網(wǎng)絡(luò)入侵防御系統(tǒng)監(jiān)控和分析企業(yè)的網(wǎng)絡(luò)流量來(lái)發(fā)現(xiàn)惡意活動(dòng)，并通過(guò)切斷和/或阻止相關(guān)網(wǎng)絡(luò)連接來(lái)攔截這些活動(dòng)。多年來(lái)，IPS一直被用在核心網(wǎng)絡(luò)位置，例如非常靠近防火墻來(lái)發(fā)現(xiàn)其他安全技術(shù)無(wú)法檢測(cè)到的各種基于網(wǎng)絡(luò)的攻擊。

網(wǎng)絡(luò)入侵防御系統(tǒng)的前身被稱為入侵檢測(cè)系統(tǒng)(IDS)，它提供與IPS相同類型的功能，區(qū)別在于IDS不能阻止惡意活動(dòng)。大多數(shù)早期網(wǎng)絡(luò)入侵防御系統(tǒng)采用基于簽名的檢測(cè)技術(shù)，這些技術(shù)可根據(jù)特定蠕蟲(chóng)病毒特有的字節(jié)序列，發(fā)現(xiàn)來(lái)自該蠕蟲(chóng)的通信。網(wǎng)絡(luò)入侵防御系統(tǒng)則開(kāi)始利用各種更為先進(jìn)的檢測(cè)技術(shù)，它們可以理解應(yīng)用協(xié)議和通信的復(fù)雜性，從而檢測(cè)基于應(yīng)用的攻擊，以及在其他網(wǎng)絡(luò)堆棧層的攻擊。

現(xiàn)在有很多網(wǎng)絡(luò)入侵防御系統(tǒng)產(chǎn)品，它們主要有三種形式，而本文重點(diǎn)介紹的作為專用硬件和軟件產(chǎn)品的IPS，這種IPS直接部署到企業(yè)的網(wǎng)絡(luò)，以及虛擬設(shè)備以部署到服務(wù)器內(nèi)虛擬網(wǎng)絡(luò)。

網(wǎng)絡(luò)入侵防御系統(tǒng)的架構(gòu)

在入侵防御系統(tǒng)部署的核心是一個(gè)或多個(gè)傳感器，每個(gè)傳感器被戰(zhàn)略定位以監(jiān)控特定網(wǎng)絡(luò)段的流量。在過(guò)去，企業(yè)為每個(gè)網(wǎng)絡(luò)段部署傳感器，但現(xiàn)在單個(gè)傳感器就可同步監(jiān)控多個(gè)網(wǎng)絡(luò)段。為了監(jiān)控關(guān)鍵網(wǎng)絡(luò)段，IPS傳感器通常部署在有著不同安全政策的網(wǎng)絡(luò)，例如互聯(lián)網(wǎng)連接點(diǎn)，或者內(nèi)部用戶網(wǎng)絡(luò)連接到內(nèi)部服務(wù)器網(wǎng)絡(luò)的位置。

除了硬件設(shè)備傳感器，有些供應(yīng)商還提供虛擬設(shè)備傳感器，它們具有與硬件設(shè)備傳感器相同的監(jiān)控和分析功能，但虛擬設(shè)備主要用于部署在運(yùn)行虛擬機(jī)的服務(wù)器內(nèi)，以監(jiān)控這些虛擬機(jī)之間的虛擬網(wǎng)絡(luò)。在這種架構(gòu)中，服務(wù)器中虛擬設(shè)備很有必要，因?yàn)樘摂M機(jī)之間的網(wǎng)絡(luò)流量將不會(huì)傳輸?shù)椒?wù)器之外。

IPS架構(gòu)的另一個(gè)重要方面是管理。網(wǎng)絡(luò)入侵防御系統(tǒng)供應(yīng)商通常提供集中管理控制臺(tái)，該控制臺(tái)可用于監(jiān)控配置，并可維護(hù)所有IPS傳感器—無(wú)論是硬件還是虛擬。很多企業(yè)還選擇將其IPS產(chǎn)品配置為：讓來(lái)自IPS傳感器的數(shù)據(jù)可以復(fù)制到安全信息和事件管理產(chǎn)品或其他企業(yè)安全控制，用于進(jìn)一步分析以及事故處理。這通常不再需要專用數(shù)據(jù)庫(kù)或?yàn)镮PS日志提供長(zhǎng)期存儲(chǔ)的其他方法。

IPS架構(gòu)面對(duì)的最大問(wèn)題是使用加密來(lái)保護(hù)網(wǎng)絡(luò)流量。這種安全做法可以保護(hù)網(wǎng)絡(luò)流量的內(nèi)容，讓IPS傳感器不能進(jìn)行分析，因此不能檢測(cè)加密流量?jī)?nèi)的攻擊。企業(yè)越來(lái)越多地部署IPS設(shè)備來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)中流量沒(méi)有加密的地方，例如在虛擬專用網(wǎng)絡(luò)服務(wù)器解密傳入流量后。

網(wǎng)絡(luò)入侵防御系統(tǒng)的典型環(huán)境

網(wǎng)絡(luò)入侵防御系統(tǒng)幾乎可用于所有環(huán)境，因?yàn)樗鼈兛梢詸z測(cè)并阻止其他安全控制無(wú)法檢測(cè)的某些類型的攻擊。例如，大多數(shù)IPS可以解譯和分析數(shù)百(甚至數(shù)千)應(yīng)用協(xié)議;這使它們可以檢測(cè)除電子郵件和Web流量之外的基于應(yīng)用的攻擊，電子郵件和Web流量是其他安全控件最經(jīng)常會(huì)涵蓋的應(yīng)用。

然而，本文中探討的入侵防御產(chǎn)品(專用硬件和軟件)最適合中型和大型企業(yè)。這是因?yàn)榕c其他IPS形式相比，專有IPS硬件和軟件成本更高，并且，通過(guò)專有硬件和軟件可實(shí)現(xiàn)更高的性能和負(fù)載分離。

而在小型企業(yè)，專有IPS硬件和軟件的低部署率的主要原因是：下一代防火墻(NGFW)等其他企業(yè)安全技術(shù)中有可用的IPS模塊。企業(yè)通常只要支付更低的采購(gòu)和部署成本就使用這些模塊，因?yàn)椴恍枰~外的硬件;長(zhǎng)期管理和維護(hù)也更加便宜，同時(shí)，IPS可作為NGFW的一部分來(lái)管理。如果小型企業(yè)有充足的資源，當(dāng)然也可以選擇專有IPS產(chǎn)品，以獲得更高的性能、冗余性等。小型企業(yè)也越來(lái)越多地部署基于云的IPS服務(wù)，這可能可以代表企業(yè)來(lái)進(jìn)行IPS監(jiān)控和管理。

使用、部署和管理IPSes的成本

雖然硬件設(shè)備和虛擬設(shè)備入侵防御系統(tǒng)產(chǎn)品有著幾乎相同的功能，但在使用和部署的成本方面則存在顯著區(qū)別。

基于硬件設(shè)備的入侵防御產(chǎn)品的部署成本通常非常高大多數(shù)，因?yàn)槠髽I(yè)需要大量傳感器設(shè)備來(lái)監(jiān)控外圍和內(nèi)部網(wǎng)絡(luò)的關(guān)鍵點(diǎn)，并且，每個(gè)設(shè)備可能都非常昂貴。但實(shí)際IPS部署成本并沒(méi)有那么高，只是企業(yè)可能需要中斷網(wǎng)絡(luò)來(lái)物理地將IPS傳感器插入到流量，以及重新配置網(wǎng)絡(luò)基礎(chǔ)設(shè)施來(lái)使用它們。

與硬件設(shè)備相比，虛擬設(shè)備可顯著降低使用和部署成本。由于不需要硬件，使用和部署成本相對(duì)較低，只需要軟件許可證以及安裝軟件到使用虛擬化技術(shù)的服務(wù)器。

在IPS管理方面，IPS技術(shù)已經(jīng)被設(shè)計(jì)為盡可能地自動(dòng)化，但企業(yè)可能仍需要投入大量資源來(lái)定制和優(yōu)化每個(gè)IPS傳感器。IPS技術(shù)依靠各種檢測(cè)技術(shù)，然而，并非所有這些技術(shù)都萬(wàn)無(wú)一失。眾所周知，IPS誤報(bào)率非常高(即良性活動(dòng)被IPS錯(cuò)誤判定為惡性)。近年來(lái)，這方面已經(jīng)明顯好轉(zhuǎn)，但仍然會(huì)發(fā)生，所以IPS管理員必須警惕審查IPS警報(bào)，并調(diào)試檢測(cè)功能以盡量減少誤報(bào)率。如果企業(yè)在使用IPS的防御功能，這一點(diǎn)尤其重要，因?yàn)檎`報(bào)率可能會(huì)導(dǎo)致良性流量被阻止。

管理網(wǎng)絡(luò)入侵防御系統(tǒng)

網(wǎng)絡(luò)入侵防御產(chǎn)品的目的是發(fā)現(xiàn)和阻止企業(yè)網(wǎng)絡(luò)中的惡意活動(dòng)。IPS主要有三種形式，本文中重點(diǎn)專注于其中一種形式：通過(guò)專有硬件和軟件而不是硬件設(shè)備或虛擬設(shè)備提供的IPS。這兩種類型的設(shè)備平臺(tái)的功能幾乎相同，但在架構(gòu)和部署成本方面，這兩者顯著不同。此外，雖然入侵防御產(chǎn)品幾乎有利于所有企業(yè)，但通過(guò)硬件或虛擬設(shè)備提供的IPS主要部署在中型和大型企業(yè)。小型企業(yè)則通常通過(guò)NGFW中的模塊或者基于云的IPS服務(wù)來(lái)獲取IPS功能。

在考慮使用基于硬件設(shè)備的IPS產(chǎn)品時(shí)，企業(yè)應(yīng)該仔細(xì)評(píng)估部署特別是管理的潛在成本。盡管現(xiàn)在IPS供應(yīng)商的技術(shù)已經(jīng)高度自動(dòng)化，企業(yè)仍然需要投入相當(dāng)大的精力來(lái)監(jiān)控和調(diào)查IPS警報(bào)、調(diào)試IPS檢測(cè)功能以及確保IPS在尋找最新的威脅。總之，企業(yè)投入更多精力來(lái)管理其IPS傳感器，將會(huì)從中獲得更多的價(jià)值。