隨著核心應(yīng)用業(yè)務(wù)逐漸網(wǎng)絡(luò)化，網(wǎng)絡(luò)安全成為企業(yè)網(wǎng)絡(luò)管理人員最急需解決的問題，“系統(tǒng)入侵”目前是威脅企業(yè)網(wǎng)絡(luò)信息安全的首要元兇，系統(tǒng)漏洞屢被攻擊，病毒在網(wǎng)絡(luò)泛濫，主動防御和應(yīng)用安全的壓力日益增大，我們需要一個能夠?qū)崟r有效的安全防護系統(tǒng)。

安全防護系統(tǒng)是一個多層次的保護機制，它既包括企業(yè)的安全策略，又包括防火墻、防病毒、入侵防護等多種產(chǎn)品的解決方案。傳統(tǒng)的，我們會僅用防火墻或防毒墻來反擊，但因為他們主要是防御直接的可疑流量，面對黑客攻擊水平的不斷提高，及內(nèi)部因計算機操作而存在的安全隱患等混合威脅的不斷發(fā)展，這種單一的防護措施已經(jīng)顯得力不從心。

IDS入侵檢測系統(tǒng)一直以來充當(dāng)了安全防護系統(tǒng)的重要角色，IDS技術(shù)是通過從網(wǎng)絡(luò)上得到數(shù)據(jù)包進行分析，從而檢測和識別出系統(tǒng)中的未授權(quán)或異常現(xiàn)象。IDS注重的是網(wǎng)絡(luò)監(jiān)控、審核跟蹤，告知網(wǎng)絡(luò)是否安全，發(fā)現(xiàn)異常行為時，自身不作為，而是通過與防火墻等安全設(shè)備聯(lián)動的方式進行防護。IDS目前是一種受到企業(yè)歡迎的解決方案，但其目前存在以下幾個顯著缺陷：一是網(wǎng)絡(luò)缺陷（用交換機代替可共享監(jiān)聽的HUB使IDS的網(wǎng)絡(luò)監(jiān)聽帶來麻煩，并且在復(fù)雜的網(wǎng)絡(luò)下精心的發(fā)包也可以繞過IDS的監(jiān)聽）；二是誤報量大（只要一開機，報警不停）；三是自身防攻擊能力差等缺陷，所以，IDS還是不足完成網(wǎng)絡(luò)安全防護的重任。

IDS的缺陷，成就了IPS的發(fā)展，IPS技術(shù)能夠?qū)W(wǎng)絡(luò)進行多層、深層、主動的防護以有效保證企業(yè)網(wǎng)絡(luò)安全，IPS的出現(xiàn)可謂是企業(yè)網(wǎng)絡(luò)安全的革命性創(chuàng)新。簡單地理解，IPS等于防火墻加上入侵檢測系統(tǒng)，但并不代表IPS可以替代防火墻或IDS。防火墻在基于TCP/IP協(xié)議的過濾方面表現(xiàn)非常出色，IDS提供的全面審計資料對于攻擊還原、入侵取證、異常事件識別、網(wǎng)絡(luò)故障排除等等都有很重要的作用。

下面，我們來分析一下市場上主流的IPS生產(chǎn)廠商，看看他們在設(shè)計IPS產(chǎn)品時，是如何有效實現(xiàn)IPS的主動入侵防護功能的。

從安全廠商來看，國外品牌McAfee、ISS、Juniper、Symantec、華為3Com，國內(nèi)品牌如冰峰網(wǎng)絡(luò)、綠盟科技等眾多廠商都有多款百兆和千兆的IPS產(chǎn)品，國產(chǎn)品牌（如冰峰網(wǎng)絡(luò)）的千兆IPS產(chǎn)品的性能相對過去，更是有了長足的發(fā)展，對大流量網(wǎng)絡(luò)的適應(yīng)能力明顯增強。從對這些主流IPS 產(chǎn)品的評測來看，一個穩(wěn)定高效的IPS產(chǎn)品，需要具備以下幾個方面的能力：

檢測機制：由于需要具備主動阻斷能力，檢測準(zhǔn)確程度的高低對于IPS來說十分關(guān)鍵。IPS廠商綜合使用多種檢測機制來提高IPS的檢測準(zhǔn)確性。據(jù)Juniper 的工程師介紹，Juniper產(chǎn)品中使用包括狀態(tài)簽名、協(xié)議異常、后門檢測、流量異常、混合式攻擊檢測在內(nèi)的“多重檢測技術(shù)”，以提高檢測和阻斷的準(zhǔn)確程度。McAfee 公司則在自己的實驗室里加強了對溢出型漏洞的研究和跟蹤，把針對溢出型攻擊的相應(yīng)防范手段推送到IPS 設(shè)備的策略庫中。國內(nèi)品牌冰峰網(wǎng)絡(luò)在IPS設(shè)備中采用了漏洞阻截技術(shù)，通過研究漏洞特征，將其加入到過濾規(guī)則中，IPS就可以發(fā)現(xiàn)符合漏洞特征的所有攻擊流量，在沖擊波及其變種大規(guī)模爆發(fā)時，直接將其阻斷，從而贏得打補丁的關(guān)鍵時間。

弱點分析：IPS產(chǎn)品的發(fā)展前景取決于攻擊阻截功能的完善。引入弱點分析技術(shù)是IPS完善攻擊阻截能力的更要依據(jù)，IPS廠商通過分析系統(tǒng)漏洞、收集和分析攻擊代碼或蠕蟲代碼、描述攻擊特征或缺陷特征，使IPS 能夠主動保護脆弱系統(tǒng)。由于軟件漏洞是不法分子的主要攻擊目標(biāo)，所以幾乎所有IPS廠商都在加強系統(tǒng)脆弱性的研究。ISS、賽門鐵克分別設(shè)立了漏洞分析機構(gòu)。McAfee也于日前收購了從事漏洞研究的 Foundstone公司，致力于把漏洞分析技術(shù)與入侵防護技術(shù)結(jié)合起來，Juniper設(shè)有一個專門的安全小組，密切關(guān)注新的系統(tǒng)弱點和蠕蟲，國內(nèi)的IPS廠商，如綠盟科技、冰峰網(wǎng)絡(luò)等，雖然沒有自己獨立的弱點分析機構(gòu)，但也在嚴(yán)密關(guān)注相關(guān)權(quán)威機構(gòu)發(fā)布的弱點分析報告，及時更新過濾機制。

應(yīng)用環(huán)境：IPS 的檢測準(zhǔn)確率還依賴于應(yīng)用環(huán)境。一些流量對于某些用戶來說可能是惡意的，而對于另外的用戶來說就是正常流量，這就需要IPS能夠針對用戶的特定需求提供靈活而容易使用的策略調(diào)優(yōu)手段，以提高檢測準(zhǔn)確率。McAfee、Juniper、ISS、冰峰網(wǎng)絡(luò)等公司同時都在IPS中提供了調(diào)優(yōu)機制，使IPS通過自學(xué)習(xí)提高檢測的準(zhǔn)確性。

全面兼容：所有的用戶都希望用相對少的投入，建設(shè)一個最安全、最易管理的網(wǎng)絡(luò)環(huán)境。IPS如若需達到全面防護工作，則還要把其它網(wǎng)絡(luò)管理功能集成起來，如網(wǎng)絡(luò)管理、負(fù)載均衡、日志管理等，各自分工，但緊密協(xié)作。

責(zé)任編輯 趙毅 zhaoyi#51cto.com TEL:（010）68476636-8001