类操作系统”漏洞和“各类应用系统”漏洞。我们可以再肯定的说,任何漏洞都可能造成攻击目标的失陷。如何来跟踪和收集这些漏洞,并对漏洞特征进行分析归纳,从而发明一种设备来检测并阻断利用这些漏洞的攻击报文呢?IPS(Intrusion Prevention System,入侵防御系统)设备就是基于这种思想开发的网络安全设备。有实力的IPS厂商一般都组建有特征库团队,分析和跟踪常用基础软件的漏洞,以及常用应用系统的漏洞利用机理,并生成攻击特征库定期下发到IPS设备上,保证I
IPS是使网络健康的关键防护措施,标签:电脑网络知识,网络学习,http://www.laixuea.com一、IPS 对网络的关键作用
众所周知,近年来网络安全事件层出不穷(国际权威组织CERT(Computer Exigency Response Team,计算机紧急响应小组)监测并统计得到:2008年上半年,平均每天会有1.5万个网页受到病毒感染,即每5秒钟内就会增加一个被感染网页)。专业的安全厂家和研究机构通过分析和验证所有这些安全攻击事件,形成肯定的结论:所有的安全事件其根本技术原因就是黑客发现和利用了目标机的系统漏洞。我们知道,漏洞大致分为“各类操作系统”漏洞和“各类应用系统”漏洞。我们可以再肯定的说,任何漏洞都可能造成攻击目标的失陷。
如何来跟踪和收集这些漏洞,并对漏洞特征进行分析归纳,从而发明一种设备来检测并阻断利用这些漏洞的攻击报文呢?IPS(Intrusion Prevention System,入侵防御系统)设备就是基于这种思想开发的网络安全设备。有实力的IPS厂商一般都组建有特征库团队,分析和跟踪常用基础软件的漏洞,以及常用应用系统的漏洞利用机理,并生成攻击特征库定期下发到IPS设备上,保证IPS在防范已知漏洞的基础上,能对新出现的漏洞也能进行防范,从而,在源头上堵住系统漏洞,在源头上将安全事件的根本原因消除掉。可以说,如果在每个网络域的出口都部署IPS,并定期升级IPS特征库的话,那么,安全事件是可以从源头上消除掉的。
二、IPS 是不可替代的
人类不是未卜先知的神灵,可以一簇而就的制造出完美的IPS设备。在对漏洞的攻击和防护上,网络技术人员走过了认识、深化、修正、提升的曲折发展道路。这个发展过程也是符合IT技术的发展规律的。
1988年,Morris蠕虫造成的网络瘫痪事件导致了业界对漏洞攻击入侵的真正认识和深入关注,网络技术人员提出了简单模型的IDS(Intrusion Detection System,入侵侦听系统)。1995年,IDS逐步从研究性、尝试性的产品逐渐发展到了市场化的产品,随着网络安全事件的不断涌现和危害程度不断加重,IDS逐渐得到了广泛的应用。但随后遵循摩尔定律,网络技术和计算机技术飞速发展,网络技术人员逐渐发现IDS在应对不断翻番的网络流量和不断出现的网络复杂应用时已力不从心,如出现了海量攻击事件、检测性能不够、检测精度不够、分析攻击事件困难、无法有效阻断攻击等,因此,业界也在不停地探讨利用新的软、硬件技术来实现一个更高级的入侵检测防御的IPS模型,不同于IDS,该模型与生俱来的设计思想就是:精确检测、实时阻断。随后国际上各厂商纷纷推出IPS产品,并在各行各业形成了规模应用;2003年,国际著名咨询机构Gartner副总裁在大量的数据分析后,发表了“IDS is dead”判断,并逐渐在美国、日本等互联网发达的国家得到验证,国际上的厂商逐渐停止生产销售IDS,而专注于研发销售IPS,同时,通过将各种先进的软、硬件技术引入到IPS的开发中,如多核技术、ASIC技术等,使得IPS的检测性能与日俱增。
简言之,IPS代表了更新更先进的产品形态,将逐步涵盖和终结IDS产品形态,下表罗列了两者之间的根本区别。
表1. IDS、IPS产品的主要区别
三、 IPS在线部署的可靠性是完全有保障的
在线部署的IPS是否会成为网络业务的一个新的故障点呢?这是很多用户会担心的问题。IPS是一个深入应用层(七层)的安全设备,主要提供网络威胁防御的业务,不同于交换机、路由器,IPS本身不参与报文选路和交换,而是透明部署,从一个接口上接收网络流量,对报文进行深入七层的实时的分析检测,根据检测结果阻断攻击流量,并将正常流量从另一个确定的接口上转发出去。所以,在IPS上可以实现相比交换机、路由器更多的可靠性设计,即IPS的多重高可靠性(MHA)设计。IPS的多重高可靠性(MHA)面向业务传送的所有层面进行高可靠保护,使得在任何情况下业务都不会因为IPS的故障而中断,使得IPS这个网络节点永远不会成为中断业务的故障点。