转自:http://www.ithome.com.tw/node/79293

企業中網路環境的防護,通常都是先有防火牆,再搭配IPS。但是,實際上買得起IPS防護的企業有限,這是因為IPS的價格很昂貴,動輒百萬元起跳,而這金額可能就超越一間中小企業的年度IT預算,所以IPS建置的比例遠遠不如防火牆。

不過,用不起並非代表它不重要,最近網路攻擊事件依然頻傳,像是Facebook、Twitter,甚至連Apple都遭到駭客入侵,而企業若只依靠一般防火牆來防禦,明顯是不足夠的。

防火牆與UTM設備,紛紛開始提供IPS功能

隨著網路應用的變化,讓資安產品對於應用層流量辨識的需求越來越大。而在環境的推波助瀾下,促使不少資安廠商,紛紛投入對於應用層識別能力的開發,也讓該功能普及度提高。

在眾多產品中,目前次世代IPS最大的競爭對手為防火牆和UTM。因為這2種產品,除了具備應用層識別和控管能力外,它們也開始提供原先在IPS上才具備的防禦功能,像是DoS/DDoS防禦。甚至,也有不少產品開始提供IPS的特徵檔弱點阻擋功能。

雖然防火牆和UTM具備IPS功能,但其中只有少數廠商願意自行開發特徵檔外,大多數都與IPS廠商合作,將特徵檔以功能模組的型式整合在設備上。

從入侵防禦功能來看,防火牆和UTM或多或少都有入侵防禦能力,而這也影響IPS在資安防護上所扮演的角色。甚至,由於其他2種產品價格較親民,再加上這些設備原本就具備NAT、路由等網路功能,又能夠控管應用程式的存取。所以認為用防火牆或UTM可取代IPS的想法,也從沒消失過。

三者同樣都具備程式控管能力,但擅長程度仍有差異

應用程式控管是次世代IPS的重點功能之一,但其實次世代防火牆上也強調這點。甚至,在控管應用程式的深度上,並不亞於IPS所提功能控管項目。

以CheckPoint 2200系列來說,它所能控管的應用程式非常多,除了基本的網站、P2P軟體、IM軟體外,它也能控管行動裝置的App。甚至,它們還針對社群網站的應用程式,像是Facebook上的FarmVille等遊戲,額外提供控管項目。

雖然同樣具備應用程式識別能力,但IPS與防火牆或UTM相比,在控管上差異會在哪裡?

HP軟體事業群資訊安全事業部的技術顧問范揚?表示,他認為這3者在應用程式控管上,並沒有明顯誰優誰劣的差異,因為企業若要控管應用程式,會購買專用的設備管理應用程式。

除此之外,防火牆與UTM設備會提供控管功能,是由於網路應用驅使它們具備程式識別能力,進而催生出程式控管,而這些本來就非上述兩類設備擅長的能力。在加上,IPS與防火牆的定位不同,所以不能夠拿來比較。

同樣有DoS防禦力,但唯有IPS在阻擋攻擊時能夠辨識正常流量
在架構上,大多是將防火牆作為第一個閘道端設備,除了過濾大部分網路流量外,還要能夠提供NAT等網路功能。而接在防火牆後方的則是IPS,它主要功能則是將防火牆處理後的流量,透過特徵檔比對阻擋。

雖然防火牆和UTM也開始提供IPS功能,看似能夠取代專屬IPS設備,但在防護功能與效能上,則有著明顯的不同。以功能面來看,相同具備特徵檔辨識阻擋,但IPS所提供的特徵檔數量肯定比防火牆多;而在效能上則更明顯,防火牆與UTM的IPS功能,大多以模組化的方式套用在設備上,掃描流量時的效能,並不像IPS那麼好。

除了效能外,在防護功能上的差異更明顯,由於防火牆的IPS模組,大多是直接使用特徵檔辨識,其缺點與傳統IPS相同,因為特徵檔數量很多,且每間企業的屬性與環境各有不同,若直接使用預設條件偵測時,經常有誤報的情況發生,所以需要IT人員調整。

以DoS/DDoS防護為例,由於IPS和防火牆辨識流量方法的不同,所以阻擋的效果也完全不一樣。

DoS會製造大量Session攻擊服務主機,而防火牆在阻擋DoS時,是藉由每秒連線次數做為判斷標準。通常該功能可以選擇來源和目的連線數,並設定傳輸協定的類型做為條件控管,當超過設定值則阻斷。由於無法判斷連線類型,所以不論正常或惡意連線一律阻擋。

早期的DoS,很多是透過DoS攻擊程式發動。而IPS遇到這類攻擊時,可藉由拆解封包,得知該封包為程式發動的攻擊,進而阻斷。由於能辨識封包,所以當企業遭受DoS攻擊時,使用IPS還能夠保持正常服務。

除了DoS攻擊,進階的封包攻擊還有Botnet,攻擊者藉由控制大量電腦,發出巨量的正常連線。像這類攻擊防火牆也無法辨識,IPS則能藉由IP位址的信譽服務,辨識並阻擋連線,而這些都是防護功能上的差異。

專屬IPS設備依舊無法被取代

IPS對於許多IT人員,一直存有著誤報率過高的疑慮,而當防火牆和UTM設備相繼加入IPS功能後,這個問題也隨之加諸到這些設備上。

不過,在次世代IPS強調的能力中,情境感知是非常重要的功能,它能偵測網路中的弱點,自動調整政策即時防護。當管理者在調整IPS時,除了能快速得知現有服務的漏洞,也能直接添加防護條件,而這是防火牆所無法做到的。

在定位不同而功能看似重複的情形下,防火牆有可能取代IPS嗎?WatchGuard的技術經理林子涵表示,以IPS來說,並非所有企業都需要獨立設備的功能與效能,對於規模較小的使用環境來說,IPS確實會被價格相對便宜的防火牆或UTM取代。但對於中大型企業或特殊產業而言,獨立IPS還是無法用防火牆或UTM取代。

而達友科技副總經理的林皇興也表示,他認為未來5年內,IPS與防火牆仍然是不同的市場。甚至,未來應該有廠商,訴求次世代UTM的誕生。

透過情境感知功能,大幅降低IPS的誤報率
此外,在防火牆開始提供IPS等功能後,專屬資安產品多功能化的趨勢越來越明顯。例如在次世代IPS上,也開始出現網頁程式防火牆(Web Application Firewall,WAF)、APT防護、Botnet防護等其他專屬設備的防護功能。

許多人認為IPS的售價昂貴,但若內建WAF和APT防護功能後,再和這兩種專屬產品的售價比較,IPS又顯得平民許多。也因為這些功能的加入,讓IPS在市場上,也能滿足一些不須使用到專屬WAF防護的企業。

雖然次世代IPS的推出無法達到零誤報率,但它的情境感知功能,大幅降低管理者的操作難度外,也提升企業環境的即時防禦。這讓次世代IPS在售價如此昂貴的情形下,依舊能夠占有一席之地。

IPS的更多相关文章

  1. IDS IPS WAF之安全剖析

    现在市场上的主流网络安全产品可以分为以下几个大类: 1.基础防火墙类,主要是可实现基本包过滤策略的防火墙,这类是有硬件处理.软件处理等,其主要功能实现是限制对IP:port的访问.基本上的实现都是默认 ...

  2. WAF与IPS的区别总结

    谁是最佳选择? Web应用防护无疑是一个热门话题.由于技术的发展成熟和人们对便利性的期望越来越高,Web应用成为主流的业务系统载体.在Web上“安家”的关键业务系统中蕴藏的数据价值引起攻击者的青睐,网 ...

  3. 屏幕实战效果解析:IPS/TFT/AMOLED/SLCD

    现在手机市场上,智能手机种类繁多,手机屏幕材质也是五花八门.对于一般消费者来说,一款手机是否值得购买,除了关心它的硬件参数以外,更重要的一点就是看它的屏幕.除了屏幕尺寸以外,影响着大家对该手机的第一感 ...

  4. 主流屏幕对比:IPS/LTPS/CGS/IGZO/AMOLED

    IPS.LTPS.CGS.IGZO.AMOLED都是什么屏幕又有什么区别?目前的手机屏幕技术实在太多,本文旨在介绍各种面板以及屏幕技术,便于大家更好地进行区分. 近年来手机屏幕技术层出不穷,早在几年前 ...

  5. CentOS ips bonding

    centos ip bonding 一个网卡多个ips,多个网口一个ip 1,配置一个网卡多ips的情况cp /etc/sysconfig/network-scripts/ifcfg-eth0 /et ...

  6. vultr vps新增reserved IPs功能,保留服务器原有IP

    高性价比海外vps品牌vultr vps宣布一项新功能叫“reserved IPs”,顾名思义是帮助你保留服务器IP地址,以备后用. 这个需求是因为用户经常新建.删除一个vps服务器,默认分配的是随机 ...

  7. Suricata 之IPS模式

    IPS 1.Suricata 本身是不具有拦截功能的,想要让它拦截包需要配合 iptables 使用. 首先要确定安装的suricata是否支持IPS模式,如果在安装编译的时候没有启用IPS模式,NF ...

  8. FW/IDS/IPS/WAF等安全设备部署方式及优缺点

    现在市场上的主流网络安全产品可以分为以下几个大类:1.基础防火墙FW/NGFW类 主要是可实现基本包过滤策略的防火墙,这类是有硬件处理.软件处理等,其主要功能实现是限制对IP:port的访问.基本上的 ...

  9. iOS崩溃日志ips文件解析

    iOS崩溃日志ips文件解析  一 简介 测试组的同事在进行稳定性测试时,通常会遇到一些崩溃,然后他们会将这些崩溃日志(一般是ips格式的文件)反馈给开发进行分析,但是这些ips文件中的内容通常是如下 ...

  10. CP IPS功能测试

    测试环境:CP 15000硬件 测试拓扑: Step1:重新安装Check_Point_R80.10_T479_Gaia并且打补丁 Step2:初始化CP并且部署模式为Management和Gatew ...

随机推荐

  1. error: could not install *smartsocket* listener: Address already in use 下午8:49 ADB server didn't ACK 下午8:49 * failed to start daemon * 下午8:49 error: cannot connect to daemon

    在终端输入adb命令,出错如下: localhost:work zhangyg$ adb devices List of devices attached adb server version (32 ...

  2. poj - 1050 - To the Max(dp)

    题意:一个N * N的矩阵,求子矩阵的最大和(N <= 100, -127 <= 矩阵元素 <= 127). 题目链接:http://poj.org/problem?id=1050 ...

  3. mariadb克隆

    oracle有克隆安装,事实上mysql/mariadb相似.仅仅需简单几步就能够直接在异机直接启动. 环境: node01安装完毕的mariadb; node02一个新机器 如今将node01克隆到 ...

  4. Codeforces 701E Connecting Universities 贪心

    链接 Codeforces 701E Connecting Universities 题意 n个点的树,给你2*K个点,分成K对,使得两两之间的距离和最大 思路 贪心,思路挺巧妙的.首先dfs一遍记录 ...

  5. HD-ACM算法专攻系列(12)——Integer Inquiry

    问题描述: 源码: import java.math.BigInteger; import java.util.*; public class Main { //主函数 public static v ...

  6. Java获取环境变量和系统属性

    Java获取服务器环境变量和JVM系统变量    当程序中需要使用与操作系统相关的变量(例如:文件分隔符.换行符)时,Java提供了System类的静态方法getenv()和getProperty() ...

  7. javascript实现自动添加文本框功能

    转自:http://www.cnblogs.com/damonlan/archive/2011/08/03/2126046.html 昨天,我们公司的网络小组决定为公司做一个内部的网站,主要是为员工比 ...

  8. 3ds Max制作厨房贴图和纹理实例

    来源:CG游 使用软件:3ds Max 软件下载:www.xy3dsmax.com/xiazai.html 大家好,欢迎大家来阅读这个教程.这个教程是讲解我前不久制作的一个场景效果图.因为场景已经制作 ...

  9. 手把手教你如何新建scrapy爬虫框架的第一个项目(上)

    前几天给大家分享了如何在Windows下创建网络爬虫虚拟环境及如何安装Scrapy,还有Scrapy安装过程中常见的问题总结及其对应的解决方法,感兴趣的小伙伴可以戳链接进去查看.关于Scrapy的介绍 ...

  10. 洛谷 P2633 Count on a tree 主席树

    在一棵树上,我们要求点 $(u,v)$ 之间路径的第$k$大数. 对于点 $i$  ,建立 $i$  到根节点的一棵前缀主席树. 简单容斥后不难得出结果为$sumv[u]+sumv[v]−sumv[l ...