網(wǎng)絡(luò)安全防范中,傳統(tǒng)的方法是對(duì)操作系統(tǒng)進(jìn)行安全加固,通過(guò)各種各樣的安全補(bǔ)丁提高操作系統(tǒng)本身的抗攻擊性。這種方法雖然可以部分地解決系統(tǒng)的安全問題,但其缺點(diǎn)也很突出。俗話說(shuō),揚(yáng)湯止沸,何如釜底抽薪。如果在網(wǎng)絡(luò)邊界檢查到攻擊包的同時(shí)將其直接拋棄,則攻擊包將無(wú)法到達(dá)目標(biāo),從而可以從根本上避免黑客的攻擊。這樣,在新漏洞出現(xiàn)后,只需要撰寫一個(gè)過(guò)濾規(guī)則,就可以防止此類攻擊的威脅了。
火災(zāi)預(yù)警還是智能滅火
Gartner在今年6月發(fā)布的一個(gè)研究報(bào)告中稱入侵檢測(cè)系統(tǒng)(IDS, Intrusion Detection System)已經(jīng)“死”了,Gartner認(rèn)為IDS不能給網(wǎng)絡(luò)帶來(lái)附加的安全,反而會(huì)增加管理員的困擾。建議用戶使用入侵防御系統(tǒng)(IPS, Intrusion Prevention System)來(lái)代替IDS。
Gartner的報(bào)告雖然語(yǔ)出驚人,但聯(lián)想到各大安全廠商紛紛在IPS領(lǐng)域有所動(dòng)作,便知Gartner的這個(gè)報(bào)告并不是空穴來(lái)風(fēng),可以預(yù)計(jì)IPS產(chǎn)品將會(huì)成為網(wǎng)絡(luò)安全中的一支生力軍。
從功能上來(lái)看,IDS是一種并聯(lián)在網(wǎng)絡(luò)上的設(shè)備,它只能被動(dòng)地檢測(cè)網(wǎng)絡(luò)遭到了何種攻擊,它的阻斷攻擊能力非常有限,一般只能通過(guò)發(fā)送TCP reset包或聯(lián)動(dòng)防火墻來(lái)阻止攻擊。而IPS則是一種主動(dòng)的、積極的入侵防范、阻止系統(tǒng),它部署在網(wǎng)絡(luò)的進(jìn)出口處,當(dāng)它檢測(cè)到攻擊企圖后,它會(huì)自動(dòng)地將攻擊包丟掉或采取措施將攻擊源阻斷。舉一個(gè)簡(jiǎn)單的例子,IDS就如同火災(zāi)預(yù)警裝置,火災(zāi)發(fā)生時(shí),它會(huì)自動(dòng)報(bào)警,但無(wú)法阻止火災(zāi)的蔓延,必須要有人來(lái)操作進(jìn)行滅火。而IPS就像智能滅火裝置,當(dāng)它發(fā)現(xiàn)有火災(zāi)發(fā)生后,會(huì)主動(dòng)采取措施滅火,中間不需要人的干預(yù)。
這也許就是最近幾個(gè)月來(lái)國(guó)外信息安全領(lǐng)域津津樂道的關(guān)于IDS(入侵檢測(cè)系統(tǒng))還是IPS(入侵防御系統(tǒng))大討論的原因之一吧!
IPS等于防火墻加上IDS
簡(jiǎn)單地理解,可認(rèn)為IPS就是防火墻加上入侵檢測(cè)系統(tǒng)。但并不是說(shuō)IPS可以代替防火墻或入侵檢測(cè)系統(tǒng)。防火墻是粒度比較粗的訪問控制產(chǎn)品,它在基于TCP/IP協(xié)議的過(guò)濾方面表現(xiàn)出色,而且在大多數(shù)情況下,可以提供網(wǎng)絡(luò)地址轉(zhuǎn)換、服務(wù)代理、流量統(tǒng)計(jì)等功能,甚至有的防火墻還能提供VPN功能。
和防火墻比較起來(lái),IPS的功能比較單一,它只能串聯(lián)在網(wǎng)絡(luò)上(類似于通常所說(shuō)的網(wǎng)橋式防火墻),對(duì)防火墻所不能過(guò)濾的攻擊進(jìn)行過(guò)濾。這樣一個(gè)兩級(jí)的過(guò)濾模式,可以最大地保證系統(tǒng)的安全。一般來(lái)說(shuō),企業(yè)用戶關(guān)注的是自己的網(wǎng)絡(luò)能否避免被攻擊,對(duì)于能檢測(cè)到多少攻擊并不是很熱衷。但這并不是說(shuō)入侵檢測(cè)系統(tǒng)就沒有用處,在一些專業(yè)的機(jī)構(gòu),或?qū)W(wǎng)絡(luò)安全要求比較高的地方,入侵檢測(cè)系統(tǒng)和其他審計(jì)跟蹤產(chǎn)品結(jié)合,可以提供針對(duì)企業(yè)信息資源全面的審計(jì)資料,這些資料對(duì)于攻擊還原、入侵取證、異常事件識(shí)別、網(wǎng)絡(luò)故障排除等等都有很重要的作用。
IPS的檢測(cè)功能類似于IDS,但I(xiàn)PS檢測(cè)到攻擊后會(huì)采取行動(dòng)阻止攻擊,可以說(shuō)IPS是基于IDS的、是建立在IDS發(fā)展的基礎(chǔ)上的新生網(wǎng)絡(luò)安全產(chǎn)品。早在1980年,IDS的概念就已經(jīng)產(chǎn)生了。在1990年,出現(xiàn)了世界上第一個(gè)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。在早期,網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品存在著各種各樣的問題,例如誤報(bào)、漏報(bào)太多,運(yùn)行不夠穩(wěn)定,高負(fù)載下性能太差,不能進(jìn)行連接狀態(tài)分析等等,但經(jīng)過(guò)10多年的發(fā)展,IDS產(chǎn)品不斷成熟,從而使得IPS產(chǎn)品的產(chǎn)生有了穩(wěn)固的基礎(chǔ)。可以想象一下一個(gè)有著很高誤報(bào)率的IPS系統(tǒng)會(huì)使管理員多么惱火。幸好網(wǎng)絡(luò)安全技術(shù)的發(fā)展使得對(duì)于攻擊的識(shí)別率越來(lái)越高,從而將誤報(bào)率控制在用戶可以接受的水平。
IPS,讓你安心地隔岸觀火
實(shí)踐證明,單一功能的產(chǎn)品已不能滿足客戶的需求,安全產(chǎn)品的融合、協(xié)同、集中管理是網(wǎng)絡(luò)安全重要的發(fā)展方向。大型企業(yè)需要一體化的安全解決方案,需要細(xì)粒度的安全控制手段。中小企業(yè)一邊希望能夠獲得切實(shí)的安全保障,一邊又不可能對(duì)信息安全有太多的投入。從早期的主動(dòng)響應(yīng)入侵檢測(cè)系統(tǒng)到入侵檢測(cè)系統(tǒng)與防火墻聯(lián)動(dòng),再到最近的入侵防御系統(tǒng),是一個(gè)不斷完善的解決安全需求的過(guò)程。
信息安全產(chǎn)品的發(fā)展趨勢(shì)是不斷的走向融合,走向集中管理。但防火墻加入侵檢測(cè)產(chǎn)品互動(dòng)的方式也有一些不足。首先使用兩個(gè)產(chǎn)品防御攻擊會(huì)使系統(tǒng)很復(fù)雜,任何一個(gè)產(chǎn)品發(fā)生故障都會(huì)導(dǎo)致安全防范體系的崩潰,而且兩個(gè)產(chǎn)品的維護(hù)成本也比較高。最重要的問題在于防火墻和入侵檢測(cè)產(chǎn)品的互動(dòng)并沒有一個(gè)被廣泛認(rèn)可的通用標(biāo)準(zhǔn)。這樣,用戶在采購(gòu)安全產(chǎn)品的時(shí)候,不得不考慮到不同產(chǎn)品的交互性問題,從而限制了用戶選擇產(chǎn)品的范圍。
為了解決不同安全產(chǎn)品難于協(xié)作的問題,開發(fā)人員考慮將兩個(gè)產(chǎn)品的功能集成到一個(gè)產(chǎn)品內(nèi)。這樣就產(chǎn)生了NIPS(網(wǎng)絡(luò)入侵防御系統(tǒng))。NIPS的出現(xiàn)有一個(gè)前提,就是入侵檢測(cè)產(chǎn)品的誤報(bào)率必須控制在可以接受的范圍內(nèi)。
對(duì)于IDS系統(tǒng),用戶很自然地會(huì)有這樣的想法:既然可以檢測(cè)到攻擊行為,為什么不去阻止它呢?實(shí)際上,IDS系統(tǒng)的開發(fā)人員也確實(shí)是這樣去做的。在早期,開發(fā)人員試圖在網(wǎng)絡(luò)層對(duì)攻擊行為進(jìn)行阻斷,這樣就產(chǎn)生了所謂的主動(dòng)響應(yīng)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。但是這種主動(dòng)響應(yīng)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)只針對(duì)TCP流和UDP連接進(jìn)行阻斷。顯然,IDS向IPS的發(fā)展,就是一個(gè)尋求在準(zhǔn)確檢測(cè)攻擊基礎(chǔ)上防御攻擊的過(guò)程,是IDS功能由單純的審計(jì)跟蹤到審計(jì)跟蹤結(jié)合訪問控制的擴(kuò)展和延伸。
隨著互聯(lián)網(wǎng)絡(luò)的飛速發(fā)展,網(wǎng)絡(luò)上的攻擊行為越來(lái)越多、越來(lái)越泛濫,一臺(tái)剛剛聯(lián)網(wǎng)的計(jì)算機(jī),在幾個(gè)小時(shí)之內(nèi)就有惡意黑客或蠕蟲趕來(lái)試圖侵入。在傳統(tǒng)的安全解決方案中,一個(gè)網(wǎng)絡(luò)安全管理員要和來(lái)自世界各地,成千上萬(wàn)的黑客或惡意代碼進(jìn)行斗爭(zhēng),這樣往往使得網(wǎng)絡(luò)管理員疲于奔命、狼狽不堪。而使用IPS后,網(wǎng)絡(luò)管理員只需少數(shù)的幾次配置,也許就可以放心地隔岸觀火,由IPS系統(tǒng)來(lái)對(duì)付來(lái)自各處的攻擊了。
