探索中国CIO人才现状 | 第四季调研报告
网络入侵防御系统全解
2015-11-24  来源:techtarget

网络入侵防御系统监控和分析企业的网络流量来发现恶意活动,并通过切断和/或阻止相关网络连接来拦截这些活动。多年来,IPS一直被用在核心网络位置,例如非常靠近防火墙来发现其他安全技术无法检测到的各种基于网络的攻击。

网络入侵防御系统的前身被称为入侵检测系统(IDS),它提供与IPS相同类型的功能,区别在于IDS不能阻止恶意活动。大多数早期网络入侵防御系统采用基于签名的检测技术,这些技术可根据特定蠕虫病毒特有的字节序列,发现来自该蠕虫的通信。网络入侵防御系统则开始利用各种更为先进的检测技术,它们可以理解应用协议和通信的复杂性,从而检测基于应用的攻击,以及在其他网络堆栈层的攻击。

现在有很多网络入侵防御系统产品,它们主要有三种形式,而本文重点介绍的作为专用硬件和软件产品的IPS,这种IPS直接部署到企业的网络,以及虚拟设备以部署到服务器内虚拟网络。

网络入侵防御系统的架构

在入侵防御系统部署的核心是一个或多个传感器,每个传感器被战略定位以监控特定网络段的流量。在过去,企业为每个网络段部署传感器,但现在单个传感器就可同步监控多个网络段。为了监控关键网络段,IPS传感器通常部署在有着不同安全政策的网络,例如互联网连接点,或者内部用户网络连接到内部服务器网络的位置。

除了硬件设备传感器,有些供应商还提供虚拟设备传感器,它们具有与硬件设备传感器相同的监控和分析功能,但虚拟设备主要用于部署在运行虚拟机的服务器内,以监控这些虚拟机之间的虚拟网络。在这种架构中,服务器中虚拟设备很有必要,因为虚拟机之间的网络流量将不会传输到服务器之外。

IPS架构的另一个重要方面是管理。网络入侵防御系统供应商通常提供集中管理控制台,该控制台可用于监控配置,并可维护所有IPS传感器—无论是硬件还是虚拟。很多企业还选择将其IPS产品配置为:让来自IPS传感器的数据可以复制到安全信息和事件管理产品或其他企业安全控制,用于进一步分析以及事故处理。这通常不再需要专用数据库或为IPS日志提供长期存储的其他方法。

IPS架构面对的最大问题是使用加密来保护网络流量。这种安全做法可以保护网络流量的内容,让IPS传感器不能进行分析,因此不能检测加密流量内的攻击。企业越来越多地部署IPS设备来发现网络中流量没有加密的地方,例如在虚拟专用网络服务器解密传入流量后。

网络入侵防御系统的典型环境

网络入侵防御系统几乎可用于所有环境,因为它们可以检测并阻止其他安全控制无法检测的某些类型的攻击。例如,大多数IPS可以解译和分析数百(甚至数千)应用协议;这使它们可以检测除电子邮件和Web流量之外的基于应用的攻击,电子邮件和Web流量是其他安全控件最经常会涵盖的应用。

然而,本文中探讨的入侵防御产品(专用硬件和软件)最适合中型和大型企业。这是因为与其他IPS形式相比,专有IPS硬件和软件成本更高,并且,通过专有硬件和软件可实现更高的性能和负载分离。

而在小型企业,专有IPS硬件和软件的低部署率的主要原因是:下一代防火墙(NGFW)等其他企业安全技术中有可用的IPS模块。企业通常只要支付更低的采购和部署成本就使用这些模块,因为不需要额外的硬件;长期管理和维护也更加便宜,同时,IPS可作为NGFW的一部分来管理。如果小型企业有充足的资源,当然也可以选择专有IPS产品,以获得更高的性能、冗余性等。小型企业也越来越多地部署基于云的IPS服务,这可能可以代表企业来进行IPS监控和管理。

使用、部署和管理IPSes的成本

虽然硬件设备和虚拟设备入侵防御系统产品有着几乎相同的功能,但在使用和部署的成本方面则存在显著区别。

基于硬件设备的入侵防御产品的部署成本通常非常高大多数,因为企业需要大量传感器设备来监控外围和内部网络的关键点,并且,每个设备可能都非常昂贵。但实际IPS部署成本并没有那么高,只是企业可能需要中断网络来物理地将IPS传感器插入到流量,以及重新配置网络基础设施来使用它们。

与硬件设备相比,虚拟设备可显著降低使用和部署成本。由于不需要硬件,使用和部署成本相对较低,只需要软件许可证以及安装软件到使用虚拟化技术的服务器。

在IPS管理方面,IPS技术已经被设计为尽可能地自动化,但企业可能仍需要投入大量资源来定制和优化每个IPS传感器。IPS技术依靠各种检测技术,然而,并非所有这些技术都万无一失。众所周知,IPS误报率非常高(即良性活动被IPS错误判定为恶性)。近年来,这方面已经明显好转,但仍然会发生,所以IPS管理员必须警惕审查IPS警报,并调试检测功能以尽量减少误报率。如果企业在使用IPS的防御功能,这一点尤其重要,因为误报率可能会导致良性流量被阻止。

管理网络入侵防御系统

网络入侵防御产品的目的是发现和阻止企业网络中的恶意活动。IPS主要有三种形式,本文中重点专注于其中一种形式:通过专有硬件和软件而不是硬件设备或虚拟设备提供的IPS。这两种类型的设备平台的功能几乎相同,但在架构和部署成本方面,这两者显著不同。此外,虽然入侵防御产品几乎有利于所有企业,但通过硬件或虚拟设备提供的IPS主要部署在中型和大型企业。小型企业则通常通过NGFW中的模块或者基于云的IPS服务来获取IPS功能。

在考虑使用基于硬件设备的IPS产品时,企业应该仔细评估部署特别是管理的潜在成本。尽管现在IPS供应商的技术已经高度自动化,企业仍然需要投入相当大的精力来监控和调查IPS警报、调试IPS检测功能以及确保IPS在寻找最新的威胁。总之,企业投入更多精力来管理其IPS传感器,将会从中获得更多的价值。