網(wǎng)絡(luò)入侵防御系統(tǒng)監(jiān)控和分析企業(yè)的網(wǎng)絡(luò)流量來(lái)發(fā)現(xiàn)惡意活動(dòng),并通過(guò)切斷和 或阻止相關(guān)網(wǎng)絡(luò)連接來(lái)攔截這些活動(dòng)。
網(wǎng)絡(luò)入侵防御系統(tǒng)監(jiān)控和分析企業(yè)的網(wǎng)絡(luò)流量來(lái)發(fā)現(xiàn)惡意活動(dòng)����,并通過(guò)切斷和/或阻止相關(guān)網(wǎng)絡(luò)連接來(lái)攔截這些活動(dòng)。多年來(lái)��,IPS一直被用在核心網(wǎng)絡(luò)位置�,例如非常靠近防火墻來(lái)發(fā)現(xiàn)其他安全技術(shù)無(wú)法檢測(cè)到的各種基于網(wǎng)絡(luò)的攻擊�。
網(wǎng)絡(luò)入侵防御系統(tǒng)的前身被稱(chēng)為入侵檢測(cè)系統(tǒng)(IDS),它提供與IPS相同類(lèi)型的功能���,區(qū)別在于IDS不能阻止惡意活動(dòng)��。大多數(shù)早期網(wǎng)絡(luò)入侵防御系統(tǒng)采用基于簽名的檢測(cè)技術(shù)����,這些技術(shù)可根據(jù)特定蠕蟲(chóng)病毒特有的字節(jié)序列�,發(fā)現(xiàn)來(lái)自該蠕蟲(chóng)的通信。網(wǎng)絡(luò)入侵防御系統(tǒng)則開(kāi)始利用各種更為先進(jìn)的檢測(cè)技術(shù)�����,它們可以理解應(yīng)用協(xié)議和通信的復(fù)雜性,從而檢測(cè)基于應(yīng)用的攻擊��,以及在其他網(wǎng)絡(luò)堆棧層的攻擊���。
現(xiàn)在有很多網(wǎng)絡(luò)入侵防御系統(tǒng)產(chǎn)品��,它們主要有三種形式����,而本文重點(diǎn)介紹的作為專(zhuān)用硬件和軟件產(chǎn)品的IPS��,這種IPS直接部署到企業(yè)的網(wǎng)絡(luò)��,以及虛擬設(shè)備以部署到服務(wù)器內(nèi)虛擬網(wǎng)絡(luò)�����。
網(wǎng)絡(luò)入侵防御系統(tǒng)的架構(gòu)
在入侵防御系統(tǒng)部署的核心是一個(gè)或多個(gè)傳感器��,每個(gè)傳感器被戰(zhàn)略定位以監(jiān)控特定網(wǎng)絡(luò)段的流量����。在過(guò)去,企業(yè)為每個(gè)網(wǎng)絡(luò)段部署傳感器�����,但現(xiàn)在單個(gè)傳感器就可同步監(jiān)控多個(gè)網(wǎng)絡(luò)段����。為了監(jiān)控關(guān)鍵網(wǎng)絡(luò)段,IPS傳感器通常部署在有著不同安全政策的網(wǎng)絡(luò)�,例如互聯(lián)網(wǎng)連接點(diǎn),或者內(nèi)部用戶網(wǎng)絡(luò)連接到內(nèi)部服務(wù)器網(wǎng)絡(luò)的位置��。
除了硬件設(shè)備傳感器��,有些供應(yīng)商還提供虛擬設(shè)備傳感器�����,它們具有與硬件設(shè)備傳感器相同的監(jiān)控和分析功能�,但虛擬設(shè)備主要用于部署在運(yùn)行虛擬機(jī)的服務(wù)器內(nèi),以監(jiān)控這些虛擬機(jī)之間的虛擬網(wǎng)絡(luò)����。在這種架構(gòu)中,服務(wù)器中虛擬設(shè)備很有必要����,因?yàn)樘摂M機(jī)之間的網(wǎng)絡(luò)流量將不會(huì)傳輸?shù)椒?wù)器之外��。
IPS架構(gòu)的另一個(gè)重要方面是管理��。網(wǎng)絡(luò)入侵防御系統(tǒng)供應(yīng)商通常提供集中管理控制臺(tái)��,該控制臺(tái)可用于監(jiān)控配置��,并可維護(hù)所有IPS傳感器—無(wú)論是硬件還是虛擬���。很多企業(yè)還選擇將其IPS產(chǎn)品配置為:讓來(lái)自IPS傳感器的數(shù)據(jù)可以復(fù)制到安全信息和事件管理產(chǎn)品或其他企業(yè)安全控制,用于進(jìn)一步分析以及事故處理��。這通常不再需要專(zhuān)用數(shù)據(jù)庫(kù)或?yàn)镮PS日志提供長(zhǎng)期存儲(chǔ)的其他方法���。
IPS架構(gòu)面對(duì)的最大問(wèn)題是使用加密來(lái)保護(hù)網(wǎng)絡(luò)流量����。這種安全做法可以保護(hù)網(wǎng)絡(luò)流量的內(nèi)容��,讓IPS傳感器不能進(jìn)行分析����,因此不能檢測(cè)加密流量?jī)?nèi)的攻擊。企業(yè)越來(lái)越多地部署IPS設(shè)備來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)中流量沒(méi)有加密的地方��,例如在虛擬專(zhuān)用網(wǎng)絡(luò)服務(wù)器解密傳入流量后。
網(wǎng)絡(luò)入侵防御系統(tǒng)的典型環(huán)境
網(wǎng)絡(luò)入侵防御系統(tǒng)幾乎可用于所有環(huán)境����,因?yàn)樗鼈兛梢詸z測(cè)并阻止其他安全控制無(wú)法檢測(cè)的某些類(lèi)型的攻擊。例如���,大多數(shù)IPS可以解譯和分析數(shù)百(甚至數(shù)千)應(yīng)用協(xié)議;這使它們可以檢測(cè)除電子郵件和Web流量之外的基于應(yīng)用的攻擊,電子郵件和Web流量是其他安全控件最經(jīng)常會(huì)涵蓋的應(yīng)用�����。
然而�����,本文中探討的入侵防御產(chǎn)品(專(zhuān)用硬件和軟件)最適合中型和大型企業(yè)��。這是因?yàn)榕c其他IPS形式相比����,專(zhuān)有IPS硬件和軟件成本更高,并且��,通過(guò)專(zhuān)有硬件和軟件可實(shí)現(xiàn)更高的性能和負(fù)載分離�。
而在小型企業(yè)�,專(zhuān)有IPS硬件和軟件的低部署率的主要原因是:下一代防火墻(NGFW)等其他企業(yè)安全技術(shù)中有可用的IPS模塊�。企業(yè)通常只要支付更低的采購(gòu)和部署成本就使用這些模塊,因?yàn)椴恍枰~外的硬件;長(zhǎng)期管理和維護(hù)也更加便宜�,同時(shí),IPS可作為NGFW的一部分來(lái)管理�。如果小型企業(yè)有充足的資源,當(dāng)然也可以選擇專(zhuān)有IPS產(chǎn)品�����,以獲得更高的性能�����、冗余性等��。小型企業(yè)也越來(lái)越多地部署基于云的IPS服務(wù)�,這可能可以代表企業(yè)來(lái)進(jìn)行IPS監(jiān)控和管理。
使用���、部署和管理IPSes的成本
雖然硬件設(shè)備和虛擬設(shè)備入侵防御系統(tǒng)產(chǎn)品有著幾乎相同的功能�,但在使用和部署的成本方面則存在顯著區(qū)別����。
基于硬件設(shè)備的入侵防御產(chǎn)品的部署成本通常非常高大多數(shù)��,因?yàn)槠髽I(yè)需要大量傳感器設(shè)備來(lái)監(jiān)控外圍和內(nèi)部網(wǎng)絡(luò)的關(guān)鍵點(diǎn)�,并且����,每個(gè)設(shè)備可能都非常昂貴。但實(shí)際IPS部署成本并沒(méi)有那么高���,只是企業(yè)可能需要中斷網(wǎng)絡(luò)來(lái)物理地將IPS傳感器插入到流量,以及重新配置網(wǎng)絡(luò)基礎(chǔ)設(shè)施來(lái)使用它們�。
與硬件設(shè)備相比,虛擬設(shè)備可顯著降低使用和部署成本��。由于不需要硬件��,使用和部署成本相對(duì)較低��,只需要軟件許可證以及安裝軟件到使用虛擬化技術(shù)的服務(wù)器��。
在IPS管理方面���,IPS技術(shù)已經(jīng)被設(shè)計(jì)為盡可能地自動(dòng)化��,但企業(yè)可能仍需要投入大量資源來(lái)定制和優(yōu)化每個(gè)IPS傳感器����。IPS技術(shù)依靠各種檢測(cè)技術(shù),然而���,并非所有這些技術(shù)都萬(wàn)無(wú)一失�����。眾所周知����,IPS誤報(bào)率非常高(即良性活動(dòng)被IPS錯(cuò)誤判定為惡性)�。近年來(lái),這方面已經(jīng)明顯好轉(zhuǎn)���,但仍然會(huì)發(fā)生����,所以IPS管理員必須警惕審查IPS警報(bào)�����,并調(diào)試檢測(cè)功能以盡量減少誤報(bào)率。如果企業(yè)在使用IPS的防御功能�,這一點(diǎn)尤其重要,因?yàn)檎`報(bào)率可能會(huì)導(dǎo)致良性流量被阻止���。
管理網(wǎng)絡(luò)入侵防御系統(tǒng)
網(wǎng)絡(luò)入侵防御產(chǎn)品的目的是發(fā)現(xiàn)和阻止企業(yè)網(wǎng)絡(luò)中的惡意活動(dòng)�����。IPS主要有三種形式���,本文中重點(diǎn)專(zhuān)注于其中一種形式:通過(guò)專(zhuān)有硬件和軟件而不是硬件設(shè)備或虛擬設(shè)備提供的IPS。這兩種類(lèi)型的設(shè)備平臺(tái)的功能幾乎相同��,但在架構(gòu)和部署成本方面���,這兩者顯著不同。此外���,雖然入侵防御產(chǎn)品幾乎有利于所有企業(yè)���,但通過(guò)硬件或虛擬設(shè)備提供的IPS主要部署在中型和大型企業(yè)。小型企業(yè)則通常通過(guò)NGFW中的模塊或者基于云的IPS服務(wù)來(lái)獲取IPS功能��。
在考慮使用基于硬件設(shè)備的IPS產(chǎn)品時(shí),企業(yè)應(yīng)該仔細(xì)評(píng)估部署特別是管理的潛在成本�����。盡管現(xiàn)在IPS供應(yīng)商的技術(shù)已經(jīng)高度自動(dòng)化��,企業(yè)仍然需要投入相當(dāng)大的精力來(lái)監(jiān)控和調(diào)查IPS警報(bào)���、調(diào)試IPS檢測(cè)功能以及確保IPS在尋找最新的威脅�?���?傊髽I(yè)投入更多精力來(lái)管理其IPS傳感器���,將會(huì)從中獲得更多的價(jià)值����。
