众所周知,防火墙、IDS是目前网络安全市场中最厉害的两员猛将。
1 ]4 t# D i. ], g' H( p5 t
+ z4 b" \: p4 T) q: d& |( o+ _ 现在,市场上又出现了一种新趋势,将两者合二为一,统一成一种产品,可以检测入侵,还可以实时防御,它的名字就叫IDP(Intrusion Detection & Prevention)。
7 S( b' z! [9 c ]2 R % C4 c8 E" s! F3 C3 j
IDP(Intrusion Detection & Prevention)入侵检测和防御产品,是指不但能检测入侵的发生,而且能通过一定的响应方式,实时地中止入侵行为的发生和发展,实时地保护信息系统不受实质性攻击的一种智能化的安全产品。它是目前网络安全技术中比较新的产品,IPS(Intrusion Prevention System,入侵防御系统)是IDP的另外一种称呼。
4 o8 K8 I* w" n/ Q1 i0 C; l ) _* g! J1 y" x
或许大家会问,我们的网络系统已经布置了防火墙和IDS,网络系统已经很安全了,IDP产品又能给我们带来什么好处呢?
) T7 H Z' V' ] D, X3 K r# W 3 L, y+ ~8 J$ ?! H( H' K
* q1 |3 {* F2 s- }- b& r" |* p& ]4 Y
防火墙有四种局限
" ?8 d0 W8 r9 ]3 m6 \ 2 U! Z( T8 v, V# m4 ^0 X3 v) Y5 R6 c
5 x1 I. |" C; ~/ Z' h 通常,人们认为防火墙可以保护处于它身后的网络不受外界的侵袭和干扰。但随着网络技术的发展,网络结构日趋复杂,传统防火墙在使用的过程中暴露出以下的不足和弱点:2 @2 Z g8 {7 L- I- ^ e
一、传统的防火墙在工作时,入侵者可以伪造数据绕过防火墙或者找到防火墙中可能敞开的后门;
6 S% q- Q" i- c2 `) Y$ i 二、防火墙完全不能防止来自网络内部的袭击,通过调查发现,将近65%的攻击都来自网络内部,对于那些对企业心怀不满或假意卧底的员工来说,防火墙形同虚设;
1 T1 e: A7 ^) I- r8 h 三、由于防火墙性能上的限制,通常它不具备实时监控入侵的能力;
; l' _0 r. h: w+ P( H& k 四、防火墙对于病毒的侵袭也是束手无策。- d- a3 U. `9 c) C s$ A/ o5 x2 c3 L$ G
3 ]1 m5 t' A0 p# X% V. [ 正因为如此,那些认为在Internet入口处设置防火墙系统就足以保护企业网络安全的想法是不切实际的。也正是这些因素引起了人们对入侵检测技术的研究及开发。入侵检测系统(IDS)可以弥补防火墙的不足,为网络提供实时的监控,并且在发现入侵的初期采取相应的防护手段,IDS系统作为必要附加手段。已经为大多数组织机构的安全构架所接受。6 f$ O! N1 Q) Q5 ]
7 ~4 N7 C9 B, i; Q8 i; `. }
B, Y1 D, y3 K
IDS产品也有四点不足
: }2 I3 e1 \8 i c
; ~1 f4 \0 W0 q" E " ^4 |& V1 U$ x" T; B3 S
经过近几年的发展,IDS产品开始步入一个快速的成长期,用户也开始认可IDS在网络安全防御中不可替代的作用。但是,与此同时,大家也逐渐意识到IDS所面临的问题:
% h7 l6 y( I6 E; ~' @" ~3 }* m3 ` 一、较高的漏报率和误报率;/ u- Q/ t0 _& r
二、对IDS系统的管理和维护比较难,它需要安全管理员有足够的时间、精力及丰富的知识,以保持传感器的更新和安全策略的有效;8 }% _( O. r/ S6 a- \- u0 M
三、当IDS系统遭受拒绝服务攻击时,它的失效开放机制使得黑客可以实施攻击而不被发现(IDS系统的失效开放机制是指,一旦系统停止作用,整个网络或主机就变成开放的。这与防火墙的失效关闭机制正好相反,防火墙一旦失效,整
% q; k/ R% V% K" l- M 个网络是不可访问的);' o, }) T( S6 L" o; M- o
四、最重要的是,IDS系统是以被动的方式工作,只能检测攻击,而不能阻止攻击。
' A, T) r6 S4 k 2 ?, i7 H( Z4 v% a! J8 c+ J
1 i# w- O5 P q; m 新品IDP弥补IDS不足
3 t% X+ }9 h. |8 Z+ ` / x$ ^& M6 }9 @( P+ P0 v! |( o7 A
* E7 S7 S1 E4 \$ {! W) v4 T, G2 |
与防火墙紧密互动
' S7 ]( I* _- V6 P/ V/ v. N+ v1 w
& |, S: F0 C7 x- P! J 由于IDS系统的局限性,市场上又出现了IDP产品。目前的IDP产品可以认为是IDS系统的替代品,它同样可以分为网络型IDP和主机型IDP。与IDS相比,IDP最大的特点就在于,它不但能检测到入侵的发生,而且有能力中止入侵活动的进行;并且,IDP能够从不断更新的模式库中发现各种各样新的入侵方法,从而做出更智能的保护性操作,并减少漏报和误报。目前市场上已推出的IDP产品包括:NetScreen公司的NetScreen-IDP 100以及Top Layer网络公司的Attack Mitigator IPS套件等。/ n6 W7 _1 H& u0 s# Y" n4 n
, [9 x' i2 {- c2 P3 V
大家知道,在目前的网络安全防御体系中,防火墙与IDS系统之间是可以实现互动的,从而实现最大程度的安全。目前比较典型的互动接口协议有Check Point公司的OPSEC和天融信公司的TOPSEC。那么,防火墙和IDP产品之间将又会实现怎样的互动呢?笔者在这里做一个大胆的猜想,当然,这种猜想来源于防火墙和IDS系统之间互动的实现方式。
& g' F$ c& O% [4 {, i6 D; |
# B! X) `( j- O: P, D" \, c, o0 o. a 通过开放接口实现互动# C. a: S0 D/ E9 Q/ x* A
1 t% _! [6 V, F8 W' ^9 {: W \
一种是通过开放接口来实现互动。即防火墙或者IDP产品开放一个接口供对方调用,按照一定的协议进行通信,传输警报。这种方式比较灵活,防火墙可以行使它第一层防御的功能——访问控制,IDP系统可以行使它第二层防御的功能——检测入侵,丢弃恶意通信,确保这个通信不能到达目的地,并通知防火墙进行阻断。而且,这种方式不影响防火墙和IDP产品的性能,对于两个产品的自身发展比较好。但是,由于是两个系统的配合,所以要重点考虑防火墙和IDP产品互动的安全性。在目前的技术水平上,这种方式是最有可能实现的。据了解,NetScreen公司计划在今年6月份推出能与防火墙互动的IDP产品。1 Z" d6 ]' x, c& q1 D1 Z
1 K; z3 C0 I! c* \" M1 } 紧密集成实现互动1 O; J) d" l9 V# H- n% ~
+ ^0 `0 Z k7 F, j6 c# B
另一种是实现紧密集成,即把IDP技术与防火墙技术集成到同一个硬件平台上,在统一的操作系统管理下有序地运行。这种方式实际上是把两种产品集成到一起,所有通过这个硬件平台的数据不仅要接受防火墙规则的验证,还要被检测判断是否有攻击,以达到真正的实时阻断。值得注意的是,这种安全平台与一些厂商提倡的“胖防火墙”的概念有着本质的区别。“胖防火墙”是以防火墙功能为主,其它的安全功能只是作为一种补充,它在本质上还是防火墙。
3 v/ I2 c, M% |" B / ~9 [8 ]0 H! L; C
对于这种紧密集成的安全平台,由于IDP产品和防火墙本身都是很庞大的系统,所以实施的难度比较大,集成后的性能也会受很大的影响。同时,如果集成的话,不会仅仅只集成IDP与防火墙两种技术,而一定会把更多的安全技术集成到一起,从而构成多个安全产品的紧密结合——入侵防御系统(IPS)。# k( u+ P4 H% |! c
4 p g/ c1 \' w" |! ^6 q% D
6 C$ r s9 D+ c- n, }+ q A( T 点评:终结安全产品散乱局面的起点; S. d3 i; \" V$ `
2 D5 J# W8 `- [. r" V) t7 J; l0 k
! _3 t6 ^: Z7 x 目前实际应用中,防病毒、防火墙、IDS系统等安全产品通常分别具有自己的硬件平台,分别部署。这意味着用户需要部署几套不同的设备,既浪费了资源又占用了空间。入侵防御系统(IPS)有可能会结束防火墙、IDS系统、漏洞扫描与评估、防病毒等安全产品间彼此孤立、缺少联动的分裂局面。正如其名称所蕴含的那样,入侵防御系统(IPS)具有检测入侵和对入侵做出反应两项功能,可以说是将防火墙、IDS系统、防病毒和脆弱性评估等技术的优点与自动阻止攻击的功能融为一体。目前无论国外还是国内,还没有厂商做到这一步,这尚处于理论研究阶段。 |