IPS

转自：http://www.ithome.com.tw/node/79293

企業中網路環境的防護，通常都是先有防火牆，再搭配IPS。但是，實際上買得起IPS防護的企業有限，這是因為IPS的價格很昂貴，動輒百萬元起跳，而這金額可能就超越一間中小企業的年度IT預算，所以IPS建置的比例遠遠不如防火牆。

不過，用不起並非代表它不重要，最近網路攻擊事件依然頻傳，像是Facebook、Twitter，甚至連Apple都遭到駭客入侵，而企業若只依靠一般防火牆來防禦，明顯是不足夠的。

防火牆與UTM設備，紛紛開始提供IPS功能

隨著網路應用的變化，讓資安產品對於應用層流量辨識的需求越來越大。而在環境的推波助瀾下，促使不少資安廠商，紛紛投入對於應用層識別能力的開發，也讓該功能普及度提高。

在眾多產品中，目前次世代IPS最大的競爭對手為防火牆和UTM。因為這2種產品，除了具備應用層識別和控管能力外，它們也開始提供原先在IPS上才具備的防禦功能，像是DoS/DDoS防禦。甚至，也有不少產品開始提供IPS的特徵檔弱點阻擋功能。

雖然防火牆和UTM具備IPS功能，但其中只有少數廠商願意自行開發特徵檔外，大多數都與IPS廠商合作，將特徵檔以功能模組的型式整合在設備上。

從入侵防禦功能來看，防火牆和UTM或多或少都有入侵防禦能力，而這也影響IPS在資安防護上所扮演的角色。甚至，由於其他2種產品價格較親民，再加上這些設備原本就具備NAT、路由等網路功能，又能夠控管應用程式的存取。所以認為用防火牆或UTM可取代IPS的想法，也從沒消失過。

三者同樣都具備程式控管能力，但擅長程度仍有差異

應用程式控管是次世代IPS的重點功能之一，但其實次世代防火牆上也強調這點。甚至，在控管應用程式的深度上，並不亞於IPS所提功能控管項目。

以CheckPoint 2200系列來說，它所能控管的應用程式非常多，除了基本的網站、P2P軟體、IM軟體外，它也能控管行動裝置的App。甚至，它們還針對社群網站的應用程式，像是Facebook上的FarmVille等遊戲，額外提供控管項目。

雖然同樣具備應用程式識別能力，但IPS與防火牆或UTM相比，在控管上差異會在哪裡？

HP軟體事業群資訊安全事業部的技術顧問范揚?表示，他認為這3者在應用程式控管上，並沒有明顯誰優誰劣的差異，因為企業若要控管應用程式，會購買專用的設備管理應用程式。

除此之外，防火牆與UTM設備會提供控管功能，是由於網路應用驅使它們具備程式識別能力，進而催生出程式控管，而這些本來就非上述兩類設備擅長的能力。在加上，IPS與防火牆的定位不同，所以不能夠拿來比較。

同樣有DoS防禦力，但唯有IPS在阻擋攻擊時能夠辨識正常流量
在架構上，大多是將防火牆作為第一個閘道端設備，除了過濾大部分網路流量外，還要能夠提供NAT等網路功能。而接在防火牆後方的則是IPS，它主要功能則是將防火牆處理後的流量，透過特徵檔比對阻擋。

雖然防火牆和UTM也開始提供IPS功能，看似能夠取代專屬IPS設備，但在防護功能與效能上，則有著明顯的不同。以功能面來看，相同具備特徵檔辨識阻擋，但IPS所提供的特徵檔數量肯定比防火牆多；而在效能上則更明顯，防火牆與UTM的IPS功能，大多以模組化的方式套用在設備上，掃描流量時的效能，並不像IPS那麼好。

除了效能外，在防護功能上的差異更明顯，由於防火牆的IPS模組，大多是直接使用特徵檔辨識，其缺點與傳統IPS相同，因為特徵檔數量很多，且每間企業的屬性與環境各有不同，若直接使用預設條件偵測時，經常有誤報的情況發生，所以需要IT人員調整。

以DoS/DDoS防護為例，由於IPS和防火牆辨識流量方法的不同，所以阻擋的效果也完全不一樣。

DoS會製造大量Session攻擊服務主機，而防火牆在阻擋DoS時，是藉由每秒連線次數做為判斷標準。通常該功能可以選擇來源和目的連線數，並設定傳輸協定的類型做為條件控管，當超過設定值則阻斷。由於無法判斷連線類型，所以不論正常或惡意連線一律阻擋。

早期的DoS，很多是透過DoS攻擊程式發動。而IPS遇到這類攻擊時，可藉由拆解封包，得知該封包為程式發動的攻擊，進而阻斷。由於能辨識封包，所以當企業遭受DoS攻擊時，使用IPS還能夠保持正常服務。

除了DoS攻擊，進階的封包攻擊還有Botnet，攻擊者藉由控制大量電腦，發出巨量的正常連線。像這類攻擊防火牆也無法辨識，IPS則能藉由IP位址的信譽服務，辨識並阻擋連線，而這些都是防護功能上的差異。

專屬IPS設備依舊無法被取代

IPS對於許多IT人員，一直存有著誤報率過高的疑慮，而當防火牆和UTM設備相繼加入IPS功能後，這個問題也隨之加諸到這些設備上。

不過，在次世代IPS強調的能力中，情境感知是非常重要的功能，它能偵測網路中的弱點，自動調整政策即時防護。當管理者在調整IPS時，除了能快速得知現有服務的漏洞，也能直接添加防護條件，而這是防火牆所無法做到的。

在定位不同而功能看似重複的情形下，防火牆有可能取代IPS嗎？WatchGuard的技術經理林子涵表示，以IPS來說，並非所有企業都需要獨立設備的功能與效能，對於規模較小的使用環境來說，IPS確實會被價格相對便宜的防火牆或UTM取代。但對於中大型企業或特殊產業而言，獨立IPS還是無法用防火牆或UTM取代。

而達友科技副總經理的林皇興也表示，他認為未來5年內，IPS與防火牆仍然是不同的市場。甚至，未來應該有廠商，訴求次世代UTM的誕生。

透過情境感知功能，大幅降低IPS的誤報率
此外，在防火牆開始提供IPS等功能後，專屬資安產品多功能化的趨勢越來越明顯。例如在次世代IPS上，也開始出現網頁程式防火牆（Web Application Firewall，WAF）、APT防護、Botnet防護等其他專屬設備的防護功能。

許多人認為IPS的售價昂貴，但若內建WAF和APT防護功能後，再和這兩種專屬產品的售價比較，IPS又顯得平民許多。也因為這些功能的加入，讓IPS在市場上，也能滿足一些不須使用到專屬WAF防護的企業。

雖然次世代IPS的推出無法達到零誤報率，但它的情境感知功能，大幅降低管理者的操作難度外，也提升企業環境的即時防禦。這讓次世代IPS在售價如此昂貴的情形下，依舊能夠占有一席之地。