转自:http://www.ithome.com.tw/node/79293

企業中網路環境的防護,通常都是先有防火牆,再搭配IPS。但是,實際上買得起IPS防護的企業有限,這是因為IPS的價格很昂貴,動輒百萬元起跳,而這金額可能就超越一間中小企業的年度IT預算,所以IPS建置的比例遠遠不如防火牆。

不過,用不起並非代表它不重要,最近網路攻擊事件依然頻傳,像是Facebook、Twitter,甚至連Apple都遭到駭客入侵,而企業若只依靠一般防火牆來防禦,明顯是不足夠的。

防火牆與UTM設備,紛紛開始提供IPS功能

隨著網路應用的變化,讓資安產品對於應用層流量辨識的需求越來越大。而在環境的推波助瀾下,促使不少資安廠商,紛紛投入對於應用層識別能力的開發,也讓該功能普及度提高。

在眾多產品中,目前次世代IPS最大的競爭對手為防火牆和UTM。因為這2種產品,除了具備應用層識別和控管能力外,它們也開始提供原先在IPS上才具備的防禦功能,像是DoS/DDoS防禦。甚至,也有不少產品開始提供IPS的特徵檔弱點阻擋功能。

雖然防火牆和UTM具備IPS功能,但其中只有少數廠商願意自行開發特徵檔外,大多數都與IPS廠商合作,將特徵檔以功能模組的型式整合在設備上。

從入侵防禦功能來看,防火牆和UTM或多或少都有入侵防禦能力,而這也影響IPS在資安防護上所扮演的角色。甚至,由於其他2種產品價格較親民,再加上這些設備原本就具備NAT、路由等網路功能,又能夠控管應用程式的存取。所以認為用防火牆或UTM可取代IPS的想法,也從沒消失過。

三者同樣都具備程式控管能力,但擅長程度仍有差異

應用程式控管是次世代IPS的重點功能之一,但其實次世代防火牆上也強調這點。甚至,在控管應用程式的深度上,並不亞於IPS所提功能控管項目。

以CheckPoint 2200系列來說,它所能控管的應用程式非常多,除了基本的網站、P2P軟體、IM軟體外,它也能控管行動裝置的App。甚至,它們還針對社群網站的應用程式,像是Facebook上的FarmVille等遊戲,額外提供控管項目。

雖然同樣具備應用程式識別能力,但IPS與防火牆或UTM相比,在控管上差異會在哪裡?

HP軟體事業群資訊安全事業部的技術顧問范揚?表示,他認為這3者在應用程式控管上,並沒有明顯誰優誰劣的差異,因為企業若要控管應用程式,會購買專用的設備管理應用程式。

除此之外,防火牆與UTM設備會提供控管功能,是由於網路應用驅使它們具備程式識別能力,進而催生出程式控管,而這些本來就非上述兩類設備擅長的能力。在加上,IPS與防火牆的定位不同,所以不能夠拿來比較。

同樣有DoS防禦力,但唯有IPS在阻擋攻擊時能夠辨識正常流量
在架構上,大多是將防火牆作為第一個閘道端設備,除了過濾大部分網路流量外,還要能夠提供NAT等網路功能。而接在防火牆後方的則是IPS,它主要功能則是將防火牆處理後的流量,透過特徵檔比對阻擋。

雖然防火牆和UTM也開始提供IPS功能,看似能夠取代專屬IPS設備,但在防護功能與效能上,則有著明顯的不同。以功能面來看,相同具備特徵檔辨識阻擋,但IPS所提供的特徵檔數量肯定比防火牆多;而在效能上則更明顯,防火牆與UTM的IPS功能,大多以模組化的方式套用在設備上,掃描流量時的效能,並不像IPS那麼好。

除了效能外,在防護功能上的差異更明顯,由於防火牆的IPS模組,大多是直接使用特徵檔辨識,其缺點與傳統IPS相同,因為特徵檔數量很多,且每間企業的屬性與環境各有不同,若直接使用預設條件偵測時,經常有誤報的情況發生,所以需要IT人員調整。

以DoS/DDoS防護為例,由於IPS和防火牆辨識流量方法的不同,所以阻擋的效果也完全不一樣。

DoS會製造大量Session攻擊服務主機,而防火牆在阻擋DoS時,是藉由每秒連線次數做為判斷標準。通常該功能可以選擇來源和目的連線數,並設定傳輸協定的類型做為條件控管,當超過設定值則阻斷。由於無法判斷連線類型,所以不論正常或惡意連線一律阻擋。

早期的DoS,很多是透過DoS攻擊程式發動。而IPS遇到這類攻擊時,可藉由拆解封包,得知該封包為程式發動的攻擊,進而阻斷。由於能辨識封包,所以當企業遭受DoS攻擊時,使用IPS還能夠保持正常服務。

除了DoS攻擊,進階的封包攻擊還有Botnet,攻擊者藉由控制大量電腦,發出巨量的正常連線。像這類攻擊防火牆也無法辨識,IPS則能藉由IP位址的信譽服務,辨識並阻擋連線,而這些都是防護功能上的差異。

專屬IPS設備依舊無法被取代

IPS對於許多IT人員,一直存有著誤報率過高的疑慮,而當防火牆和UTM設備相繼加入IPS功能後,這個問題也隨之加諸到這些設備上。

不過,在次世代IPS強調的能力中,情境感知是非常重要的功能,它能偵測網路中的弱點,自動調整政策即時防護。當管理者在調整IPS時,除了能快速得知現有服務的漏洞,也能直接添加防護條件,而這是防火牆所無法做到的。

在定位不同而功能看似重複的情形下,防火牆有可能取代IPS嗎?WatchGuard的技術經理林子涵表示,以IPS來說,並非所有企業都需要獨立設備的功能與效能,對於規模較小的使用環境來說,IPS確實會被價格相對便宜的防火牆或UTM取代。但對於中大型企業或特殊產業而言,獨立IPS還是無法用防火牆或UTM取代。

而達友科技副總經理的林皇興也表示,他認為未來5年內,IPS與防火牆仍然是不同的市場。甚至,未來應該有廠商,訴求次世代UTM的誕生。

透過情境感知功能,大幅降低IPS的誤報率
此外,在防火牆開始提供IPS等功能後,專屬資安產品多功能化的趨勢越來越明顯。例如在次世代IPS上,也開始出現網頁程式防火牆(Web Application Firewall,WAF)、APT防護、Botnet防護等其他專屬設備的防護功能。

許多人認為IPS的售價昂貴,但若內建WAF和APT防護功能後,再和這兩種專屬產品的售價比較,IPS又顯得平民許多。也因為這些功能的加入,讓IPS在市場上,也能滿足一些不須使用到專屬WAF防護的企業。

雖然次世代IPS的推出無法達到零誤報率,但它的情境感知功能,大幅降低管理者的操作難度外,也提升企業環境的即時防禦。這讓次世代IPS在售價如此昂貴的情形下,依舊能夠占有一席之地。

IPS的更多相关文章

  1. IDS IPS WAF之安全剖析

    现在市场上的主流网络安全产品可以分为以下几个大类: 1.基础防火墙类,主要是可实现基本包过滤策略的防火墙,这类是有硬件处理.软件处理等,其主要功能实现是限制对IP:port的访问.基本上的实现都是默认 ...

  2. WAF与IPS的区别总结

    谁是最佳选择? Web应用防护无疑是一个热门话题.由于技术的发展成熟和人们对便利性的期望越来越高,Web应用成为主流的业务系统载体.在Web上“安家”的关键业务系统中蕴藏的数据价值引起攻击者的青睐,网 ...

  3. 屏幕实战效果解析:IPS/TFT/AMOLED/SLCD

    现在手机市场上,智能手机种类繁多,手机屏幕材质也是五花八门.对于一般消费者来说,一款手机是否值得购买,除了关心它的硬件参数以外,更重要的一点就是看它的屏幕.除了屏幕尺寸以外,影响着大家对该手机的第一感 ...

  4. 主流屏幕对比:IPS/LTPS/CGS/IGZO/AMOLED

    IPS.LTPS.CGS.IGZO.AMOLED都是什么屏幕又有什么区别?目前的手机屏幕技术实在太多,本文旨在介绍各种面板以及屏幕技术,便于大家更好地进行区分. 近年来手机屏幕技术层出不穷,早在几年前 ...

  5. CentOS ips bonding

    centos ip bonding 一个网卡多个ips,多个网口一个ip 1,配置一个网卡多ips的情况cp /etc/sysconfig/network-scripts/ifcfg-eth0 /et ...

  6. vultr vps新增reserved IPs功能,保留服务器原有IP

    高性价比海外vps品牌vultr vps宣布一项新功能叫“reserved IPs”,顾名思义是帮助你保留服务器IP地址,以备后用. 这个需求是因为用户经常新建.删除一个vps服务器,默认分配的是随机 ...

  7. Suricata 之IPS模式

    IPS 1.Suricata 本身是不具有拦截功能的,想要让它拦截包需要配合 iptables 使用. 首先要确定安装的suricata是否支持IPS模式,如果在安装编译的时候没有启用IPS模式,NF ...

  8. FW/IDS/IPS/WAF等安全设备部署方式及优缺点

    现在市场上的主流网络安全产品可以分为以下几个大类:1.基础防火墙FW/NGFW类 主要是可实现基本包过滤策略的防火墙,这类是有硬件处理.软件处理等,其主要功能实现是限制对IP:port的访问.基本上的 ...

  9. iOS崩溃日志ips文件解析

    iOS崩溃日志ips文件解析  一 简介 测试组的同事在进行稳定性测试时,通常会遇到一些崩溃,然后他们会将这些崩溃日志(一般是ips格式的文件)反馈给开发进行分析,但是这些ips文件中的内容通常是如下 ...

  10. CP IPS功能测试

    测试环境:CP 15000硬件 测试拓扑: Step1:重新安装Check_Point_R80.10_T479_Gaia并且打补丁 Step2:初始化CP并且部署模式为Management和Gatew ...

随机推荐

  1. 在IDEA中代码自动提示第一个字母大小写必须匹配的解决

    在IDEA中代码自动提示第一个字母大小写必须匹配的解决 学习了:http://blog.csdn.net/babys/article/details/41775715 setting>Edito ...

  2. Codeforces Round #286 (Div. 1) B. Mr. Kitayuta's Technology (强连通分量)

    题目地址:http://codeforces.com/contest/506/problem/B 先用强连通判环.然后转化成无向图,找无向图连通块.若一个有n个点的块内有强连通环,那么须要n条边.即正 ...

  3. [LeetCOde][Java] Best Time to Buy and Sell Stock III

    题目: Say you have an array for which the ith element is the price of a given stock on day i. Design a ...

  4. [Android] Android开发优化之——从代码角度进行优化

    通常我们写程序,都是在项目计划的压力下完成的,此时完成的代码可以完成具体业务逻辑,但是性能不一定是最优化的.一般来说,优秀的程序员在写完代码之后都会不断的对代码进行重构.重构的好处有很多,其中一点,就 ...

  5. 92.bower 需要git

    转自:https://blog.csdn.net/chenleismr/article/details/50458496Bower 是基于 Git 之上的包管理工具,它提供的包其源头都是一个 Git ...

  6. BZOJ 3569 询问删除指定的k条边后图是否连通 线性基

    思路: 这题思路好鬼畜啊-- 绝对是神思路 //By SiriusRen #include <cstdio> #include <algorithm> using namesp ...

  7. asp.net mvc5 文件下载上传

    下载:是通过点击a标签直接下载的方式,没有其他任何要求,在服务器上存在实体文件,不需要请求后台控制层 前段js: <a id="NF-DownLoad" authorize= ...

  8. Android APP 调试过程中遇到的问题。

    调试过过程中APP安装完启动后有的时候会异常退出,报这个错误.有的时候可以直接启动.查找不到原因.网上说把commit方法替换成commitAllowingStateLoss() 也无效. Andro ...

  9. 阿里巴巴战略投资印度最大支付平台Paytm

    腾讯科技讯 9月29日,据路透社报道,阿里巴巴和印度最大移动支付和商务平台Paytm今天发布联合声明,宣布阿里巴巴集团及其旗下金融子公司蚂蚁金服将向Paytm注入新资金.阿里称这是一项“战略性的”投资 ...

  10. div内快元素[div,p。。。]居中办法

    方法1: .parent { width:800px; height:500px; border:2px solid #000; position:relative; } .child { width ...