IPS
转自:http://www.ithome.com.tw/node/79293
企業中網路環境的防護,通常都是先有防火牆,再搭配IPS。但是,實際上買得起IPS防護的企業有限,這是因為IPS的價格很昂貴,動輒百萬元起跳,而這金額可能就超越一間中小企業的年度IT預算,所以IPS建置的比例遠遠不如防火牆。
不過,用不起並非代表它不重要,最近網路攻擊事件依然頻傳,像是Facebook、Twitter,甚至連Apple都遭到駭客入侵,而企業若只依靠一般防火牆來防禦,明顯是不足夠的。
防火牆與UTM設備,紛紛開始提供IPS功能
隨著網路應用的變化,讓資安產品對於應用層流量辨識的需求越來越大。而在環境的推波助瀾下,促使不少資安廠商,紛紛投入對於應用層識別能力的開發,也讓該功能普及度提高。
在眾多產品中,目前次世代IPS最大的競爭對手為防火牆和UTM。因為這2種產品,除了具備應用層識別和控管能力外,它們也開始提供原先在IPS上才具備的防禦功能,像是DoS/DDoS防禦。甚至,也有不少產品開始提供IPS的特徵檔弱點阻擋功能。
雖然防火牆和UTM具備IPS功能,但其中只有少數廠商願意自行開發特徵檔外,大多數都與IPS廠商合作,將特徵檔以功能模組的型式整合在設備上。
從入侵防禦功能來看,防火牆和UTM或多或少都有入侵防禦能力,而這也影響IPS在資安防護上所扮演的角色。甚至,由於其他2種產品價格較親民,再加上這些設備原本就具備NAT、路由等網路功能,又能夠控管應用程式的存取。所以認為用防火牆或UTM可取代IPS的想法,也從沒消失過。
三者同樣都具備程式控管能力,但擅長程度仍有差異
應用程式控管是次世代IPS的重點功能之一,但其實次世代防火牆上也強調這點。甚至,在控管應用程式的深度上,並不亞於IPS所提功能控管項目。
以CheckPoint 2200系列來說,它所能控管的應用程式非常多,除了基本的網站、P2P軟體、IM軟體外,它也能控管行動裝置的App。甚至,它們還針對社群網站的應用程式,像是Facebook上的FarmVille等遊戲,額外提供控管項目。
雖然同樣具備應用程式識別能力,但IPS與防火牆或UTM相比,在控管上差異會在哪裡?
HP軟體事業群資訊安全事業部的技術顧問范揚?表示,他認為這3者在應用程式控管上,並沒有明顯誰優誰劣的差異,因為企業若要控管應用程式,會購買專用的設備管理應用程式。
除此之外,防火牆與UTM設備會提供控管功能,是由於網路應用驅使它們具備程式識別能力,進而催生出程式控管,而這些本來就非上述兩類設備擅長的能力。在加上,IPS與防火牆的定位不同,所以不能夠拿來比較。
同樣有DoS防禦力,但唯有IPS在阻擋攻擊時能夠辨識正常流量
在架構上,大多是將防火牆作為第一個閘道端設備,除了過濾大部分網路流量外,還要能夠提供NAT等網路功能。而接在防火牆後方的則是IPS,它主要功能則是將防火牆處理後的流量,透過特徵檔比對阻擋。
雖然防火牆和UTM也開始提供IPS功能,看似能夠取代專屬IPS設備,但在防護功能與效能上,則有著明顯的不同。以功能面來看,相同具備特徵檔辨識阻擋,但IPS所提供的特徵檔數量肯定比防火牆多;而在效能上則更明顯,防火牆與UTM的IPS功能,大多以模組化的方式套用在設備上,掃描流量時的效能,並不像IPS那麼好。
除了效能外,在防護功能上的差異更明顯,由於防火牆的IPS模組,大多是直接使用特徵檔辨識,其缺點與傳統IPS相同,因為特徵檔數量很多,且每間企業的屬性與環境各有不同,若直接使用預設條件偵測時,經常有誤報的情況發生,所以需要IT人員調整。
以DoS/DDoS防護為例,由於IPS和防火牆辨識流量方法的不同,所以阻擋的效果也完全不一樣。
DoS會製造大量Session攻擊服務主機,而防火牆在阻擋DoS時,是藉由每秒連線次數做為判斷標準。通常該功能可以選擇來源和目的連線數,並設定傳輸協定的類型做為條件控管,當超過設定值則阻斷。由於無法判斷連線類型,所以不論正常或惡意連線一律阻擋。
早期的DoS,很多是透過DoS攻擊程式發動。而IPS遇到這類攻擊時,可藉由拆解封包,得知該封包為程式發動的攻擊,進而阻斷。由於能辨識封包,所以當企業遭受DoS攻擊時,使用IPS還能夠保持正常服務。
除了DoS攻擊,進階的封包攻擊還有Botnet,攻擊者藉由控制大量電腦,發出巨量的正常連線。像這類攻擊防火牆也無法辨識,IPS則能藉由IP位址的信譽服務,辨識並阻擋連線,而這些都是防護功能上的差異。
專屬IPS設備依舊無法被取代
IPS對於許多IT人員,一直存有著誤報率過高的疑慮,而當防火牆和UTM設備相繼加入IPS功能後,這個問題也隨之加諸到這些設備上。
不過,在次世代IPS強調的能力中,情境感知是非常重要的功能,它能偵測網路中的弱點,自動調整政策即時防護。當管理者在調整IPS時,除了能快速得知現有服務的漏洞,也能直接添加防護條件,而這是防火牆所無法做到的。
在定位不同而功能看似重複的情形下,防火牆有可能取代IPS嗎?WatchGuard的技術經理林子涵表示,以IPS來說,並非所有企業都需要獨立設備的功能與效能,對於規模較小的使用環境來說,IPS確實會被價格相對便宜的防火牆或UTM取代。但對於中大型企業或特殊產業而言,獨立IPS還是無法用防火牆或UTM取代。
而達友科技副總經理的林皇興也表示,他認為未來5年內,IPS與防火牆仍然是不同的市場。甚至,未來應該有廠商,訴求次世代UTM的誕生。
透過情境感知功能,大幅降低IPS的誤報率
此外,在防火牆開始提供IPS等功能後,專屬資安產品多功能化的趨勢越來越明顯。例如在次世代IPS上,也開始出現網頁程式防火牆(Web Application Firewall,WAF)、APT防護、Botnet防護等其他專屬設備的防護功能。
許多人認為IPS的售價昂貴,但若內建WAF和APT防護功能後,再和這兩種專屬產品的售價比較,IPS又顯得平民許多。也因為這些功能的加入,讓IPS在市場上,也能滿足一些不須使用到專屬WAF防護的企業。
雖然次世代IPS的推出無法達到零誤報率,但它的情境感知功能,大幅降低管理者的操作難度外,也提升企業環境的即時防禦。這讓次世代IPS在售價如此昂貴的情形下,依舊能夠占有一席之地。
IPS的更多相关文章
- IDS IPS WAF之安全剖析
现在市场上的主流网络安全产品可以分为以下几个大类: 1.基础防火墙类,主要是可实现基本包过滤策略的防火墙,这类是有硬件处理.软件处理等,其主要功能实现是限制对IP:port的访问.基本上的实现都是默认 ...
- WAF与IPS的区别总结
谁是最佳选择? Web应用防护无疑是一个热门话题.由于技术的发展成熟和人们对便利性的期望越来越高,Web应用成为主流的业务系统载体.在Web上“安家”的关键业务系统中蕴藏的数据价值引起攻击者的青睐,网 ...
- 屏幕实战效果解析:IPS/TFT/AMOLED/SLCD
现在手机市场上,智能手机种类繁多,手机屏幕材质也是五花八门.对于一般消费者来说,一款手机是否值得购买,除了关心它的硬件参数以外,更重要的一点就是看它的屏幕.除了屏幕尺寸以外,影响着大家对该手机的第一感 ...
- 主流屏幕对比:IPS/LTPS/CGS/IGZO/AMOLED
IPS.LTPS.CGS.IGZO.AMOLED都是什么屏幕又有什么区别?目前的手机屏幕技术实在太多,本文旨在介绍各种面板以及屏幕技术,便于大家更好地进行区分. 近年来手机屏幕技术层出不穷,早在几年前 ...
- CentOS ips bonding
centos ip bonding 一个网卡多个ips,多个网口一个ip 1,配置一个网卡多ips的情况cp /etc/sysconfig/network-scripts/ifcfg-eth0 /et ...
- vultr vps新增reserved IPs功能,保留服务器原有IP
高性价比海外vps品牌vultr vps宣布一项新功能叫“reserved IPs”,顾名思义是帮助你保留服务器IP地址,以备后用. 这个需求是因为用户经常新建.删除一个vps服务器,默认分配的是随机 ...
- Suricata 之IPS模式
IPS 1.Suricata 本身是不具有拦截功能的,想要让它拦截包需要配合 iptables 使用. 首先要确定安装的suricata是否支持IPS模式,如果在安装编译的时候没有启用IPS模式,NF ...
- FW/IDS/IPS/WAF等安全设备部署方式及优缺点
现在市场上的主流网络安全产品可以分为以下几个大类:1.基础防火墙FW/NGFW类 主要是可实现基本包过滤策略的防火墙,这类是有硬件处理.软件处理等,其主要功能实现是限制对IP:port的访问.基本上的 ...
- iOS崩溃日志ips文件解析
iOS崩溃日志ips文件解析 一 简介 测试组的同事在进行稳定性测试时,通常会遇到一些崩溃,然后他们会将这些崩溃日志(一般是ips格式的文件)反馈给开发进行分析,但是这些ips文件中的内容通常是如下 ...
- CP IPS功能测试
测试环境:CP 15000硬件 测试拓扑: Step1:重新安装Check_Point_R80.10_T479_Gaia并且打补丁 Step2:初始化CP并且部署模式为Management和Gatew ...
随机推荐
- ASP.NET-入门
MVC5特点 1.One ASP.NET统一平台 2.Bootstrap 免费CSS,响应式页面 3.路由标记属性:简单.控制器.操作.前缀.参数.URL 4.ASP.NET web API 2 : ...
- HDU 4035
dp求期望的题. 设 E[i]表示在结点i处,要走出迷宫所要走的边数的期望.E[1]即为所求. 叶子结点: E[i] = ki*E[1] + ei*0 + (1-ki-ei)*(E[father[i] ...
- ZOJ 3640
很简单的概率题了 设dp[x]为能力值 为x时出去的期望 天数 #include <iostream> #include <cstdio> #include <cmath ...
- HDU - 4758 Walk Through Squares (AC自己主动机+DP)
Description On the beaming day of 60th anniversary of NJUST, as a military college which was Secon ...
- 【从零之六&完结】android口语对话系统(RavenClaw java版 含所有源代码)
! !! 更新:最新源码放到了github上,认为还不错点个星啊! 点击打开链接 做了一个半月最终完毕了,以下这个就是我參考Olympus/RavenClaw系统编写的对话管理系统.眼下实现了一个简单 ...
- ZOJ 3690 Choosing number(dp矩阵优化)
Choosing number Time Limit: 2 Seconds Memory Limit: 65536 KB There are n people standing in a r ...
- C#~异步编程再续~你必须要知道的ThreadPool里的throw
问题依旧存在 之前写过相关文章异步编程的文章,本文主要还是一点补充,之前在IIS经常发w3wp进程无做挂了的情况,但一直没能找到真正的原因,而查找相关资料,找了一些相关的文章,如await和async ...
- word-wrap与word-break的区别,以及无效情况
两种方法的区别说明: 1,word-break:break-all 例如div宽400px,它的内容就会到400px自动换行,如果该行末端有个英文单词很长(congratulation等),它会把单词 ...
- 你不知道的JavaScript(六)Box&Unbox
很多语言中都有Box和Unbox的概念,很多书籍把Box翻译为"装箱操作",指的是將基本数据类型包装成对象:Unbox和它相反,把对象类型转换为基本类型. 我们知道JavaScri ...
- 51nod 1267 4个数和为0 思路:哈希map+避免重复的点
题目: 总结大佬们的思路: 思路1:所有数两两求和,存入map中,每次判断有没有相反数被标记过. 思路2:对所有数排序,排完所有数两两求和,结果正好是排好序的.然后扫一遍,二分查找看之前有没有相反数存 ...