天融信支招如何選購IPS設備
責編:admin |2014-04-30 11:08:40 當今網絡威脅日益嚴峻,各種新型的入侵攻擊猖獗不窮,比如4月8日爆出的OpenSSL漏洞,一度給互聯網用戶帶來了恐慌。面對這種突發的漏洞,用戶該采取哪些措施,如何防范呢?這就不得不提到IPS(Intrusion Prevention System)入侵防御系統。IPS是一部工作于OSI應用層的防護設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡入侵攻擊行為。作為防火墻在網絡應用層上的強力補充,越來越被用戶和網絡管理者看重,并且扮演著越發重要的角色。
然而,面對紛繁復雜的網絡環境部署、規模不同的等級保護要求、不盡相同的定制需求等,如何選購一臺合適的IPS設備,才能發揮其最大的價值和作用。下面筆者就選出客戶最關心的幾個要素進行簡單的闡述,希望能夠給正在選購IPS設備的讀者一些建議。
性能:無論是基礎網絡中交換機、路由器,還是安全防護設備諸如防火墻、IPS等,似乎客戶首先要關注的都是性能。不錯,因為性能是反應設備能力大小最直觀的指標,同時也是是否滿足部署要求最直接的判斷標準。
IPS設備提供應用層的保護,更注重的應該是應用層性能(當然我們是在二三層轉發能力遠遠大于應用吞吐的前提下所說的),諸如HTTP、FTP、SMTP等真實的業務性能。另外設備HTTP會話新建、HTTP并發數量、HTTP吞吐量、以及一些典型的混合應用場景的性能指標等,這些都有可能成為制約著網絡資源分配、用戶上網體驗、服務器質量的性能瓶頸,一定程度上影響著應用業務間的高效互通。
在選購IPS設備時,可以按照不同的性能需求進行參考,首要原則即是吞吐量一定要大于現實網絡中的最大帶寬,否則一旦成為性能瓶頸點,鑒于IPS串連接入的特點,就會對整個網絡造成影響。另外因為廠商一般給出的性能值的由其內部測試得到,不可避免的存在流量單一的缺陷性,所以在選購時要考慮到現實環境中大量應用的現狀,有時廠家宣稱的性能只能滿足其五分之一甚至更少的現網環境中。
檢測率:如果說設備的性能是衡量IPS設備的硬性條件,那么設備的檢測率即為衡量其能力的軟條件。檢測率的概念為設備對于網絡公開漏洞檢測的阻斷數占攻擊總數的比例。此項指標衡量的設備對于漏洞檢測覆蓋的能力,目前很多測試儀表廠商都在這一方面做著研究和推進,其中BPS(Breaking Point)公司的security攻擊測試組件相對較為完善,也是業界比較主流的測試檢測率的方法。
對于檢測率指標影響較明顯的是設備的攻擊特征庫質量,一個好的特征庫是IPS高效運作的必要條件,并且IPS設備廠商要提供定期的特征庫更新,以滿足新的攻擊防護需求,這在主流的安全廠商中應該都是必須支持的服務。另外提到檢測率,我們提出了一個全新的概念為滿檢速率和滿負荷檢測率,作為性能指標的一個補充。滿檢速率定義為在能夠全部檢測已知攻擊的情況下設備最大的吞吐量,它主要考察的是設備能夠正常檢測攻擊情況下的真實吞吐能力,而滿負荷檢測率則是衡量設備最大吞吐負荷下的攻擊檢測能力,兩個指標互為補充能夠真實反應設備的處理性能。細數國內安全廠商中,目前只有天融信以“滿檢測率”來評價產品性能。
誤報和漏報:誤報和漏報在選購IPS時也同樣要作為一個重要的指標。誤報可以分為兩個方面:一方面是設備把正常業務流量誤識別成攻擊行為,最直接的影響就是使正常的業務無法進行下去;另一方面是對攻擊事件識別錯誤,也就是攻擊一對一的誤報。而漏報一般指的是設備沒有成功識別出攻擊或者入侵行為,使攻擊成為“漏網之魚”。
誤報對于網絡的影響還是很大的,比如在繁忙的網絡當中,如果以每秒需要處理十條警報信息來計算, IPS每小時至少需要處理 36,000 條警報,一天就是 864,000 條。如果入侵特征編寫得不是十分完善,那么"誤報"就有了可乘之機,導致合法流量也有可能被意外攔截。如果觸發了誤報的流量恰好是某個客戶訂單的一部分,其結果可想而知,這個客戶整個會話就會被關閉,而且此后該客戶所有重新連接到企業網絡的合法訪問都會被"盡職盡責"的IPS攔截。
攻擊逃逸手段檢查:攻擊逃逸技術,也可稱為攻擊檢測躲避技術,是在眾多蓄意隱性攻擊中應用范圍最廣,最有效的一類技術。當攻擊者發現被攻擊目標正受到IPS等產品保護時,攻擊者往往會根據攻擊目標的協議特性或漏洞,對攻擊方式或攻擊內容進行精心調整,進而逃避IPS等產品的檢測,諸如IP分片、TCP重組、HTML編碼格式躲避等。如果不能對其進行正常、有效的處理,這類攻擊會使得IPS產品形同虛設,將用戶的網絡資源暴露于攻擊者面前,從而降低用戶網絡環境的安全性,增加用戶資產遭受損失的風險。
隨著互聯網的快速發展,黑客技術的不斷提高,攻擊逃逸技術越來越多樣化和復雜化,也要求IPS設備對于越來越多的逃逸手法的防御能力隨之提高。
業務的可靠保證:有些重要的客戶要求網絡系統得到保障,諸如金融交易平臺、網站購物系統等,往往這類用戶對于網絡可用性的要求要遠遠大于其對網絡架設成本的考慮。很多廠商應客戶此類要求也在高可靠性上做足了文章,諸如電源冗余、鏈路冗余、數據災備、雙機部署、BYPASS功能等等。IPS設備若支持雙機熱備部署,主備間能夠實時同步配置和策略,并且異常情況下能夠達到快速切換的效果,能夠保證客戶業務的正常不間斷;或者單臺設備若支持軟、硬件BYPASS功能,當出現異常掉電、進程崩潰、重啟的時候接口間會形成一條臨時的通路保障業務正常進行。
也許你會想既然有了BYPASS技術,是不是就可以不用買兩臺設備部署HA了呢?不是這樣的,雙機熱備不僅僅能夠同步配置,最重要的是可以同步會話狀態,甚至可以進行負載的分擔,能夠實現真正的異常倒換并且不被客戶察覺,這是BYPASS不能比擬的,所以如果您對網絡可靠性要求很高,并且不差錢,就買兩臺吧!
靈活審計和管理:說到管理會涉及到很多方面,我們以用戶比較關心,并且經常會用到的兩個方面來說:監控審計和集中管理。
當前網絡管理員對于安全事件、安全日志報表的審計需求正在快速上漲。之前我們一般要求設備上能夠實時地對攻擊事件進行反饋,攻擊日志記錄信息詳細,提供多種報表模板,內容豐富詳實等,但現在明顯不能滿足很多客戶要求。比如根據實時攻擊事件動態調整策略,自動同步備份日志,自定義報表模板功能,TOPN排名等,更加靈活的統計分析,更加友好的界面等都可以成為我們選購一臺IPS的原因。
另外在大型的系統中一般存在大量的設備需要管理,這時使用集中管理的方式會使管理效率提高很多,起到事半功倍的效果。集中管理的方式支持多臺設備同時進行管理,能夠對策略進行批量的調整,對攻擊日志和報表進行統一的收集和統計。當前主流廠商也相繼推出了自己的集中管理平臺,為整合網絡管理提供了很多的便利。這個在選購設備時,可根據網絡規模做一定的參考。
總體而言,對于IPS設備的采購來說可以從上面提到的幾點進行參考,通過設備性能、檢測率、誤報漏報、以及滿檢速率等指標對設備進行針對性的選購,另外從設備管理或功能方面對設備進行有條件的選擇,讓你的IPS設備發揮更大的價值吧!