IPS:IPS侧重于L4-L7层的安全防护,主要实现入侵防御,病毒防护,告诫威胁防护及访问控制等功能;能够防范的威胁类型包括:针对系统的漏洞攻击、蠕虫、木马、SQL注入等。IPS是深入七层的设备,会对流经的报文进行全面的拆包,从报文头部到尾部进行全面的分析。
防火墙通常部署在网络的出口处,IPS部署在防火墙之后面,起到更深层次的防病毒防攻击的作用。这个软件主要是针对WEB服务器的入侵防护,只能防护中度或轻微的DDOS攻击,防御大规模的DDOS攻击的话还是要上硬件的,并且依赖高带宽。这款产品的硬件是支持10000连接数的防御,支持千兆,支持光纤接入,网络中的种种安全问题的根源在于检测,只有引入恰当的检测机制,并根据检测的漏洞、木马、事故做出具体响应才能确保网络的安全可靠。虽然入侵防御系统(IPS,Intrusion Prevention System)和入侵检测系统(IDS,Intrusion Detection Systems)分属于两个相互独立的市场,但它们将会在未来长时间内共同发展。
目前无论是从业于信息安全行业的专业人士还是普通用户,都认为IDS和IPS是两类产品,并不存在IPS要替代IDS的可能。但由于IPS的出现,给用户带来新的困惑:到底什么情况下该选择IPS,什么时候该选择IDS呢,两者之间又是何种关系呢
定位:各司其职
通常来说,IPS是位于防火墙和网络设备之间的设备,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。一般来说,IPS依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。
根据以往的经验,一般至少需要在以下区域部署IPS,即办公网与外部网络的连接部位(入口/出口);重要服务器集群前端;办公网内部接入层。至于其它区域,可以根据实际情况与重要程度,酌情部署。
IDS是一个旁路监听设备,没有也不需要跨接在任何链路上,无须网络流量流经它便可以工作。IDS只是存在于用户的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。
IDS在交换式网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是:部署在服务器区域的交换机上,部署在Internet接入路由器之后的第一台交换机上或者部署在重点保护网段的局域网交换机上。
可以做一个比喻――假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦里的监视系统。一旦小偷进入了大厦,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
从产品价值角度讲:IDS注重的是网络安全状况的监管,IPS关注的是对入侵行为的控制。
策略:取长补短
与防火墙类产品、IDS产品可以实施的安全策略不同,IPS系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是IDS产品所做不到的。
从产品应用角度来讲:为了达到可以全面检测网络安全状况的目的,IDS需要部署在网络内部的中心点,需要能够观察到所有网络数据。
如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个IDS分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。
而为了实现对外部攻击的防御,IPS系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过IPS系统,IPS系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。
IDS系统的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而IPS系统的核心价值在于安全策略的实施――对黑客行为的阻击。
IDS系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,IPS系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。
明确了这些区别,用户就可以比较理性地进行产品类型选择:
•若用户计划在一次项目中实施较为完整的安全解决方案,则应同时选择和部署IDS和IPS两类产品。在全网部署IDS,在网络的边界点部署IPS。
•若用户计划分布实施安全解决方案,可以考虑先部署IDS进行网络安全状况监控,后期再部署IPS。
•若用户仅仅关注网络安全状况的监控电子状态(如金融监管部门,电信监管部门等),则可在目标信息系统中部署IDS即可。
趋势:精准阻断
明确了IPS的主线功能是深层防御、精确阻断后,IPS未来发展趋势也就明朗化了:不断丰富和完善IPS可以精确阻断的攻击种类和类型,并在此基础之上提升IPS的设备处理性能。
而在提升性能方面存在的一个问题就是:需提升性能,除了在软件处理方式上优化外,硬件架构的设计也是一个非常重要的方面,目前的ASIC/NP等高性能硬件,都是采用嵌入式指令+专用语言开发,将已知攻击行为的特征固化在电子固件上。
虽然能提升匹配的效率,但在攻击识别的灵活度上过于死板(对变种较难发现),在新攻击特征的更新上有所滞后(需做特征的编码化)。
而基于开放硬件平台的IPS由于采用的是高级编程语言,不存在变种攻击识别和特征更新方面的问题,厂商的最新产品已经可以达到电信级骨干网络的流量要求,比如McAfee公司推出的电信级IPS产品M8000(10Gbps流量)、M6050(5Gbps)。
所以,IPS系统的未来发展方向应该有以下两个:
第一,更加广泛的精确阻断范围:扩大可以精确阻断的事件类型,尤其是针对变种以及无法通过特征来定义的攻击行为的防御。
第二,适应各种组网模式:在确保精确阻断的情况下,适应电信级骨干网络的防御需求。1、防火墙,主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软件处理等,其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。
2、IDS,此类产品基本上以旁路为主,特点是不阻断任何网络访问,主要以提供报告和事后监督为主,少量的类似产品还提供TCP阻断等功能,但少有使用。
3、IPS,解决了IDS无法阻断的问题,基本上以在线模式为主,系统提供多个端口,以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的内容,解决传统防火墙只能工作在4层以下的问题。和IDS一样,IPS也要像防病毒系统定义N种已知的攻击模式,并主要通过模式匹配去阻断非法访问。
防火墙部署在网络的出口处,对IP包进行检测和拦截;IPS部署在防火墙后面,对防火墙放行的数据包,进行内容的检测!
二者区别主要有以下几点:
一、概念不同
1、IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
2、入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
二、系统类型划分不同
1、IDS按入侵检测的技术基础可分为两类:
一种基于标志的入侵检测(signature-based),另一种是基于异常情况的入侵检测(anomaly-based)。
2、IPS按其用途划分为单机入侵预防系统(HIPS)和网路入侵预防系统(NIPS: Network Intrusion Prevension System)两种类型。
三、防御技术不完全相同
1、IDS实时入侵检测在网络连接过程中进行,系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的 *** 作进行判断,一旦发现入侵迹象立即断开入侵者与主机的连接,并收集证据和实施数据恢复。
2、IPS入侵预防系统知道正常数据以及数据之间关系的通常的样子,可以对照识别异常。有些入侵预防系统结合协议异常、传输异常和特征侦查,对通过网关或防火墙进入网路内部的有害代码实行有效阻止。
参考资料来源:百度百科-IDS
参考资料来源:百度百科-IPS
一般来说,IPS(入侵防御系统)在线防御不会部署在以下场景:1 企业内网:因为企业内网通常是受控的环境,访问流量相对较少,而且大多数攻击都来自外部网络。因此,在企业内网中使用IPS在线防御可能会浪费资源。
2 高速互联网接入点:高速互联网接入点通常是指ISP(互联网服务提供商)或数据中心等机构的核心路由器和交换机。这些设备需要处理海量的数据流量,并保证高可用性和低延迟。如果在这些设备上安装IPS在线防御,可能会影响其性能和稳定性。
3 虚拟化平台:虚拟化平台通常用于创建虚拟服务器、存储和网络等资源池,以实现更好的资源利用率和灵活性。但是,在虚拟化平台上运行IPS在线防御可能会导致性能下降,并且难以管理。
相反地,一般情况下可以将IPS在线防御部署在以下场景:
1 边界安全设备:例如边界路由器、UTM(统一威胁管理)设备等;
2 数据中心服务器群组:例如Web服务器、数据库服务器等;
3 DMZ(非信任区):例如Web应用程序防火墙(WAF)、反向代理等。《科技传播》杂志
国家级科技学术期刊
中英文目录
知网 万方全文收录
随着对网络安全问题的理解日益深入,入侵检测技术得到了迅速的发展,应用防护的概念逐渐被人们所接受,并应用到入侵检测产品中。而在千兆环境中,如何解决应用防护和千兆高速网络环境中数据包线速处理之间的矛盾,成为网络安全技术发展一个新的挑战。
入侵检测技术的演进。
入侵检测系统(IDS, Intrusion Detection System)是近十多年发展起来的新一代安全防范技术,它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象。IDS产品被认为是在防火墙之后的第二道安全防线在攻击检测、安全审计和监控等方面都发挥了重要的作用。
但在入侵检测产品的使用过程中,暴露出了诸多的问题。特别是误报、漏报和对攻击行为缺乏实时响应等问题比较突出,并且严重影响了产品发挥实际的作用。Gartner在2003年一份研究报告中称入侵检测系统已经“死”了。Gartner认为IDS不能给网络带来附加的安全,反而会增加管理员的困扰,建议用户使用入侵防御系统(IPS, Intrusion Prevention System)来代替IDS。Gartner公司认为只有在线的或基于主机的攻击阻止(实时拦截)才是最有效的入侵防御系统。
从功能上来看,IDS是一种并联在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限,一般只能通过发送TCP reset包或联动防火墙来阻止攻击。而IPS则是一种主动的、积极的入侵防范、阻止系统,它部署在网络的进出口处,当它检测到攻击企图后,它会自动地将攻击包丢掉或采取措施将攻击源阻断。因此,从实用效果上来看,和IDS相比入侵防御系统IPS向前发展了一步,能够对网络起到较好的实时防护作用。
近年来,网络攻击的发展趋势是逐渐转向高层应用。根据Gartner的分析,目前对网络的攻击有70%以上是集中在应用层,并且这一数字呈上升趋势。应用层的攻击有可能会造成非常严重的后果,比如用户帐号丢失和公司机密泄漏等。因此,对具体应用的有效保护就显得越发重要。从检测方法上看,IPS与IDS都是基于模式匹配、协议分析以及异常流量统计等技术。这些检测技术的特点是主要针对已知的攻击类型,进行基于攻击特征串的匹配。但对于应用层的攻击,通常是利用特定的应用程序的漏洞,无论是IDS还是IPS都无法通过现有的检测技术进行防范。
为了解决日益突出的应用层防护问题,继入侵防御系统IPS之后,应用入侵防护系统(AIP,Application Intrusion Prevention)逐渐成为一个新的热点,并且正得到日益广泛的应用。
应用入侵防护
对应用层的防范通常比内网防范难度要更大,因为这些应用要允许外部的访问。防火墙的访问控制策略中必须开放应用服务对应的端口,如web的80端口。这样,黑客通过这些端口发起攻击时防火墙无法进行识别控制。入侵检测和入侵防御系统并不是针对应用协议进行设计,所以同样无法检测对相应协议漏洞的攻击。而应用入侵防护系统则能够弥补防火墙和入侵检测系统的不足,对特定应用进行有效保护。
所谓应用入侵防护系统AIP,是用来保护特定应用服务(如web和数据库等应用)的网络设备,通常部署在应用服务器之前,通过AIP系统安全策略的控制来防止基于应用协议漏洞和设计缺陷的恶意攻击。
在对应用层的攻击中,大部分时通过>防火墙与ips联动已应用系统的方式联动。实现防护功能的同时,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险。用于把设备接在交换机的镜像口或者接在HUB上,保证外网用户访问服务器的数据经过此交换机,并且设置镜像口的时候需要同时镜像上下行的数据,从而实现对服务器的保护。如下图,防火墙设备旁路部署,内网接三层交换机,用户网段为19216820/24,服务器网段为1721610/24,配置防火墙设备能够对服务器进行IPS防护、WEB应用防护以及防止敏感信息的泄露。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)