目前,对企业提供的网络安全解决方案中,以FW+IDS+AV为主流选择。AV、FW在第一期的安全建设中,是必须的。各企业根据实际情况选择IDS。但随着网络环境日益恶化,这些产品终究一个不少的成为企业网络的必需品。
一些企业选择IDS,会面对着高昂的价格和IDS无法克服的几个弱点而拿不定主意。以下将简单的分析一下NIDS的存在的问题。
1、接入方式
因为是旁路方式接入,注定了只能做一个旁观者,即使能够收集到所有的数据,并加以分析,但却不能主动的去阻断(即使阻断,也只是针对tcp连接发reset包)。很多IDS产品提到了跟防火墙的互动,相互之间预留了接口,但是互动的信息有限,起到的实际作用也不大(这也和防火墙、IDS分属不同的厂家生产有关),因此,在应用中用到互动的很少。
2、交换机的负荷
在部署NIDS的时候,必须设置交换机的镜像端口,才能截获数据。这在信息量小,交换机性能好的前提下,才可能实现不丢包,也不影响交换机的工作。但是如果碰到数据量大(比如蠕虫病毒泛滥),如果把其中多个端口的数据镜像到一个端口上,数据的叠加超出交换机每端口最大承受的负载,将会引起严重的丢包,同时大量的数据会使IDS险入瘫痪。
3、日志过大,警报过多
因为截取所有的数据,因此重要的数据夹杂在过多的一般性数据中,使得要找到真正的攻击行为比较困难,特别是对于工作繁忙的管理员来说,无疑是巨大的挑战。
改变接入方式,采用串联接入,变被动为主动,既发挥强大的检测优势,又能实时阻断有害的数据,当然是不错的选择。但因为NIDS因处理数据多,系统不稳定,一旦碰到大的数据流,会造成整个网络的中断,因此,一直没有相关的产品运用。
但随着硬件技术的反展,对数据处理能力的提高,这种接入方式变的可行。因其可主动防御,所以又有别于IDS,我们姑且称之为IPS。
IPS的优点如下:
(1)串联接入网络,可实时检测并阻断有害数据
(2)因其不依靠交换机供给数据,因此减小了交换机的压力
(3)只检测主干道上的数据是,内部流量不用处理,减小了系统的压力
(4)实现实时升级,策略优化,管理简单
当然,部署IPS也带来了相应的问题,IPS只能检测到经过它的数据,那么对于检测不到的内部机器之间的访问,从而又造成了新的盲点。这时对于因部署NIDS而落寞的HIDS大显身手了。它可以部署在内部关键主机上,有针对性的保护对这些机器的访问。其他大多数安全级别不高的机器有防病毒软件、防火墙及IPS的保护一样可以放心的工作,即使其中某些机器发身问题,通过网络中的安全设备,可以追踪到此点。但对于关键主机因有HIDS还可以实现事件的回放。因此,整个网络能达到同样安全级别的条件下实现了优化。
IPS与NIDS绝不仅仅是接入方式的区别。串联接入网络,需要具备以下能力:
(1)在任何情况下不能中断网络
(2)不能造成网络通讯的延迟,要有很高的数据处理能力
就此两点,硬件技术积累不足的厂商就不敢冒风险尝试用IPS取代NIDS。因此IPS在前两年虽然炒的火热,但最终还没有形成主流。但随着硬件技术的发展,必将会导致IPS的霸主地位,而且IPS将会集成越来越多的功能,变成一道终极关隘。将会是未来网关处集大成者。取代NIDS是迟早的问题。
总结IPS+HIDS的优点如下:
(1)实时检测并主动阻断
(2)对数据进行分级,对重点地段和数据实现保护
(3)部署灵活,维护简单,可升级性强
国内的安全行业,许多厂商是依靠防火墙打拼的,IPS想在行业中得到应用,必须依靠这些厂家,依靠防火墙才能得到广泛应用。因此我们目前应该从现在安全行业中比较普遍的解决方案中找到弱点,帮他们优化自己的方案,才能推动我们产品的应用。
FW+IPS+HIDS+AV取代FW+NIDS+AV对安全厂商、系统集成商和客户都更有说服力。
