亚洲成精品动漫久久精久,九九在线精品视频播放,黄色成人免费观看,三级成人影院,久碰久,四虎成人欧美精品在永久在线

掃一掃
關(guān)注微信公眾號(hào)

專(zhuān)家解析IDS、IPS和UTM的區(qū)別
2010-07-15   網(wǎng)絡(luò)

在許多人看來(lái),入侵檢測(cè)和入侵防御沒(méi)什么區(qū)別,很多做入侵檢測(cè)的廠商同時(shí)也做入侵防御,甚至連它們的縮寫(xiě)“IDS”和“IPS”都這么的相像。那么這兩款產(chǎn)品有區(qū)別嗎?區(qū)別在哪?入侵防御和UTM之間該如何選擇?未來(lái)它們將會(huì)如何發(fā)展,本文將就這幾個(gè)問(wèn)題做一一分析。

用戶選擇之惑

從出現(xiàn)先后順序來(lái)看,入侵檢測(cè)無(wú)疑是前輩:甚至最早的入侵防御產(chǎn)品就是在入侵檢測(cè)產(chǎn)品的基礎(chǔ)上改造而成。

顧名思義,入侵檢測(cè)產(chǎn)品就是對(duì)入侵行為進(jìn)行檢查的產(chǎn)品,那為什么要檢測(cè)入侵呢?大家都知道,入侵檢測(cè)技術(shù)起源于審計(jì),是由于需要/想知道網(wǎng)絡(luò)里到底發(fā)生過(guò)什么事情,畢竟網(wǎng)絡(luò)世界不像真實(shí)世界這樣可視化。

而和入侵檢測(cè)有著共同基礎(chǔ)的入侵防御產(chǎn)品則不然,它的重點(diǎn)是防護(hù),看上去更像我們熟悉的防火墻產(chǎn)品。當(dāng)然,入侵防御也有和傳統(tǒng)防火墻不一樣的地方:防火墻的規(guī)則是允許具備某些特征的數(shù)據(jù)包通過(guò),比如TCP 80端口的數(shù)據(jù)包,在Web服務(wù)跟前,就是被允許通過(guò)的;而入侵防御的規(guī)則剛好相反,不允許具備某些特征的數(shù)據(jù)包通過(guò),某一個(gè)數(shù)據(jù)包攜帶的數(shù)據(jù)被認(rèn)定為溢出攻擊,就將被拒絕通過(guò)。當(dāng)然,還有一種說(shuō)法就是,防火墻關(guān)注的是會(huì)話層以下的網(wǎng)絡(luò)數(shù)據(jù),而入侵防御則關(guān)注會(huì)話層-應(yīng)用層的數(shù)據(jù)。有一定技術(shù)基礎(chǔ)的朋友一定能很快看出上面的問(wèn)題,“且慢,這根本就不是問(wèn)題,我完全可以做到只讓那些符合某些規(guī)則(防火墻規(guī)則),又不具備某些特征(入侵特征)的數(shù)據(jù)通過(guò)”。“至于防火墻不關(guān)注會(huì)話層以上的數(shù)據(jù),這就更簡(jiǎn)單了,不論以前是由于什么原因不關(guān)注,現(xiàn)在開(kāi)始也分析好了,只要性能能跟上,技術(shù)上沒(méi)有困難”。

沒(méi)錯(cuò),正是上面提到的所謂區(qū)別在硬件技術(shù)和檢測(cè)技術(shù)的發(fā)展面前都已經(jīng)不是問(wèn)題了,所以才會(huì)使得UTM這一概念獲得人們的認(rèn)可:我們喜歡防火墻式的一勞永逸,我們需要入侵防御的應(yīng)用層威脅防護(hù),于是我們把這兩個(gè)功能在一個(gè)硬件上實(shí)現(xiàn)了。一些安全廠商/用戶并不能區(qū)別單獨(dú)的入侵防御產(chǎn)品和UTM產(chǎn)品中的入侵防御之間的區(qū)別,于是就陷入了一個(gè)誤區(qū):我應(yīng)該選擇入侵防御還是UTM?如果入侵防御可以在UTM中實(shí)現(xiàn),是不是以后就沒(méi)有單獨(dú)的入侵防御產(chǎn)品了?

入侵防御還是UTM?

這其實(shí)不能算是問(wèn)題,UTM剛出現(xiàn)時(shí)很少有人選擇,原因很簡(jiǎn)單:性能。有些號(hào)稱(chēng)UTM的設(shè)備在打開(kāi)入侵防御功能后性能衰減嚴(yán)重,這使得UTM并未像想象中那樣獲得開(kāi)門(mén)紅。但摩爾定律的力量是強(qiáng)大的,隨著硬件技術(shù)的發(fā)展,在效率不降低的情況下在一個(gè)盒子里完成多項(xiàng)工作,已經(jīng)成為現(xiàn)實(shí)。

這是不是就意味著UTM可以全面取代入侵防御產(chǎn)品呢?我們應(yīng)當(dāng)還記得前面提到的:防火墻是配置允許規(guī)則,規(guī)則外禁止,而入侵防御是配置禁止規(guī)則,規(guī)則外允許。相信很多人都會(huì)聽(tīng)說(shuō)過(guò)這么一個(gè)功能:bypass,就是在串行設(shè)備遇到軟件/硬件問(wèn)題時(shí),強(qiáng)制進(jìn)入直通狀態(tài),以避免網(wǎng)絡(luò)斷開(kāi)的一種技術(shù)。這個(gè)技術(shù)只在入侵防御產(chǎn)品中有應(yīng)用,而不出現(xiàn)于防火墻產(chǎn)品中,這是為什么呢?誠(chéng)然,在防火墻處于非透明模式下,bypass也無(wú)法保障通訊的通暢:比如說(shuō)NAT模式下,防火墻內(nèi)外網(wǎng)絡(luò)不在一個(gè)網(wǎng)段,即使物理上強(qiáng)制直通,也會(huì)由于找不到路由而無(wú)法通訊。(說(shuō)到這里筆者就要插一句了,曾見(jiàn)到有些入侵防御的技術(shù)要求中一方面要求提供路由接入模式,一方面又要求支持bypass,簡(jiǎn)直就是不知所云)。但是最根本的原因還在于防火墻與入侵防御兩種截然不同的數(shù)據(jù)處理流程:防火墻是只允許那些被允許的數(shù)據(jù)進(jìn)入,即使在自身出現(xiàn)問(wèn)題的情況下,也不能讓未受允許的數(shù)據(jù)進(jìn)入,所以防火墻不可能有bypass功能。而入侵防御剛好相反,其目標(biāo)是保護(hù)后端的設(shè)備不受威脅行為的影響提供正常的服務(wù),如果自身出現(xiàn)問(wèn)題了,寧愿切換為通路,也不影響后端業(yè)務(wù)的運(yùn)營(yíng),所以,bypass設(shè)備是必須的。

這里需要補(bǔ)充一點(diǎn),有些朋友看到上面的描述,可能會(huì)對(duì)入侵防御的“寬宏大量”表示不理解:bypass后就變成無(wú)防護(hù)狀態(tài)了,太可怕了。其實(shí),一般來(lái)說(shuō),入侵防御產(chǎn)品的bypass都是與其watchdog技術(shù)相結(jié)合的,watchdog保障了故障進(jìn)程能自動(dòng)恢復(fù),所以真正處在bypass無(wú)防護(hù)狀態(tài)下的時(shí)間并不長(zhǎng),一次bypass切換(防護(hù)——無(wú)防護(hù)——再次開(kāi)始防護(hù))可以在數(shù)秒鐘內(nèi)完成,并不會(huì)因此而使得網(wǎng)絡(luò)長(zhǎng)時(shí)間失去保護(hù)。

可以看出,入侵防御產(chǎn)品的未來(lái)之路就是保護(hù)后端服務(wù)不受威脅影響而能正常開(kāi)展業(yè)務(wù)。UTM類(lèi)產(chǎn)品可以有入侵防御的模塊,但由于結(jié)合了防火墻、AV等其它功能,使得其關(guān)注的目標(biāo)必定是批量化的攔截,無(wú)暇專(zhuān)注于后端服務(wù)。入侵防御和UTM相比,可以用一個(gè)生活中的小例子來(lái)呼應(yīng):入侵防御就是個(gè)人保鏢,而UTM就是小區(qū)保安,兩者都是保護(hù)目標(biāo)的安全,但由于受保護(hù)目標(biāo)不同(保鏢的目標(biāo)聚焦,而保安的目標(biāo)不聚焦)使得這兩種類(lèi)似的職業(yè)都有單獨(dú)存在的必要。

到底需要入侵防御還是UTM?取決于保護(hù)的目標(biāo)主體。如果用以保護(hù)整個(gè)網(wǎng)絡(luò),那么應(yīng)當(dāng)選擇UTM,除了入侵防御之外,還可依據(jù)用戶需求提供防病毒、VPN等網(wǎng)關(guān)級(jí)安全應(yīng)用。如果用以保護(hù)某一臺(tái)或多臺(tái)服務(wù)器(群),那么就應(yīng)當(dāng)選擇入侵防御。當(dāng)然這是有前提的,那就是入侵防御產(chǎn)品需要對(duì)服務(wù)器防護(hù)有相應(yīng)針對(duì)性的特性,比如啟明星辰公司的天清入侵防御產(chǎn)品,就專(zhuān)注發(fā)掘了Web服務(wù)防護(hù)功能。

再看入侵檢測(cè)產(chǎn)品,與入侵防御產(chǎn)品作為控制工具相對(duì)的,入侵檢測(cè)產(chǎn)品給使用者提供了一個(gè)可視化的平臺(tái),通過(guò)這個(gè)平臺(tái),用戶可以清楚地了解網(wǎng)絡(luò)里到底發(fā)生了什么事情,當(dāng)然,結(jié)論的產(chǎn)生還是需要加入大量的人工分析。比如,網(wǎng)絡(luò)嗅探,入侵防御或者類(lèi)似的控制工具,所關(guān)注的只是“禁止這一行為”,但嗅探可能來(lái)自于內(nèi)部員工的正常網(wǎng)絡(luò)檢查行為,這就需要一個(gè)界面來(lái)告訴使用者,嗅探行為是誰(shuí)干的、是否違規(guī)等等,而這就是入侵檢測(cè)產(chǎn)品的作用所在。當(dāng)你需要了解網(wǎng)絡(luò)安全狀況的時(shí)候,購(gòu)買(mǎi)入侵檢測(cè)產(chǎn)品將會(huì)是一個(gè)合適的選擇。
入侵防御還是入侵檢測(cè)?

即使有了基于前文的認(rèn)知,但當(dāng)前還有這樣的言論出現(xiàn):入侵檢測(cè)能做的事,入侵防御都可以做,入侵防御是入侵檢測(cè)的升級(jí)/換代產(chǎn)品。

前文提到,入侵檢測(cè)所關(guān)注的是可視化,對(duì)入侵檢測(cè)來(lái)說(shuō),最重要的是 “呈現(xiàn)”。“呈現(xiàn)”主要取決于兩點(diǎn),一是呈現(xiàn)的內(nèi)容,二是呈現(xiàn)的效果。呈現(xiàn)的內(nèi)容表現(xiàn)在,事件是否更新及時(shí),數(shù)據(jù)是否抓取完全。和入侵防御不一樣,入侵檢測(cè)產(chǎn)品是旁路部署甚至多點(diǎn)部署的,對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)視。呈現(xiàn)的效果表現(xiàn)在是否能方便地從產(chǎn)品界面上獲得有效信息,以便對(duì)接下來(lái)的工作進(jìn)行指導(dǎo):禁止或允許某些安全規(guī)則,評(píng)價(jià)某個(gè)區(qū)域的安全建設(shè)效果等。

而入侵防御則更關(guān)注“防護(hù)”,準(zhǔn)確而及時(shí)的防護(hù),其關(guān)注重點(diǎn)并不是全局信息(而只是關(guān)鍵服務(wù)器群),也不關(guān)注信息分析。這導(dǎo)致了入侵檢測(cè)和入侵防御在面對(duì)事件時(shí)的不同態(tài)度:入侵檢測(cè)關(guān)注可疑事件,即使不能判斷為具體的攻擊行為,也要進(jìn)行記錄和分析備案;而入侵防御關(guān)注的都是明確的事件,是威脅就堅(jiān)決予以阻斷,不能認(rèn)定為威脅則予以放行。而在用戶交互界面層面,也有不同的態(tài)度:入侵檢測(cè)關(guān)注信息展現(xiàn),以圖表呈現(xiàn)全面的信息以協(xié)助分析;入侵防御則不需要關(guān)注信息之間的關(guān)聯(lián),事件對(duì)入侵防御而言只是一個(gè)阻斷報(bào)告的數(shù)據(jù)來(lái)源。

所以,在選擇入侵檢測(cè)產(chǎn)品的時(shí)候,需要關(guān)注如下因素:它是否能保障“呈現(xiàn)”無(wú)障礙,是否提供了一些新的特性可以方便地看到想看的信息,使用者是否可以快速利用它“呈現(xiàn)”的內(nèi)容做出相應(yīng)的決策判斷。

當(dāng)然,作為安全廠商,所需要做的就是,當(dāng)開(kāi)發(fā)入侵檢測(cè)產(chǎn)品的時(shí)候,任何功能特性,都應(yīng)當(dāng)圍繞“呈現(xiàn)”這個(gè)詞來(lái)做,用戶需要一個(gè)可視化平臺(tái)。因?yàn)橹挥?ldquo;呈現(xiàn)”,才是入侵檢測(cè)的精髓,是入侵檢測(cè)依然存在,不被其它產(chǎn)品取代的根本。

熱詞搜索:

上一篇:防病毒與UTM結(jié)合 使優(yōu)勢(shì)最大化
下一篇:應(yīng)用選型:網(wǎng)絡(luò)安全一步到位之UTM

分享到: 收藏