http://www.wangchao.net.cn/bbsdetail_1455411.html
2008-05-19 03:10:55
最近市場上出現了一種趨勢,越來越多的防火牆開始集成IPS入侵防禦,IPS成為防火牆的一項基本功能和模塊,很多用戶也開始把IPS模塊作為購買防火牆的必要條件。
防火牆是防禦系統,屬於訪問控制類產品;IDS(入侵檢測)是入侵檢測系統,屬於審計類產品;IPS是入侵防禦系統,屬於訪問控制類產品。IDS雖是 IPS的前身,但本質上,IPS已經發生了根本的變化,前者是審計類產品,後者屬於訪問控制類。有人說,IDS也可以和防火牆聯動執行訪問控制,但這並不 會改變IDS審計類產品的本質,因為,執行訪問控制的是防火牆,而不是IDS。IPS雖說是入侵檢測和訪問控制的集成產品,但其核心是訪問控制,條件是基 於入侵檢測。防火牆是基於IP地址和端口來執行訪問控制的,IPS是基於入侵檢測來執行訪問控制的,既然都是訪問控制類,二者集合起來就理所當然了。
防火牆集成IPS定位合理
防火牆集成IPS是有一定道理的。IDS的一系列錯誤成就了IPS,特別是IDS的定位錯誤。IDS本來是一個審計類產品,對流量數據進行分析,發現入 侵行為。但IDS的名頭太大,入侵檢測給人的感覺就是解決入侵問題,實時地檢測入侵行為並加以控制。整個市場被這個響噹噹的名字所鼓舞,可惜,IDS只完 成了其中很小的一部分,而且完成得不夠好。IDS漏報誤報嚴重,很難達到實時,更談不上控制。不少防火牆廠商抱怨:IDS與防火牆聯動是個餿主意,一些 IDS產品每秒能給出幾千條安全規則,動輒就把防火牆給「搞死」。
IPS要吸取IDS失敗的教訓,同樣面臨市場定位問題。如果IPS還是定位 於對所有的入侵行為進行檢測並進行防禦,甚至比IDS有過之而無不及,這樣的IPS用戶也不會感興趣。如果不這樣定位,IPS只有一個選擇,作為防火牆的 補充,對防火牆過濾後的流量進行入侵檢測,進行二級防禦。由於防火牆已經把不符合安全策略的包都過濾掉了,放行的都是必須提供服務的流量,但是防火牆不對 內容進行檢測,它無法保證准許放行的流量的安全性,這樣,IPS正好可以對流量的內容進行檢測並加以防禦。這樣的定位,不僅IPS計算量要小得多,而且也 準確得多,專業得多。如此一來,好像沒有理由不把IPS集成到防火牆中去。
用戶不接受IPS作為獨立產品
市場上曾經出現獨立的 IPS產品,但用戶不太願意購買,主要原因是產品功能重疊。很多用戶已經購買了防火牆、入侵檢測產品,有些用戶還花了錢讓防火牆與IDS聯動。雖然效果也 許不好,但那是另外一回事,現在,又要單獨購買一個IPS,功能重疊,CSO們無法向單位和領導交待。IDS一度被說得天花亂墜,現在又說不行了,而 IPS這個新東西還是基於IDS發展來的,用戶不再會輕易接受這個新的產品。用CSO們的話來說,他們要「聽其言,觀其行」。
看來,入侵檢測的故事講完了,關鍵是要看防禦的效果,與其單獨購買IPS,還不如談論防火牆升級,把IPS作為防火牆升級的一部分,用戶更容易接受。
安全廠商反應的速度奇快
一類安全產品推向市場,能否成功,不光看技術,還要看市場。獨立的安全產品在市場上推出沒有成功,IPS不是第一個。抗拒絕服務攻擊(DDOS)網關也 是一個先例。大家都熟知拒絕服務攻擊,到目前為止,它還是最嚴重的安全威脅之一。很多安全廠商推出了獨立的抗DDOS攻擊網關,但用戶購買的不多,安全廠 商被迫放棄把抗DDOS作為一個獨立的產品,轉而集成到防火牆中作為一個基本功能。現在,用戶普遍把具有抗DDOS功能的防火牆作為首選。
原 來,產業觀察家預測,到2006年,IPS功能將集成到下一代防火牆中。現在看來,這個預測保守了。賽門鐵克、WatchGuard等防火牆已經集成了 IPS功能。原來推獨立的IPS產品的廠商也開始發生變化,例如Netscreen和思科德防火牆中也開始有了IPS模塊。據瞭解,國內一些安全廠商也已 經完成了在防火牆中集成IPS的轉變。預計在2004年底,很多防火牆廠商將會推出集成IPS的防火牆。
(王朝網絡 wangchao.net.cn)