拨云荡雾优中选优 天融信支招如何选购IPS设备

ZDNET安全频道 04月25日 综合消息：  当今网络威胁日益严峻，各种新型的入侵攻击猖獗不穷，比如4月8日爆出的OpenSSL漏洞，一度给互联网用户带来了恐慌。面对这种突发的漏洞，用户该采取哪些措施，如何防范呢？这就不得不提到IPS（Intrusion Prevention System）入侵防御系统。IPS是一部工作于OSI应用层的防护设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络入侵攻击行为。作为防火墙在网络应用层上的强力补充，越来越被用户和网络管理者看重，并且扮演着越发重要的角色。

然而，面对纷繁复杂的网络环境部署、规模不同的等级保护要求、不尽相同的定制需求等，如何选购一台合适的IPS设备，才能发挥其最大的价值和作用。下面笔者就选出客户最关心的几个要素进行简单的阐述，希望能够给正在选购IPS设备的读者一些建议。

性能：无论是基础网络中交换机、路由器，还是安全防护设备诸如防火墙、IPS等，似乎客户首先要关注的都是性能。不错，因为性能是反应设备能力大小最直观的指标，同时也是是否满足部署要求最直接的判断标准。

IPS设备提供应用层的保护，更注重的应该是应用层性能（当然我们是在二三层转发能力远远大于应用吞吐的前提下所说的），诸如HTTP、FTP、SMTP等真实的业务性能。另外设备HTTP会话新建、HTTP并发数量、HTTP吞吐量、以及一些典型的混合应用场景的性能指标等，这些都有可能成为制约着网络资源分配、用户上网体验、服务器质量的性能瓶颈，一定程度上影响着应用业务间的高效互通。

在选购IPS设备时，可以按照不同的性能需求进行参考，首要原则即是吞吐量一定要大于现实网络中的最大带宽，否则一旦成为性能瓶颈点，鉴于IPS串连接入的特点，就会对整个网络造成影响。另外因为厂商一般给出的性能值的由其内部测试得到，不可避免的存在流量单一的缺陷性，所以在选购时要考虑到现实环境中大量应用的现状，有时厂家宣称的性能只能满足其五分之一甚至更少的现网环境中。

检测率：如果说设备的性能是衡量IPS设备的硬性条件，那么设备的检测率即为衡量其能力的软条件。检测率的概念为设备对于网络公开漏洞检测的阻断数占攻击总数的比例。此项指标衡量的设备对于漏洞检测覆盖的能力，目前很多测试仪表厂商都在这一方面做着研究和推进，其中BPS（Breaking Point）公司的security攻击测试组件相对较为完善，也是业界比较主流的测试检测率的方法。

对于检测率指标影响较明显的是设备的攻击特征库质量，一个好的特征库是IPS高效运作的必要条件，并且IPS设备厂商要提供定期的特征库更新，以满足新的攻击防护需求，这在主流的安全厂商中应该都是必须支持的服务。另外提到检测率，我们提出了一个全新的概念为满检速率和满负荷检测率，作为性能指标的一个补充。满检速率定义为在能够全部检测已知攻击的情况下设备最大的吞吐量，它主要考察的是设备能够正常检测攻击情况下的真实吞吐能力，而满负荷检测率则是衡量设备最大吞吐负荷下的攻击检测能力，两个指标互为补充能够真实反应设备的处理性能。细数国内安全厂商中，目前只有天融信以“满检测率”来评价产品性能。