在頻繁的網(wǎng)絡(luò)入侵今天，防范的最好的辦法就是綜合使用防火墻、IDS和IPS。

　　傳統(tǒng)的狀態(tài)檢測(cè)防火墻作為第一道防線(xiàn)，能夠防止網(wǎng)絡(luò)層攻擊，卻無(wú)法防范蠕蟲(chóng)等針對(duì)應(yīng)用層的攻擊(這些攻擊都利用了80和443等開(kāi)放端口)。入侵檢測(cè)系統(tǒng)使用傳感器，傳感器被動(dòng)地安裝在網(wǎng)絡(luò)上，用來(lái)監(jiān)測(cè)網(wǎng)絡(luò)通信，尋找任何惡意訪(fǎng)問(wèn)跡象。傳感器能夠發(fā)現(xiàn)針對(duì)應(yīng)用層的攻擊，卻不能阻止這些攻擊，當(dāng)網(wǎng)管員接到IDS的報(bào)警信息并采取相應(yīng)措施時(shí)，經(jīng)常為時(shí)已晚。

　　IDS的困擾

　　IDS會(huì)帶來(lái)大量的錯(cuò)誤報(bào)警。一些用戶(hù)認(rèn)為，IDS經(jīng)常不斷發(fā)報(bào)警信息，結(jié)果大部分是誤報(bào)，而且報(bào)警信息不合乎邏輯，處理IDS的報(bào)警信息是一個(gè)讓人頭痛的問(wèn)題，通常用戶(hù)需要花費(fèi)20個(gè)小時(shí)去調(diào)查分析兩個(gè)小時(shí)的報(bào)警信息。一些網(wǎng)管員抱怨說(shuō)，“我每天都花大量時(shí)間查看IDS記錄，邊吃午飯邊查看，就連逢年過(guò)節(jié)也不例外，那些IDS記錄簡(jiǎn)直就成了我每天必看的紅寶書(shū)�！�

　　對(duì)于存在缺陷的IDS，Gartner建議用戶(hù)使用IPS(入侵預(yù)防系統(tǒng))代替?zhèn)鹘y(tǒng)的IDS。ISS、NetScreen、NAI、TippingPoint、StillSecure以及Top Layer等公司都能提供IPS設(shè)備。與進(jìn)行簡(jiǎn)單監(jiān)控并發(fā)出報(bào)警的IDS所不同的是，IPS只需保持在線(xiàn)就可以阻止攻擊。Entercept(如今是NAI公司的一部分)以及Okena(如今是Cisco公司的一部分)等公司基于主機(jī)的IPS軟件，可以直接部署在應(yīng)用服務(wù)器上，攔截系統(tǒng)調(diào)用，監(jiān)控對(duì)關(guān)鍵系統(tǒng)文件的修改、文件允許權(quán)限的變更以及其他攻擊跡象。

　　IDS真如Gartner所說(shuō)的那樣壽終正寢了嗎?IPS能隨時(shí)取代IDS嗎?大多數(shù)分析家以及IDS廠商，甚至IPS廠商并不這么認(rèn)為。起碼到目前為止，大家認(rèn)為IDS在安全審計(jì)和事后追蹤方面仍然無(wú)法替代。實(shí)際上，IDS和IPS 使用相同的檢測(cè)技術(shù)，兩者都會(huì)受到檢測(cè)準(zhǔn)確性的困擾。由于擔(dān)心IPS的錯(cuò)誤判斷有可能影響正常的網(wǎng)絡(luò)服務(wù)，大多數(shù)用戶(hù)將IPS以IDS(僅用于監(jiān)控)模式接入到企業(yè)網(wǎng)絡(luò)中。

　　IDS攜手IPS 9

　　IDS和IPS廠商在自動(dòng)化配置和智能分析方面正在做出更多嘗試。例如，TippingPoint公司的UnityOne可以在數(shù)分鐘內(nèi)配置好。包括Cisco、Symantec和ISS在內(nèi)的IDS廠商也能夠提供系統(tǒng)審計(jì)功能，以去除不相關(guān)的報(bào)警信息。

　　與IDS產(chǎn)品相比，IPS設(shè)備價(jià)格昂貴。IPS在保護(hù)外圍、DMZ區(qū)以及一個(gè)或兩個(gè)關(guān)鍵性的子網(wǎng)方面很有用處，但是在一個(gè)擁有400個(gè)子網(wǎng)的大型網(wǎng)絡(luò)里，用戶(hù)也許就沒(méi)有經(jīng)濟(jì)實(shí)力為所有子網(wǎng)都部署IPS了。

　　事實(shí)上，IPS與IDS配合使用可以各取所長(zhǎng)。IPS在阻止蠕蟲(chóng)病毒等針對(duì)應(yīng)用層攻擊的同時(shí)，還可以減少內(nèi)部IDS生成的報(bào)警數(shù)量，使用戶(hù)安心地使用IDS監(jiān)控子網(wǎng)以及完善企業(yè)安全戰(zhàn)略。例如，一位用戶(hù)使用Top Layer的Attack Mitigator IPS來(lái)保護(hù)網(wǎng)關(guān)和數(shù)據(jù)中心，通過(guò)打開(kāi)每一個(gè)過(guò)濾程序以確信不會(huì)封鎖任何合法的商業(yè)流程。Attack Mitigator IPS被部署在防火墻之外以阻擋DoS攻擊，同時(shí)這位用戶(hù)在網(wǎng)絡(luò)內(nèi)部使用IDS進(jìn)行監(jiān)控，并不需要花費(fèi)太多時(shí)間去查看IDS記錄。無(wú)獨(dú)有偶，另一位用戶(hù)在網(wǎng)絡(luò)外圍使用TippingPoint UnityOne IPS設(shè)備，并在網(wǎng)絡(luò)內(nèi)部大量使用基于行為檢測(cè)技術(shù)的StealthWatch IDS以取代原來(lái)的Snort IDS設(shè)備。在IPS的阻斷作用下，IDS報(bào)警信息的數(shù)量減少了99%，以前這位用戶(hù)需要把整天時(shí)間用來(lái)查看IDS記錄，現(xiàn)在卻不用這樣做了。

　　小結(jié)

　　除IPS之外，另一種專(zhuān)門(mén)用來(lái)保護(hù)Web服務(wù)器和DMZ應(yīng)用的技術(shù)是Web應(yīng)用防火墻，這類(lèi)產(chǎn)品主要是阻止Web應(yīng)用盜用，尤其是防止被防火墻和IPS遺漏的Web應(yīng)用盜用攻擊。此外，基于主機(jī)的入侵防御軟件還可以為Web應(yīng)用以及內(nèi)部關(guān)鍵服務(wù)器提供額外保護(hù)。Check Point和NetScreen在防火墻產(chǎn)品中增加了深層檢測(cè)功能，與依靠硬件實(shí)現(xiàn)深層檢測(cè)功能的IPS和Web應(yīng)用防火墻所不同的是，Check Point和NetScreen應(yīng)用防火墻是基于軟件來(lái)實(shí)現(xiàn)的。

　　面對(duì)當(dāng)前的安全挑戰(zhàn)，大多數(shù)分析家和廠商一致認(rèn)為:層層設(shè)防，讓防火墻、IPS和IDS各自發(fā)揮優(yōu)勢(shì)，是當(dāng)前保護(hù)企業(yè)網(wǎng)絡(luò)的最佳手段。

　　希望這篇文章能夠讓廣大讀者重新認(rèn)識(shí)IDS，利用它們之間的共同配合防范網(wǎng)絡(luò)入侵行為。

　　轉(zhuǎn)載請(qǐng)注明來(lái)源：賽斯維傳感器網(wǎng)（ywhs9.com）