從大量國(guó)內(nèi)外應(yīng)用案例分析,筆者認(rèn)為國(guó)內(nèi)用戶在部署IPS的時(shí)候,最好采取分階段、分層次的做法,這樣可以獲得最大的經(jīng)濟(jì)效益。
第一階段,用戶可以把IPS當(dāng)作一個(gè)傳統(tǒng)的IDS使用。畢竟是新設(shè)備,從穩(wěn)定性、處理能力和網(wǎng)絡(luò)狀態(tài)方面考慮,建議首先將IPS設(shè)備并聯(lián)接入。
第二階段,運(yùn)行一到兩周以后,如果用戶覺(jué)得使用上沒(méi)有問(wèn)題了,再進(jìn)行串聯(lián)接入,但是不要做任何數(shù)據(jù)的阻斷。這樣運(yùn)行一段時(shí)間后,如果IPS性能和檢測(cè)能力沒(méi)有問(wèn)題,用戶就可以知道自己網(wǎng)絡(luò)中經(jīng)常會(huì)發(fā)生什么事情了。
第三階段,在此基礎(chǔ)上,實(shí)施IPS阻斷策略,根據(jù)前兩階段的分析,用戶可以對(duì)感興趣的攻擊進(jìn)行阻斷,從而實(shí)現(xiàn)安全防御。
需要注意的是,從設(shè)備本身部署過(guò)程上劃分,這三個(gè)階段并非獨(dú)立,而是混合的。
比如企業(yè)購(gòu)買一臺(tái)擁有多個(gè)端口的Hi-End級(jí)IPS,網(wǎng)絡(luò)管理員可以在設(shè)備某一組端口上做in line,用來(lái)管理某一組鏈路,而在另外一些端口做scan或者其他串聯(lián)等應(yīng)用,所有的模式混合在一起工作。
特別是一些既有100Mbps端口,又有1000Mbps端口的IPS設(shè)備,接入到網(wǎng)絡(luò)以后,用戶可以用1000Mbps做in line阻斷,用100Mbps連接一些新建的網(wǎng)絡(luò)或者服務(wù)器群做scan,檢測(cè)是否有問(wèn)題。
另外,在一個(gè)IPS端口之下,還可以進(jìn)一步劃分VIPS,每個(gè)虛擬IPS中的策略也可以獨(dú)立配置,這對(duì)于國(guó)內(nèi)很多的IDC用戶非常有幫助,可以實(shí)現(xiàn)逐層對(duì)不同網(wǎng)段設(shè)置block,對(duì)收費(fèi)用戶實(shí)施安全LAN控制,對(duì)免費(fèi)用戶的LAN就不用做保護(hù)。
所以說(shuō),分階段、分層次部署IPS,將會(huì)大大提升IPS的使用效益。