扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:赛迪网 2008年4月14日
关键字:
在本页阅读全文(共3页)
不管人们对入侵防御系统(IPS)信还是不信,反正在国际上,IPS厂商在不断改进IPS产品,而顾客也在不断购买它。
“别去买入侵检测系统(IDS)!”Gartner的分析家在2002年8月的一项研究评论中这样向用户建议。这位分析家特别指出: “IDS未能提供另一层安全,反而还会给公司的安全操作增添麻烦。”他建议公司应该考虑选择入侵防御系统(IPS)。这项研究评论提到了2002年安全市场上讨论得沸沸扬扬的一个问题:既然可以阻断攻击,干嘛只是检测呢?
传统的IDS只能在旁路上通过探测经过交换端口的数据包,以被动方式监控数据流量;而IPS则能够实时阻断攻击,它不是旁路安装而是在线安装,因此能主动截获并转发数据包。借助于在线方式,IPS可根据设定的策略丢弃数据包或拒绝连接。传统IDS的响应机制非常有限,比如只能做到对TCP连接复位或者请求更改防火墙规则等。
但是,IPS产品只是IDS的逐步演进呢还是两者全然不同?这要看你在问哪家厂商,它们又在销售什么产品。
“Gartner认为,IPS是下一代IDS,IPS可能会成为下一代防火墙。”IDS厂商Sourcefire的创办人马蒂·罗施说。罗施编写了著名的Snort IDS软件,这种基于规则的开放源代码程序可用于编写检测特征。罗施坚持认为,IDS和IPS是两种互不相同的技术。“IPS侧重访问控制,IDS侧重网络监控。IPS注重实施策略,IDS注重安全审查。IDS的职责不是保护网络,而是告诉你网络的安全状况。”
但这番话在更广泛的安全市场得不到认同。Infonetics调研公司的执行主任杰夫·威尔逊说:“普通人并不想仅仅监控流量、检查数据,或者根据已检测到的攻击更改规则或策略,而是想阻止攻击。”
其他老牌IDS厂商已发觉了市场的这种观点。克里斯·克劳斯是IDS主要厂商ISS的CTO兼创办人之一。他说:“我们在迅速开发具有防御而不仅仅是检测功能的产品。”克劳斯强调,这一概念涵盖防御和检测两项技术,为此,ISS利用在线狙击攻击的基于网络和主机的IPS技术,增强了其旗舰产品RealSecure IDS的功能。
这个产品系列的佼佼者是RealSecure Guard,这是ISS在2001年收购NetworkICE公司而获得的软件IPS。只要装到服务器上,Guard就直接在线安装在某网段上,它依赖协议异常检测来发现漏洞,并在攻击到达目的主机之前实时丢弃策略。
IDS市场的第二大厂商思科称,目前,“防御”更多的只是一种营销策略,而不是实际产品。但这仅仅是因为该公司还没有推出自己的IPS产品。“我们的设想是,一旦解决了IDS的准确性问题,就能提供防御功能。”思科的安全设备经理约耳·麦克法兰说。
宣传检测防御产品最积极的厂商还有IntruVert和Tipping Point科技两家新兴的公司,防火墙重量级厂商NetScreen科技公司反倒紧随其后。三家公司都推出了硬件设备,希望能够取代传统的被动型IDS。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。