安全产品要融合:入侵防御系统分析
- 网络安全
- 2005-08-12
- 130热度
- 0评论
针对最近在国外发生的关于IDS(入侵检测系统)和IPS(入侵防御系统)的讨论,网航安全技术(北京)有限公司提出了自己的看法。他们认为:IDS向IPS的发展,就是一个寻求在准确检测攻击基础上防御攻击的过程,是IDS功能由单纯的审计跟踪到审计跟踪结合访问控制的扩展。从早期的主动响应入侵检测系统到入侵检测系统联动,再到最近的入侵防御系统,是一个不断完善的解决客户需求的过程。
入侵检测是一种异常识别技术,随着用户安全意识的加强,网络入侵检测系统已经获得了很大的发展,在网络安全体系中得到了越来越多的应用。但网络入侵检测系统在诞生之初,仅是一个纯粹的审计型系统,它最大的问题在于只能检测攻击,但不能阻止攻击。换而言之,仅仅依靠网络入侵检测系统并不能保护企业网络免受恶意攻击。
因而,用户很自然地有这样的想法:既然可以检测到攻击行为,为什么不去阻止它呢?实际上,网络入侵检测系统的开发人员也确实是这样去做的。在早期,开发人员试图在网络层对攻击行为进行阻断,这样就产生了所谓的主动响应的网络入侵检测系统。这种主动响应的网络入侵检测系统只针对TCP流和UDP连接进行阻断,对基于其他协议的攻击,例如基于ICMP、IGMP的攻击包,这种方式就束手无策了。在实际应用中,阻断TCP流和UDP连接的方法也并不可靠。
所以,我们可以看到,这种主动响应的入侵防御方法可靠性比较差,实际应用中很难得到满意的效果。在当前,最常见的入侵防御方法是通过网络入侵检测系统和防火墙的联动来实现。当入侵检测系统发现攻击企图后,它会通知防火墙将攻击来源的IP地址或端口禁止掉。
联动的概念最初是由防火墙厂商CheckPoint提出来的,CheckPoint提出了OPSEC开放接口,并与其它厂商密切合作,实现了CheckPoint防火墙和身份认证、内容安全、入侵检测等产品的互动。现在市场上的主流网络入侵检测产品,例如NFR NID、secoshield等,几乎都可以和CheckPoint防火墙进行互动。随着信息安全的发展,越来越多的用户认识到,安全不是一个孤立的问题,依靠任何一款单一的安全产品,都不能保证企业网络的安全。用户需要的是整体安全,需要一个联系紧密的安全防范体系。可以想象,多种安全产品的协作互动肯定会越来越流行,其应用也会越来越广泛。
信息安全产品的发展趋势是不断地走向融合,走向集中管理。但这种防火墙加入侵检测产品互动的方式也有一些不足。首先,使用两个产品防御攻击会使系统很复杂,任何一个产品发生故障都会导致安全防范体系的崩溃,而且,两个产品的维护成本也比较高。最重要的问题在于,防火墙和入侵检测产品的互动并没有一个被广泛认可的通用标准,大多数安全厂商各行其道,入侵检测产品厂商只与自己感兴趣的防火墙进行互动,而防火墙厂商提出的开放接口却又互不相同。没有一个通用的标准可以让所有的入侵检测产品和所有的防火墙进行互动。这样,用户在采购安全产品的时候,不得不考虑到不同产品的交互性问题,从而限制了用户选择产品的范围。
为了解决不同安全产品难于协作的问题,开发人员考虑将两个产品的功能集成到一个产品内。这样就产生了NIPS(网络入侵防御系统)。NIPS的出现有一个前提,就是入侵检测产品的误报率必须控制在可以接受的范围内。所幸的是,经过十多年的发展,网络入侵检测系统已经得到了长足的发展,通过采用一系列碎片重组、流重组、协议分析、状态分析等技术,入侵检测系统已经可以很好地将误报控制住。所谓NIPS,可以简单理解为串联的网络入侵检测系统。传统的网络入侵检测系统是并联在网络上的,所以它没有精确有效的办法改变、影响它检测到的流量。
网航安全技术(北京)有限公司自成立之始,便专注于网络安全技术研究、开发,特别侧重于针对各种攻击的检测及防御。经过近几年以技术创新为导向的发展,基于新一代技术的网航入侵防御系统于近期推出。网航入侵防御系统(iNetSecure IPS)是自主研发、拥有完全自主知识产权的入侵防御产品。
该系统除了提供入侵检测系统(IDS)的全部功能之外,还集成了动态防火墙的功能,从而弥补了IDS仅报警、不阻断攻击行为的缺陷。用户也可以通过简易的设置,使其仅作为IDS使用,真正意义上实现了高速状态下进行检测、报警、阻断、记录等一系列操作。该产品的部署类似于网桥,无需更改现有网络结构。该产品的另一个明显优势是,检测粒度很细,几乎可以检测到包括应用层攻击在内的所有主要攻击方式,并且提供灵活的应对手段,用户可以选择阻断或者放行特定的攻击数据包。
实践证明,单一功能的产品不能满足客户的需求,安全产品的融合、协同、集中管理是网络安全重要的发展方向。网航公司认为,随着信息安全的发展,入侵防御产品必将获得越来越多的应用。