引:不久前,赛门铁克公司宣布推出其Symantec Network Security 7100(以下简称“SNS 7100”)IPS(入侵防护设备)系列,在IPS 产品几乎已经满街都是的时候,该产品的一键切换(One Click to Prevention)功能使其显得与众不同。只要单击一下鼠标,用户就可以根据自己的安全策略在IDS(入侵检测)和IPS 这2种不同模式间进行切换。
在IPS和IDS之争的大背景下,一键切换功能的出现颇有一种调和的意味。当很多人津津乐道于Gartner“IDS 必死”的结论时,IPS 并没有迅速取代IDS,IDS 依然有很多拥趸。事实上,Gartner 的预言是基于IDS 误报太多、只能监测而不能阻挡,而且在IPv6 出来后对于加密的流量无能为力。举个也许不甚恰当的例子,假设你是位很有正义感的人,看到可疑的人就会向警察报告。但由于你生怕漏掉一个坏人,肯定会有很多误报的情况,此外,等到警察来解决问题,很多时候就太晚了。如果你本身就是个警察,既能一眼看穿眼前的人是好是坏,也能立即就将坏人逮捕归案,不是很理想吗?这就是业界呼吁IPS 的原因。
但事实上,IPS 针对IDS 的缺陷应运而生却不能得到用户的广泛认可,也是有原因的。一方面可能是有些用户天生地害怕尝试新事物,另一方面则需要从IPS自身来进行检讨。第一就是误报,IPS 是在IDS 基础上发展起来的,其检测机理完全相同。虽然其准确率高达99%以上,但是由于它所具备的阻挡功能,会将正常的流量拒绝,这对于一些用户来说是不能接受的。第二就是面对新的未知威胁时几乎无能为力。从IDS 到IPS,在实现了从“粗放式”到“精细式”转换的同时,也意味着放弃了很多。但目前的形势是网络当中的攻击行为不但没有消亡,而且越来越猖獗,技术也越来越隐蔽,攻击造成的影响会越来越多。所以就IPS 目前的检测能力而言,也让很多用户忌讳。
当很多厂商在宣传IPS 这样一个新概念的产品时,过于强调它的防护功能、它的主动优势,而忽略了它所带来的负面影响。但从我们的分析来看,如果IPS 和防火墙配合得不合理,安全策略设置得不恰当,对于某些用户而言,IPS 所带来的问题要大于它的好处。
|
