告別紛爭的日子：IDS與IPS應用比較-《網界網》

?

“主動”中現迷霧

?

對于很多大中型企業來說，隨著信息化建設的開展，目前不少企業的信息化程度已達到了較高水平。信息技術在提高管理水平、提升企業競爭力方面發揮著越來越重要的作用。有專家表示說，隨著國內企業信息化的深入發展，網絡信息安全問題變得日益嚴重。新的安全威脅不斷涌現，并且成為黑客攻擊的重要對象。

?

TippingPoint公司安全專家李臻建議，面對越來越嚴重的威脅，企業需要建設主動的、深層的、立體的信息安全保障體系。事實上，單純的應付已經很難做到對威脅的防御，只有具備主動防御的技術，才能更好地保障業務系統的正常運轉。

?

在面對日益增多的安全威脅，許多企業不斷地擴充自己的安全體系，希望通過不斷地部署安全產品來確保網絡的安全。在企業部署安全體系的時候，遇到了一個相同的問題，即防范惡意攻擊、降低安全風險應該用入侵檢測IDS還是入侵防御IPS？

?

細心的讀者也許還記得，2003年Gartner公司副總裁Richard Stiennon曾經發表過《入侵檢測已壽終正寢，入侵防御將萬古長青》的報告，并一度引發安全業界震動。截止到今天，關于入侵檢測系統與入侵防御系統之間關系的討論已經趨于平淡。2006年IDC年度安全市場報告更是明確指出入侵檢測系統和入侵防御系統是兩個獨立的市場，給這個討論劃上了一個句號。

?

部署中看選擇

?

可以說，目前無論是安全專業人士還是普通用戶，都認為入侵檢測系統和入侵防御系統是兩類產品，并不存在入侵防御系統要替代入侵檢測系統的可能。但由于入侵防御產品的出現，給用戶帶來新的困惑：到底什么情況下該選擇入侵檢測產品，什么時候該選擇入侵防御產品呢？

?

筆者帶著這個疑問采訪了啟明星辰公司產品管理中心總工程師萬卿。萬卿表示，“在入侵防護產品剛出來的時候，有些用戶對于選擇入侵防護還是入侵檢測拿不定主意，不知何去何從，實際上，入侵檢測和入侵防護根本就不是同類的產品。兩者不是互相取代或升級的關系。企業需要根據自身的網絡環境和系統環境選擇合適的產品。”具體到兩種產品的選型上，需要從產品的價值和產品的應用角度出發，就能夠明確自己的需求了。

?

技術對比

?

此前神州數碼網絡的安全產品經理王景輝在接受采訪時表示，入侵檢測系統注重的是網絡安全狀況的監管。用戶進行網絡安全建設之前，通常要考慮信息系統面臨哪些威脅；這些威脅的來源以及進入信息系統的途徑；信息系統對這些威脅的抵御能力如何等方面的信息。在信息系統安全建設中以及實施后也要不斷地觀察信息系統中的安全狀況，了解網絡威脅發展趨勢。只有這樣才能有的放矢地進行信息系統的安全建設，才能根據安全狀況及時調整安全策略，減少信息系統被破壞的可能。

?

入侵防御系統關注的是對入侵行為的控制。當用戶明確信息系統安全建設方案和策略之后，可以在入侵防御系統中實施邊界防護安全策略。與防火墻類產品可以實施的安全策略不同，入侵防御系統可以實施深層防御安全策略，即可以在應用層檢測出攻擊并予以阻斷，這是防火墻所做不到的，當然也是入侵檢測產品所做不到的。

?

從產品應用角度來講，為了達到可以全面檢測網絡安全狀況的目的，入侵檢測系統需要部署在網絡內部的中心點，要能夠觀察到所有網絡數據。如果信息系統中包含了多個邏輯隔離的子網，則需要在整個信息系統中實施分布部署，即每子網部署一個入侵檢測分析引擎，并統一進行引擎的策略管理以及事件分析，以達到掌控整個信息系統安全狀況的目的。

?

而為了實現對外部攻擊的防御，入侵防御系統需要部署在網絡的邊界。這樣所有來自外部的數據必須串行通過入侵防御系統，入侵防御系統即可實時分析網絡數據，發現攻擊行為立即予以阻斷，保證來自外部的攻擊數據不能通過網絡邊界進入網絡。

?

入侵檢測系統的核心價值在于通過對全網信息的分析，了解信息系統的安全狀況，進而指導信息系統安全建設目標以及安全策略的確立和調整。而入侵防御系統的核心價值在于安全策略的實施——對黑客行為的阻擊；入侵檢測系統需要部署在網絡內部，監控范圍可以覆蓋整個子網，包括來自外部的數據以及內部終端之間傳輸的數據。入侵防御系統則必須部署在網絡邊界，抵御來自外部的入侵，對內部攻擊行為無能為力。

?

明確了入侵檢測和入侵防護的區別之后，萬卿提出了三種不同的應用環境，企業可以根據自身的需求進行最終的選擇：若用戶計劃在一次項目中實施較為完整的安全解決方案，則應同時選擇和部署入侵檢測系統和入侵防御系統兩類產品。在全網部署入侵檢測系統，在網絡的邊界點部署入侵防御系統；若用戶計劃分布實施安全解決方案，可以考慮先部署入侵檢測系統進行網絡安全狀況監控，后期再部署入侵防御系統；若用戶僅僅關注網絡安全狀況的監控（如金融監管部門、電信監管部門等），則可在目標信息系統中部署入侵檢測系統即可。

?

發揮作用

?

合理的選擇產品類型之后，下一個問題就是選擇什么樣的入侵檢測系統或什么樣的入侵防御系統才能最有效地發揮作用。

?

對此，萬卿解釋說，任何產品的開發應該圍繞著核心產品價值展開，產品的各種能力都應該為核心產品價值服務。因此，入侵檢測系統應該是能夠全面檢測網絡中各類安全事件，也就是說檢測的全面性是考量入侵檢測產品的優劣的主要標準。而入侵防御系統應該是能夠精確阻斷關鍵網絡威脅，也就是說對關鍵網絡威脅的防御能力以及防御的準確性是考量入侵防御系統優劣的主要標準。