如何选购一款优秀的网络入侵防护系统

　　“我现在再也不需要担心突如其来的黑客攻击，或是网络蠕虫爆发事件了，这曾经是我们最头疼的两类问题，经常导致企业网络拥塞，生产业务服务中断，不但承受着来自其他部门的压力，作为企业的网络管理员，自己也觉得没有尽到责任。绿盟网络入侵防护系统的引入，确实帮了很大的忙。现在我们的网络与办公环境又重新变得干净、高效。不仅得到了领导和其他部门的认可，自己的工作也轻松了很多。”某大型制造企业的网络管理员小李如是说。

初次接触，惊喜大过意外

　　小李第一次“近距离接触”网络入侵防护系统(以下简称NIPS)还是在半年前的一次“国际信息安全高峰论坛暨展览会”上，绿盟科技安全顾问的宣讲让他对这类产品及市场的发展有了一个较为完整的认识。

　　早期，NIPS的推广都离不开国外知名安全厂商的推波助澜，受市场需求的驱动，这些厂商大举推广“入侵防护化”概念，通过自主研发或资本并购等方式，纷纷进入了入侵防护市场，此类案例不胜枚举。回顾国内市场，直到2005年，绿盟科技推出国内首家拥有完全自主知识产权的绿盟网络入侵防护系统(以下简称NSFOCUS NIPS)，才算是填补了主流安全厂商国产NIPS的空白。

　　随着入侵检测和入侵防护两个市场格局的逐渐明朗，国内入侵防护硬件市场需求快速膨胀，一举跃为增长速度最快的安全类子市场，用户也慢慢接受了这一类技术和产品，在最近的2年内，国内NIPS产品如雨后春笋般地不断涌现，这预示着国内入侵防护硬件市场即将迈入下一个新的高峰。

　　任何一种新产品的出现都离不开两个决定性因素：市场需求的累积和技术发展的演变，NIPS亦是如此。传统边界型防火墙受制于管理员的风险管理意识和能动性，往往难以处理动态演变中的风险、数据驱动型攻击和未知隐患，入侵检测系统则只能检测恶意和非法的网络流量，却不能做进一步的主动式拦截，而NIPS在线部署，不但可以早一步检测到黑客攻击，而且还可以直接将有害的流量阻挡于网络之外。

　　“主动式入侵防御，第一时间阻断攻击流量，保障企业关键应用不中断正常运转!”这不正是我们一直寻求的入侵防御解决方案吗?小李一拍大腿，就是它了!

超越期望，赢得满堂喝彩

　　小李所在的大型制造企业花了很长时间才构筑了一个相对完整的基础信息平台，防火墙、入侵检测系统也已经融入了企业的网络架构，但仍遭受了多次网络蠕虫侵袭和几次疑似拒绝服务攻击，企业的Web服务器也曾长时间无法对外提供正常服务。信息资产遭受损坏，客户抱怨增加，生产效率下降，这些都是不能容忍的，尤其近年来针对应用系统的安全攻击事件越演越烈，信息管理部王经理和小李都面临沉重的运维负担，NSFOCUS NIPS正是在这种情况下被引入到了企业的网络之中。

　　NSFOCUS NIPS提供一种动态的风险识别与控制能力，当作用于企业网络边界流量汇聚点时，可以同时分析网络上下游的深层威胁，诸如木马、挂马和间谍软件等并进行实时告警和阻断，杜绝了业务数据的失泄密风险。在履行传统边界防护职责的同时，NSFOCUSNIPS更加专注于对数据流量的深度检测和对数据驱动型攻击的敏感识别，从而最大限度地杜绝诸如蠕虫、SQL注入、拒绝服务攻击等高级入侵手段。

　　NSFOCUS NIPS上线后的这段时间里，小李最大的感触是：投诉和救急电话少了，企业的核心生产服务器再也没有出现运行中断的故障!当然企业中也有少许抱怨的声音，P2P下载速度较以前慢了很多，在线视频无法正常观看了，网络游戏也没法玩了。小李得意地暗自偷笑，“早该这样了，以前更多的员工抱怨网页无法正常浏览，ERP服务器访问速度过慢，原来是这些垃圾流量在吞噬企业宝贵的带宽。”

　　小李有了闲暇之心，他决定将自己积累的NIPS使用心得向身边的人推广，让大家和他一样，成为企业最得力的安全管理员。

如何选择，实践出真知

　　当谈到如何选择适合企业自身特点的NIPS时，王经理和小李有着不同的感悟。“因为是网关设备，NIPS上线后，不能成为企业网络的瓶颈，系统必须具备极佳的处理性能。”王经理首先提出了一个大家都非常关注的问题，“卓越的处理性能表示NIPS不仅能够完全适应多千兆网络环境，还应该提供很强的协议分析、处理能力，准确识别并阻断包括黑客攻击在内的各种异常网络流量，同时保证不会对合法流量进行拦截，丝毫不影响网络性能。”

　　小李很快接下了话题，攻击检测能力也是NIPS的核心。作为在线设备，一旦出现误报或漏报，必然会影响企业正常业务，因此精确的检测能力无疑是评判NIPS优劣的一个重要指标，也就是说，系统具备很低的漏报率(漏过真正的攻击事件，没有及时给与报警)和误报率(把正常的网络活动评定为攻击)，能够准确识别正常网络流量和异常攻击流量，迅速定位安全风险，并给与最佳解决方案，而不必担心系统产生的误报影响企业正常业务运转，或是真正的攻击行为穿透系统进入企业内网。

　　除了处理性能和攻击检测能力这两个关键评判指标外，小李又提出了另外两个他所关心的问题：部署和管理的易用性。

　　“我们企业花了很长时间才建立起现在这套基础信息平台，所以我们在后续部署安全产品时，希望能够不影响现有的网络拓扑，例如能够以透明桥接方式迅速接入企业网络。当然一款优秀的NIPS还应该支持包括路由、NAT在内的多种部署方式，以适应可能发生变更的网络环境。”

　　缓了缓，小李接着说，“无论是防火墙，还是NIPS，我希望它们都是能够协助企业控制安全风险的利刃，而不是高不可攀的高科技产品。产品的管理和配置界面一定简洁且结构化，操作能够轻松上手，能够极大降低管理员的工作强度和维护开销。”

　　“每个企业都有自己的信息化战略目标。”王经理接过话题，“不管是通过管理制度，还是技术手段，我们希望企业的每个员工能够更好地执行企业颁布的安全策略，规范自己的上网行为，通过节省网络带宽和保护企业关键业务应用，不断提升IT产出率和收益率!另外，虽然企业会逐年增加信息安全建设方面的投资，但我们希望采购的产品具备可扩展的防护能力，避免面对同样或相似的安全需求，出现反复投资的情况。”

　　小李最后罗列了几点评判指标，他认为一款优秀的NIPS，应该至少具备以下几方面的特性：

　　1、 满足高性能要求，提供强大的应用分析和处理能力，保证正常网络通信的质量;

　　2、 准确识别各种网络流量，具备较低的漏报和误报率，避免影响正常的业务通讯;

　　3、 能够实时检测和阻断各类攻击，具备丰富的访问控制能力，在任何未授权活动开始前发现攻击，避免或减缓攻击可能给企业带来的损失;

　　4、 全面、精细的流量控制和用户上网行为监管功能，节省企业宝贵的网络带宽资源，确保关键业务持续稳定运转;

　　5、 具备丰富的高可用性，提供硬件、软件等多个层面的可靠性保障措施;

　　6、 可扩展的多链路IPS防护能力，避免不必要的重复安全投资;

　　7、 提供灵活的部署方式，支持在线模式，第一时间把攻击阻断在企业网络之外，同时也支持旁路模式部署，用于攻击检测，适合不同层面的用户需要。

总 结

　　随着企业信息化需求程度的提高，业务逻辑和流程体系对于信息系统的依赖程度不断增加，信息安全的盲点和隐患日渐凸现，信息损失的代价也愈加昂贵，尤其以导致价值流失风险的“入侵威胁”受到了普遍关注。

　　当信息安全保障从一种辅助措施转化为IT建设难以规避的基础策略，动态响应式的信息安全防护理论应运而生。NIPS实现最大程度识别信息资产面临的威胁隐患，规避已知和未知安全事件，消除或转移风险触发的条件和几率，已经成为企业建立一个安全、高效、可靠的业务运作环境的最佳选择。