随着网络入侵事件的不 断增加和黑客攻击水平的不断提高,一方面企业网络感染病毒、遭受攻击的速度日益加快,另一方面企业网络受到攻击作出响应的时间却越来越滞后。要解决这一矛 盾,传统的防火墙或入侵检测技术(IDS)显得力不从心,这就需要引入一种新的产品-入侵防护系统(IPS)。
入侵防护系统相比防火墙和入侵检测系统的优势
防火墙是实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包。入侵检测技术(IDS)通过监视网络或系统资源,寻 找违反安全策略的行为或攻击迹象,并发出报警。传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无 计可施。绝大多数 IDS 系统都是被动的,而不是主动的。也就是说,在攻击实际发生之前,它们往往无法预先发出警报。而IPS则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS 是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端 口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在 IPS 设备中被清除掉。
IPS实现实时检查和阻止入侵的原理在于IPS拥有数目众多的过滤器,能够防止各种攻击。当新的攻击手段被发现之后,IPS就会创建一个新的过 滤器。IPS数据包处理引擎是专业化定制的集成电路,可以深层检查数据包的内容。如果有攻击者利用Layer 2 (介质访问控制)至Layer 7(应用)的漏洞发起攻击,IPS能够从数据流中检查出这些攻击并加以阻止。传统的防火墙只能对Layer 3或Layer 4进行检查,不能检测应用层的内容。防火墙的包过滤技术不会针对每一字节进行检查,因而也就无法发现攻击活动,而IPS可以做到逐一字节地检查数据包。所 有流经IPS的数据包都被分类,分类的依据是数据包中的报头信息,如源IP地址和目的IP地址、端口号和应用域。每种过滤器负责分析相对应的数据包。通过 检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。
针对不同的攻击行为,IPS需要不同的过滤器。每种过滤器都设有相应的过滤规则,为了确保准确性,这些规则的定义非常广泛。在对传输内容进行分类时,过滤引擎还需要参照数据包的信息参数,并将其解析至一个有意义的域中进行上下文分析,以提高过滤准确性。
过滤器引擎集合了流水和大规模并行处理硬件,能够同时执行数千次的数据包过滤检查。并行过滤处理可以确保数据包能够不间断地快速通过系统,不会对速度造成影响。这种硬件加速技术对于IPS具有重要意义,因为传统的软件解决方案必须串行进行过滤检查,会导致系统性能大打折扣。
入侵防护系统技术特征
嵌入式运行:只有以嵌入模式运行的 IPS 设备才能够实现实时的安全防护,实时阻拦所有可疑的数据包,并对该数据流的剩余部分进行拦截。
深入分析和控制:IPS必须具有深入分析能力,以确定哪些恶意流量已经被拦截,根据攻击类型、策略等来确定哪些流量应该被拦截。
入侵特征库:高质量的入侵特征库是IPS高效运行的必要条件,IPS还应该定期升级入侵特征库,并快速应用到所有传感器。
高效处理能力:IPS必须具有高效处理数据包的能力,对整个网络性能的影响保持在最低水平。
入侵防护系统面临的挑战
IPS 技术需要面对很多挑战,其中主要有三点:一是单点故障,二是性能瓶颈,三是误报和漏报。设计要求IPS必须以嵌入模式工作在网络中,而这就可能造成瓶颈问 题或单点故障。如果IDS 出现故障,最坏的情况也就是造成某些攻击无法被检测到,而嵌入式的IPS设备出现问题,就会严重影响网络的正常运转。如果IPS出现故障而关闭,用户就会 面对一个由IPS造成的拒绝服务问题,所有客户都将无法访问企业网络提供的应用。
即使 IPS 设备不出现故障,它仍然是一个潜在的网络瓶颈,不仅会增加滞后时间,而且会降低网络的效率,IPS必须与数千兆或者更大容量的网络流量保持同步,尤其是当 加载了数量庞大的检测特征库时,设计不够完善的 IPS 嵌入设备无法支持这种响应速度。绝大多数高端 IPS 产品供应商都通过使用自定义硬件(FPGA、网络处理器和ASIC芯片)来提高IPS的运行效率。
误报率和漏报率也需要IPS认真面对。在繁忙的网络当中,如果以每秒需要处理十条警报信息来计算,IPS每小时至少需要处理 36,000 条警报,一天就是 864,000 条。一旦生成了警报,最基本的要求就是IPS能够对警报进行有效处理。如果入侵特征编写得不是十分完善,那么"误报"就有了可乘之机,导致合法流量也有可 能被意外拦截。对于实时在线的IPS来说,一旦拦截了"攻击性"数据包,就会对来自可疑攻击者的所有数据流进行拦截。如果触发了误报警报的流量恰好是某个 客户订单的一部分,其结果可想而知,这个客户整个会话就会被关闭,而且此后该客户所有重新连接到企业网络的合法访问都会被"尽职尽责"的IPS拦截。
IPS厂商采用各种方式加以解决。一是综合采用多种检测技术,二是采用专用硬件加速系统来提高IPS的运行效率。尽管如此,为了避免IPS重蹈 IDS覆辙,厂商对IPS的态度还是十分谨慎的。例如,NAI提供的基于网络的入侵防护设备提供多种接入模式,其中包括旁路接入方式,在这种模式下运行的 IPS实际上就是一台纯粹的IDS设备,NAI希望提供可选择的接入方式来帮助用户实现从旁路监听向实时阻止攻击的自然过渡。
入侵防护系统成国内企业安全采购关注焦点
IPS的不足并不会成为阻止人们使用IPS的理由,因为安全功能的融合是大势所趋,入侵防护顺应了这一潮流。对于用户而言,在厂商提供技术支持 的条件下,有选择地采用IPS,仍不失为一种应对攻击的理想选择。从2004年以来,国内国外的IPS厂家使尽浑身解数,将IPS 的功能逐渐强化,特别是随着整合了入侵防御、VPN、防火墙、防病毒功能的出现,IPS已经成为了国内用户现阶段安全采购的 主要关注点。从2005年开始,一大批优秀的IPS厂家开始发展壮大,他们凭着对用户安全部署理念的理解,结合自身的优势,开发了众多的高端IPS产品。 比如eeye旗下的Blink网络入侵防护系统可进一步增强企业网络的主动防御能力。它以前瞻性的技术思路,在攻击来临前筑起防线。防护范围包括核心、周边及远端,并结合攻击型和弱点型的保护技术,性价比极高。
小贴士:eEye安全公司介绍----eEye数字安全公司成立于1998年,是一家获得过数字认证中心大奖的互联网安全公司,总部位于加利福尼亚橘子郡。
eEye数字安全公司是在计算机攻击与安全研究领域的领导厂商,旨在为企业和用户在系统和知识产权的安全方面提供安全解决方案。无论是在私人领域或公共领域,eEye在网络脆弱性评估和预防技术方面都拥有着世界最多的部署。公司9,000多家客户遍及全球,其中包括公司及政府组织,更有半数<<财富>>100强企业位列其中。
eEye采用世界知名的研究成果和创新技术来保证您的电脑安全,并向您提供最强大全面的、研究导向的系统漏洞修复、漏洞评估、侵入预防、客户安全解决方案。
eEye的综合网络安全解决方案提供一些必要工具、服务和信息。减少系统漏洞,防止攻击,全面提升分布在世界各地的企业的安全状况。
eEye旗下的产品有:
- Retina - Retina Network Security Scanner是世界排名第一的网络安全漏洞扫描和补救管理工具,它能发现和帮助修复所有已知的互联网、局域网和外部系统的网络安全漏洞,并且兼容所有操作系统。
- Blink - Blink是结合了IPS、防火墙保护、入侵检测和防御系统、安全政策执行监测工具,漏洞评估的完整终端安全产品。Blink最大的特点是内含了Retina-这一世界第一的安全扫描工具,所以相对于其它终端安全厂商,Blink更有能力提供给客户零攻击的安全解决方案。
- Iris - Iris比Sniffer更易学易用,是一个基于新一代网络协议的网络流量分析工具。Iris允许网络管理员跟踪和重演任何网络用户的任何操作。此外,Iris还有先进的过滤,搜索和图表功能,是一个功能完全的系统监控软件产品。
- SecureIIS - SecureIIS 是个专门用来保护Microsoft IIS web服务器安全的工具,它能够让IIS网络服务器免受已知和未知的网络攻击。
eEye数字安全正在开创其最新安全产品的研发: 完整的威胁管理。下一代的漏洞及威胁的安全探测, 防止侵入, 保护企业内部所有关键位置的资源, 从终端及网络资源到网站及web应用, 提供集中的安全管理及网络可视化功能。 eEye的开发团队将秉承一贯作风, 优先识别最新威胁及风险, 为使网络安全像网络本身一样易用及可靠, 我们的产品也将协助他们的研究一同致力于实现此目标。
新型IPS产品从引擎设计和芯片结构上,大大提升了性能和扩展性。目前主流高端产品大都采用ASIC/FPGA/NP的设计方案,具备了性能 强、可编程的优点。 一般的高端IPS需要能够提供3G的实时吞吐流量,深入检查数据包。通过隔离、拦截和预防攻击,从而实现即时、高性能的应用安全。为了确保这类高端IPS 的带宽落到实处,这类产品一般要提供基于动态的流量控制。因为从传统意义上来说,增加更多的带宽可能只会提高对非关键应用的响应速度,而不能为最需要带宽 的应用提供保证,特别是对于开展大量VoIP应用的企业,更加需要在安全的前提下对动态流量进行分配。为此,高端IPS产品普遍采用动态的流量控制,从而 确保关键任务、应用的连续性,即使在遭受攻击的情况下,也可以实现端到端的带宽管理和服务质量控制(QoS),从而保证了服务水平协议并且提高了应用性 能。