入侵防御渐成熟安全采购最关注IPS.doc

入侵防御渐成熟安全采购最关注IPS~教育资源库
IPS针对企业深层应用进行防御,不仅可以实现对内容攻击行为的精确匹配,而且IPS采用在线检测的模式可以极大地保证采取防御手段的时间。目前,IPS已经成为了国内用户现阶段安全采购的主要关注点。
随着Inter应用的迅速普及,目前的应用系统发展与(统一威胁管理平台)的出现,IPS已经成为了国内用户现阶段安全采购的主要关注点。
IPS的发展有其必然性,从2002年开始,大多数传统的防火墙对于企业网络的安全,已经无法实施100%的控制,对于夹杂在合法内容中的可疑流量分析、DoS攻击、蠕虫病毒、间谍软件等威胁,几乎没有有效的反击措施。特别是大部分防火墙检查的层次主要集中在传输层以下,即使是优秀的防火墙也只能提供一小部分深度检测能力,对于大量出现的面向应用的攻击,根本无能为力。
也正是如此,采用实时在线方式的IPS设备被逐步使用。IPS针对企业深层应用进行防御,不仅可以实现对内容攻击行为的精确匹配,而且IPS采用在线检测的模式可以极大地保证采取防御手段的时间。
腾蒙公司的分析师表示,从2005年开始,一大批优秀的IPS厂家开始发展壮大,他们凭着对用户安全部署理念的理解,结合自身的优势,开发了众多的高端IPS产品。以目前国内市场比较受欢迎的Radatch硬件引擎,提供了独特的内置安全交换和高速深度包检测,从而确保对所有网路流量进行双向扫描,以便防范应用级的攻击。另外,在3G吞吐的基础上,DefensePro还提供极高的密度,单台主机可以保护多达11个网段。
为了确保这类高端IPS的带宽落到实处,这类产品一般要提供基于动态的流量控制。因为从传统意义上来说,增加更多的带宽可能只会提高对非关键应用的响应速度,而不能为最需要带宽的应用提供保证,特别是对于开展大量VoIP应用的企业,更加需要在安全的前提下对动态流量进行分配。为此,高端IPS产品普遍采用动态的流量控制,从而确保关键任务、应用的连续性,即使在遭受攻击的情况下,也可以实现端到端的带宽管理和服务质量控制(QoS),从而保证了服务水平协议并且提高了应用性能。
另外,IPS对高吞吐流量的整合功能,可以确保提供具有容错性和可扩展的入侵检测的功能。换句话说,在高吞吐的前提下,IDS检测器具有完全的可用性和得到彻底的优化,从而使得站点范围内的攻击防范成为可能。通过整合网络段的IDS 服务,避免了为在每个网络段部署检测器而要投入的高昂成本,同时也确保了全站点的IDS 性能不会受到任何某个检测器的性能限制。
目前高端IPS产品大都是在专用的高性能安全交换机的基础上构建的新一代安全设备。像StringMatch Engine安全加速器,就是由8个用来搜索字符串的 ASIC组成。可见,其设计出发点还是为了实现高性能的数据包深入检查,以便支持256000个并行模式的搜索。腾蒙公司的工程师认为,网络管理员通过使用此类设备,就可以非常容易地检测蠕虫、病毒和非正常流量模式,从而将攻击的威胁降至最低。

全面防范DoS
应该说,从2003年以来,对于DoS攻击的问题,一直是困扰网络用户的大事情。当前主流IPS厂家的DoS防御方式主要分为两类(以Syn Flood为例):
第一类是采用Syn Proxy(也可以采用Syn Cookie)的方式。在这种