亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標(biāo)題: 現(xiàn)在IDS有必要做么，是不是淘汰了？該做IPS？ [打印本頁]

作者: chinaunix_li 時間: 2007-04-05 17:13
標(biāo)題: 現(xiàn)在IDS有必要做么，是不是淘汰了？該做IPS？
現(xiàn)在IDS有必要做么，是不是淘汰了？該做IPS？

IDS系統(tǒng)、網(wǎng)絡(luò)漏洞掃描系統(tǒng)還有IPS系統(tǒng)哪家做的比較好？請了解的幫推薦，謝謝！

[ 本帖最后由 chinaunix_li 于 2007-4-6 10:28 編輯 ]

作者: ayazero 時間: 2007-04-05 17:15
寧愿用IDS也不用IPS

作者: lovgate 時間: 2007-04-05 17:37
提示: 作者被禁止或刪除內(nèi)容自動屏蔽

作者: 黑胡子 時間: 2007-04-06 03:55
-_-;;;看了介紹好像ips更優(yōu)秀啊頂上去

[ 本帖最后由黑胡子于 2007-4-6 03:57 編輯 ]

作者: chinaunix_li 時間: 2007-04-06 10:14

原帖由 ayazero 于 2007-4-5 17:15 發(fā)表
寧愿用IDS也不用IPS

WHY?
聽說IPS具備IDS和網(wǎng)絡(luò)漏洞掃描兩個功能。
不知道是否正確？

[ 本帖最后由 chinaunix_li 于 2007-4-6 10:18 編輯 ]

作者: linkboy 時間: 2007-04-06 10:15
在特殊環(huán)境下堅決不串聯(lián)設(shè)備

作者: Tiger_cn 時間: 2007-04-06 11:29
對版主都是非常敬仰啊

作者: caicai 時間: 2007-04-06 15:10

原帖由 chinaunix_li 于 2007-4-6 10:14 發(fā)表

WHY?
聽說IPS具備IDS和網(wǎng)絡(luò)漏洞掃描兩個功能。
不知道是否正確？

IPS系統(tǒng)有掃描功能？不會吧

作者: green21cn 時間: 2007-04-10 09:51
IPS有多種工作模式，如果出現(xiàn)斷電等異常狀況，可以直接切換到bypass，樓上的擔(dān)憂就不存在了。

作者: 小N哥哥 時間: 2007-04-10 20:09
感覺這些都是還是不是很適用

作者: pcbean 時間: 2007-04-11 15:05
bb 說的有一定道理....ids 跟 ips 的誤報都看見了吧?...
想想..............

作者: ayazero 時間: 2007-04-12 14:20
IPS如何實現(xiàn)IPS的功能？

作為一個串聯(lián)設(shè)備，7層協(xié)議解包，payload和（>1000）條規(guī)則進(jìn)行hash匹配，延遲能讓客戶端覺得可以接受，什么誤報漏報也就別提了，就這樣的設(shè)備能夠一直工作我就挺懷疑的

我覺得以現(xiàn)在的并行處理能力無論是X86還是ASIC抑或是NP架構(gòu)都難以達(dá)到，其實IPS就是個噱頭

還有那個UTM，可能處理速度會比IPS好一點，但是我也極力不推薦

如果一定要買IPS，只推一個產(chǎn)品，ISS的（$非常貴），其他的一律無視！如果這個東西上架后測試不行，那就把IPS這個名詞直接劃掉吧，就當(dāng)沒有這個東西好了

取而代之，解決問題的根源，客戶端的問題應(yīng)該在客戶端解決，而不是一味著想著在GW處解決，

在GW仍采用傳統(tǒng)的FW+并聯(lián)IDS，內(nèi)部可采用AD（域管理）+AV（防病毒、或HIPS企業(yè)版）+NAC（網(wǎng)絡(luò)接入控制、身份認(rèn)證）+WSUS（SMS）+終端管理（比AD強，錢多可以買）+（交換機）安全域劃分+參考BS7799擬定管理制度……
有錢還可買個漏洞掃描（好聽一點叫漏洞管理）

其實HIPS倒是可行的，把計算負(fù)載分散到終端，企業(yè)版就可以，當(dāng)然上面的并非全要，終端管理是可選的

還有在當(dāng)前的安全趨勢下，想通過網(wǎng)關(guān)設(shè)備一勞永逸是根本不切實際的

最后，不要聽那些廠商的人嚇忽悠，80%以上的人根本不懂安全，說起來這個行業(yè)真可憐，對人的要求高了點

作者: 獨孤九賤 時間: 2007-04-13 10:51

原帖由 ayazero 于 2007-4-12 14:20 發(fā)表
IPS如何實現(xiàn)IPS的功能？

作為一個串聯(lián)設(shè)備，7層協(xié)議解包，payload和（>1000）條規(guī)則進(jìn)行hash匹配，延遲能讓客戶端覺得可以接受，什么誤報漏報也就別提了，就這樣的設(shè)備能夠一直工作我就挺懷疑的

我覺得以 ...

樓上的實乃兄弟肺腑之言……

作者: 黑胡子 時間: 2007-04-14 05:16
斑竹終于給出回答了
真是牛啊

作者: chinaunix_li 時間: 2007-04-14 21:52
謝謝以上熱心朋友答復(fù)，使我有個大體了解。

作者: wansion 時間: 2007-04-24 14:55
好久不談技術(shù)了，我是覺得各取所需，考慮投入產(chǎn)出原則，IDS也好，IPS也好，甚或是IPs、UTM看企來的需求了，我所見過的企業(yè)，電信的，把FW的所有功能關(guān)掉，只用來作NAT的也有，因為NS的NAT功能太強了，ASIC厲害，也有的就是統(tǒng)一上一個UTM，在UTM里甚至要作垃圾郵件過濾，當(dāng)然是對帶寬和CPU資源的極大浪費，但他不看重穩(wěn)定性，速度什么的，所以也是一種實現(xiàn)方法，另外現(xiàn)在基本上IDS和IPs是一體的，布署方式不同，名稱也就不一樣了，甚至于IPS、IDP、UTM我覺得也差不多是一會事，只是取了一個不一樣我名字，功能銷有差別而已，至于品牌，我素來不信評測，花錢搞出來的，自己也作過很多，只信口碑，推薦Netscreen,ISS(IBM)，Checkpoint。

作者: bati 時間: 2007-04-25 00:35
IPS？UTM？
統(tǒng)一真的好么？
從社會分工的角度來說，我們有刑警，片兒警，緝毒警，還有航空警察，交通警察等等，各自也有不同的管轄范圍和職責(zé)沒說警察包打天下吧。
安全我想也是這個道理，畢竟社會建制發(fā)展了這么多年，那么多社會學(xué)家，政治家等等，我想他們智力也不比現(xiàn)在搞安全的人低多少吧，為啥也沒找到統(tǒng)一的方案呢？
IPS－－－>誤報了怎么辦？別說你的系統(tǒng)0誤報，測試優(yōu)化都會做。
UTM－－－>試試看功能全開是個啥結(jié)果，有人說這個給中小企業(yè)用的，我就不懂那么多廠商忽悠千兆、萬兆產(chǎn)品個什么勁兒？

作者: 源方 時間: 2007-04-27 16:08
關(guān)鍵是ips國內(nèi)做的都不太好。主要靠吹，呵呵
ids相對要成熟

作者: benz-popor 時間: 2007-04-28 10:33
說的有道理，但有時還是要支持國產(chǎn)的

作者: good白芷 時間: 2007-04-29 16:41
IPS這個東西，不管怎么吹得天花亂墜，總覺得就是個串連的ids而已。
退一萬步講，就算不考慮誤報，不考慮7層解包帶來的延遲，
ips比ids＋fw能好到哪里？
但是價格么，就貴的不是一點兩點啊

作者: chinaunix_li 時間: 2007-04-29 17:03
謝謝以上熱心朋友答復(fù)

作者: FireR2 時間: 2007-05-07 20:20
提示: 作者被禁止或刪除內(nèi)容自動屏蔽

作者: pcbean 時間: 2007-05-10 08:45
實際上線到你的網(wǎng)絡(luò)測試才能最終讓你感覺這款產(chǎn)品是否合適你.是否合適這個網(wǎng)絡(luò).

所謂的爭論在任何實際應(yīng)用面前就是比較無力的

作者: lovgate 時間: 2007-05-17 17:58
提示: 作者被禁止或刪除內(nèi)容自動屏蔽

作者: wuqing21nian 時間: 2007-05-25 23:50
有了IPS干嗎還選IDS,除非運營商等超大流量的骨干網(wǎng)不能串聯(lián)設(shè)備影響速度.
我們小區(qū)用的綠盟的IPS 型號600P,用上之后玩游戲變穩(wěn)定了，征途等不會掉線了.哈哈
小區(qū)同時有3000臺左右電腦上網(wǎng).感覺IPS性能還是很好的.

作者: bingosek 時間: 2007-05-26 15:26
我在項目設(shè)計上從來不考慮IPS，原因很簡單，誤動作怎么辦？
就算IPS能夠省一些人力工夫，但是誤動作是把業(yè)務(wù)系統(tǒng)切斷了怎么辦？
我在標(biāo)書上寫上誤動作的賠償條款，那個廠商敢過來響應(yīng)？

作者: lovgate 時間: 2007-05-28 22:11
提示: 作者被禁止或刪除內(nèi)容自動屏蔽

作者: ayazero 時間: 2007-05-29 09:17
除了核心R&D之外，銷售和工程師說的話可以無視，那些數(shù)據(jù)僅僅是表面文章而已，就像現(xiàn)在液晶電視都標(biāo)什么<8ms延遲之類的，其實哪有

作者: shdnzwy 時間: 2007-05-30 12:07
學(xué)習(xí)了……頂頂……看不太明白……

作者: heiheijian 時間: 2007-05-31 15:11

原帖由 ayazero 于 2007-4-12 14:20 發(fā)表
IPS如何實現(xiàn)IPS的功能？

作為一個串聯(lián)設(shè)備，7層協(xié)議解包，payload和（>1000）條規(guī)則進(jìn)行hash匹配，延遲能讓客戶端覺得可以接受，什么誤報漏報也就別提了，就這樣的設(shè)備能夠一直工作我就挺懷疑的

我覺得以 ...

我目前正在搞一個內(nèi)網(wǎng)安全的方案，些信息太有價值了``

有機會指導(dǎo)下小弟```

作者: duanjigang 時間: 2007-06-26 16:47
IDS又有幾個能做好昵，現(xiàn)在又追求IPS了，好高騖遠(yuǎn)

作者: skipjack 時間: 2007-07-04 16:35

原帖由 ayazero 于 2007-4-12 14:20 發(fā)表
IPS如何實現(xiàn)IPS的功能？

作為一個串聯(lián)設(shè)備，7層協(xié)議解包，payload和（>1000）條規(guī)則進(jìn)行hash匹配，延遲能讓客戶端覺得可以接受，什么誤報漏報也就別提了，就這樣的設(shè)備能夠一直工作我就挺懷疑的

我覺得以 ...

很想聽聽你認(rèn)為的IPS是如何實現(xiàn)IPS功能的。下面這條snort規(guī)則看起來很簡單，但在IDS和IPS上實現(xiàn)難度會差很大。這個難度我想就是IPS與IDS的區(qū)別吧。

alert tcp $EXTERNAL_NET any -> $SMTP_SERVERS 25
(msg:"SMTP sendmail 8.6.9 exploit";
flow:to_server,established;
content:"|0a|Croot|0a|Mprog";
reference:arachnids,142; reference:cve,CVE-1999-0204;
classtype:attempted-user;
sid:669;
rev:4;)

你的感覺？

[ 本帖最后由 skipjack 于 2007-7-4 16:37 編輯 ]

作者: ttvast 時間: 2007-07-05 23:34
IDS有用嗎?IDS是第一個被我CANCEL的設(shè)備,IPS就更加不用考慮了.
IDS能報的攻擊,都是無法成功的攻擊.

作者: digitals 時間: 2007-07-06 06:52
提示: 作者被禁止或刪除內(nèi)容自動屏蔽

作者: rock_messenger 時間: 2007-07-07 12:02
:em11: 看不懂..學(xué)習(xí)中

作者: ayazero 時間: 2007-07-08 12:27

原帖由 ttvast 于 2007-7-5 23:34 發(fā)表
IDS有用嗎?IDS是第一個被我CANCEL的設(shè)備,IPS就更加不用考慮了.
IDS能報的攻擊,都是無法成功的攻擊.

1.只有幾個牌子的IDS我覺得是有用的，其余的模仿產(chǎn)品可以無視

2.IDS對于像我這樣的人來說是有用的，必須有規(guī)則自定義功能

作者: yangjie2924 時間: 2007-07-09 14:56
IPS在IDS檢測的基礎(chǔ)上具備攔截功能

作者: cjy 時間: 2007-07-10 10:24

原帖由 ayazero 于 2007-4-12 14:20 發(fā)表
IPS如何實現(xiàn)IPS的功能？

作為一個串聯(lián)設(shè)備，7層協(xié)議解包，payload和（>1000）條規(guī)則進(jìn)行hash匹配，延遲能讓客戶端覺得可以接受，什么誤報漏報也就別提了，就這樣的設(shè)備能夠一直工作我就挺懷疑的

我覺得以 ...

說的很中肯啊。確實如此。

作者: happystarry 時間: 2007-07-12 09:29
個人認(rèn)為ＩＤＳ　和ＩＰＳ　完全兩碼事，沒什么好比的，你需要的就是最好的。

作者: Bad_Uz 時間: 2007-07-17 12:49
IPS才發(fā)展起來，還不成熟！
IDS畢竟在國內(nèi)起步較早，幾家公司都有成熟的產(chǎn)品，前者最近炒作很火，見意慎重為佳:wink:

作者: chinaciscoccie 時間: 2007-07-18 11:24
IDS就是添加智能分析功能,變成IPS了.手動變成自動了.

作者: thl'tha 時間: 2007-07-23 10:34

原帖由 ayazero 于 2007-4-12 14:20 發(fā)表
還有在當(dāng)前的安全趨勢下，想通過網(wǎng)關(guān)設(shè)備一勞永逸是根本不切實際的 ...

不少地方在討論如何封這個封那個

從客戶端入手很簡單，禁止安裝程序就ok 了

如果做不到就是貓捉老鼠的游戲

倒是帶動了技術(shù)的升級

現(xiàn)在電驢的模糊協(xié)議挺強的

估計快集成洋蔥來連服務(wù)器了。

X CNC X YAHO X DM.BBN.COM.CN

作者: guotie 時間: 2007-07-24 11:41
re

作者: ~wind~ 時間: 2007-07-29 19:16
說實話,用處實在是不大.引擎好的話做IPS還行

作者: unsword 時間: 2007-08-01 16:12
沒有看到一個真正懂IPS 與 IDS的人發(fā)言。樓上所有的討論均為外行話語。

一些根本不懂IPS、IDS的人在討論這2個東西的有點缺點，還有一些自以為很懂的人在忽悠人。

要弄明白什么是IPS，至少要在 FPGA、EDA等硬件芯片領(lǐng)域，系統(tǒng)領(lǐng)域，漏洞、安全領(lǐng)域，以及

數(shù)學(xué)領(lǐng)域有著非常高深的造詣，此外還需要系統(tǒng)構(gòu)架，硬件結(jié)構(gòu)體系等各方面的知識。

以前也覺得自己跟樓上的某些所謂大俠、斑竹一樣牛B，后來跟一些廠家的硬件研發(fā)人員有機會交流后，才感覺到自己真的不懂什么叫產(chǎn)品。

所以，謙虛的學(xué)習(xí)把，任何事物，存在即是合理，只要這個東西出現(xiàn)了，他就有他存在的理由和價值。

希望大家認(rèn)真的去學(xué)習(xí)什么叫 IDS ，什么是 IDP或者IPS，而不是在這里嘰嘰歪歪的叫囂這個是垃圾，那個是垃圾，因為我們都是垃圾中的一員。

作者: secworld 時間: 2007-08-01 16:37

原帖由 unsword 于 2007-8-1 16:12 發(fā)表
沒有看到一個真正懂IPS 與 IDS的人發(fā)言。樓上所有的討論均為外行話語。

一些根本不懂IPS、IDS的人在討論這2個東西的有點缺點，還有一些自以為很懂的人在忽悠人。

要弄明白什么是IPS，至少要在 FPGA、E ...

1.我不認(rèn)為Martin Roesch具備你所說的條件。
2.與硬件廠商交流后，你才知道你不懂什么是產(chǎn)品？我很想知道他們對你都說什么了。是什么樣的硬件廠商。

先扔兩石頭子，探探水深水淺

作者: joinbaijun 時間: 2007-08-02 14:14
IPS是不是要求機器性能更高

作者: chunyv 時間: 2007-08-10 10:51
路過

作者: wingjing 時間: 2007-08-10 11:52
48樓的明顯是被廠商忽悠到位了。。。

作者: cisp 時間: 2008-03-03 23:05
呵呵，像模像樣忽悠的人還真不少

作者: blues1205 時間: 2008-03-03 23:36
我認(rèn)為，不論任何企業(yè)，網(wǎng)絡(luò)安全都是在尋找一種利益與風(fēng)險的最佳平衡點。產(chǎn)品的簡單堆砌不是解決安全問題

根本辦法，但安全的基礎(chǔ)建設(shè)也是必須要邁出的一步。突然一下讓全國人民都變成安全專家，也是不現(xiàn)實的。

IDS與IPS各有優(yōu)勢，需要根據(jù)自己的實際情況來選擇�？梢哉fIPS是一個發(fā)展的趨勢，但其還需要不斷的完善。

我認(rèn)為單獨的討論產(chǎn)品的好壞，意義不是很大，除非針對某個特定的行業(yè)或項目。

以上是我的一些想法，歡迎拍磚。

作者: 33to9 時間: 2008-03-09 15:36
其實IDS記錄的數(shù)據(jù)是供人分析的.作為風(fēng)險數(shù)據(jù)的一方面來源.對人的要求挺高的.然后通過人的角度進(jìn)行加固或者進(jìn)一步的安全管理.
IPS就是把這樣的數(shù)據(jù)給機器分析.事情讓機器來做.是很大程度彌補了一些低端IT管理人員水平的不足.但是遠(yuǎn)遠(yuǎn)達(dá)不到高端IT管理者的水平.
至于性能上的東西.我想是過于細(xì)節(jié)的東西了,IPS的串聯(lián)也好.IDS的并聯(lián)也好.其實只要不影響核心網(wǎng)的性能穩(wěn)定.都是能接受的.慢點就慢點唄.
不過個人對于IPS的串聯(lián)的感受是——確實是很初級的解決方案......

作者: 33to9 時間: 2008-03-09 15:46

原帖由 unsword 于 2007-8-1 16:12 發(fā)表
沒有看到一個真正懂IPS 與 IDS的人發(fā)言。樓上所有的討論均為外行話語。

一些根本不懂IPS、IDS的人在討論這2個東西的有點缺點，還有一些自以為很懂的人在忽悠人。

要弄明白什么是IPS，至少要在 FPGA、E ...

其實多串聯(lián)一個設(shè)備.你的網(wǎng)絡(luò)就多一分不穩(wěn)定的風(fēng)險.并聯(lián)的設(shè)備風(fēng)險系數(shù)永遠(yuǎn)是小于串聯(lián)設(shè)備的.

發(fā)現(xiàn)這個貼的人竟然連版主在內(nèi)的立腳點都不夠高啊

作者: zeroflag 時間: 2008-03-11 12:20
看了半天，真的沒有太專業(yè)的技術(shù)回復(fù)呀。估計這里面真正從事IDS/IPS研發(fā)的很少。本人水平不高，也就是個售前而已。我想拋開技術(shù)層面不看，單純從IDS/IPS的實際應(yīng)用角度說說我的看法。

1、從實際的應(yīng)用效果來看，IPS其實是要遠(yuǎn)遠(yuǎn)高于IDS的。
這其實和技術(shù)無關(guān)，而是和客戶有關(guān)�，F(xiàn)在的客戶了解安全的不多，能夠正確配置防火墻的都沒有幾個，更加不要說能夠理解IDS的報警，甚至熟練配置了。一般客戶買回IDS頭一個星期可能還有興趣看一看，時間一長就連看都不看了。我見過一臺IDS死機一年多，客戶愣是不知道的情況。
在這個基礎(chǔ)上，我們可以很容易看出IPS的優(yōu)勢在哪里，它的在線直接中斷攻擊的能力，其使用價值是遠(yuǎn)遠(yuǎn)高于IDS的。雖然IDS可以有與防火墻聯(lián)動的方案，但是配置極其復(fù)雜，要一條一條IDS規(guī)則的配置，就我見到的情況，除了人民銀行總行真的一跳一跳配置了聯(lián)動規(guī)則以外，其他沒有任何一個客戶配置過，最多是在安裝的時候，廠家工程師給客戶演示一下就完了。更加不要IDS與防火墻聯(lián)動根本不能防御注注入Sql Slammer這樣的單包攻擊了。

2、IPS的有效應(yīng)用是什么
目前看來IPS最有效的應(yīng)用其實是防范網(wǎng)絡(luò)病毒的大規(guī)模傳播。這是因為大規(guī)模傳播的病毒所采用的攻擊方式大多具有非常明顯的特征，用IPS識別并阻斷是非常有效的。我們某省公安廳的客戶，在使用IPS之前，其病毒上傳到公安國干網(wǎng)上的排名是前三，使用了IPS，排名變?yōu)榱撕笕@使得我們受到了客戶的高度認(rèn)可。這也是我見到過的IPS的最成功的應(yīng)用。當(dāng)然現(xiàn)在還有防毒墻產(chǎn)品，它在防病毒方面更加全面，但是從性能上看，防毒墻產(chǎn)品現(xiàn)在還遠(yuǎn)遠(yuǎn)達(dá)不到上骨干線路的要求。
另外，IPS的攻擊防護(hù)雖然對絕大多數(shù)有預(yù)謀的高水平黑客來說，起不了太大的作用。但是對于“掃描器+攻擊工具”的無目標(biāo)的盲目攻擊行為（比如當(dāng)年用3389抓肉雞）來說，還是具有很好的防御能力的。而我們現(xiàn)在見到的最大量的攻擊恰恰是這種盲目攻擊。

3、誤報漏報問題
IDS、IPS從攻擊的發(fā)現(xiàn)機制上來說，其實都差不多，最直接最有效的就是特征匹配。其他的方法都是輔助性的。因此對于誤報問題的解決，關(guān)鍵是特征庫本身的質(zhì)量問題。同樣用Snort引擎，高手寫出的特征庫和我寫出的特征庫誤報水平肯定是天上地下。但是即使高手寫出來的東西也是有誤報的，IPS在這方面一般采用的是寧漏不誤的策略，所以過分擔(dān)心IPS誤報會阻斷正常應(yīng)用大可不必，對于一些模糊的東西，IPS根本不報。這也是IPS相對于IDS日志要少很多的原因。當(dāng)然這樣也放過了攻擊，不過如果是IDS就不放過攻擊嗎？
另外，IPS的漏洞大多針對系統(tǒng)漏洞，這些漏洞所使用的應(yīng)用絕大多數(shù)和我們的業(yè)務(wù)系統(tǒng)沒有關(guān)系。即使這樣誤報率依然沒有敢保證是0，不會中斷正常業(yè)務(wù)。具體如何，建議還是上線測試一下最保險。

4、關(guān)于性能問題
解決性能問題還是要靠硬件的發(fā)展，一個是多核CPU的應(yīng)用，現(xiàn)在在某些32核的CPU上（非X86），不加IPS規(guī)則（也就是裸機性能）的小包已經(jīng)可以做大8G了，加上1000條規(guī)則，性能基本下降10倍左右，也可以做到小包800M。（以上是我們公司RD內(nèi)部測試的結(jié)果）這還只是單顆CPU的情況。
如果加上FPGA做加速（比如正則表達(dá)式的加速，底層快轉(zhuǎn)等等），可以達(dá)到非常高的吞吐率和低延遲。不過這樣成本會高很多。

以上是一個售前對IPS、IDS的看法。歡迎拍磚！

[ 本帖最后由 zeroflag 于 2008-3-11 12:22 編輯 ]

作者: songpure520 時間: 2008-03-11 18:07
頂一下��！樓上說的不錯��！

作者: neversmile 時間: 2008-03-14 13:14
標(biāo)題: 回復(fù) #58 zeroflag 的帖子
對于某些說法我不是很贊同
首先，對于ips欄病毒的問題，我覺得用ips作病毒探測不是一個很好的選擇，至少在性能上是，病毒的事是應(yīng)該交給AV去做的，很多病毒是基于文件的，ips對文件的檢測能力是很有限的，因為涉及到文件重組，它應(yīng)該更多的關(guān)注于對數(shù)據(jù)包的檢查。ips能做的是當(dāng)病毒利用漏洞傳播的時候，阻斷一下。
其次，對于ips規(guī)則的內(nèi)容。其實系統(tǒng)漏洞總是有限的，大多數(shù)的ips規(guī)則還是針對web 攻擊，這類攻擊多而且多變，同時這類流量也是最多的，所以ips中關(guān)于web的，特別是關(guān)于server端的規(guī)則越少，性能也因該是越好的。
還有，關(guān)于誤報和漏報的問題。雖然偏重于誤報和性能，但如果要通過ICSA這樣的認(rèn)證，漏報也是不行的。就算是高手，寫出的規(guī)則，也會存在誤報風(fēng)險的，比如很普通的ActiveX攻擊的檢測，你如何做到?jīng)]有誤報，有害的參數(shù)都是通過腳本動態(tài)生成的，你如何檢測，而且ActiveX漏洞攻擊現(xiàn)在越來越多，是凡ActiveX基本都有漏洞。
以上，我只是針對規(guī)則庫方面說下自己的看法。

作者: limpideyes 時間: 2008-06-02 10:01

原帖由 zeroflag 于 2008-3-11 12:20 發(fā)表
看了半天，真的沒有太專業(yè)的技術(shù)回復(fù)呀。估計這里面真正從事IDS/IPS研發(fā)的很少。本人水平不高，也就是個售前而已。我想拋開技術(shù)層面不看，單純從IDS/IPS的實際應(yīng)用角度說說我的看法。

1、從實際的應(yīng)用效果來看，IPS其實是要遠(yuǎn)遠(yuǎn)高于IDS的。
========================================================
得出這個結(jié)論，那是根據(jù)你的客戶群的特點，客戶本來就是分類的，肯定有適合需要IPS的，就如同你舉例的，請不要用 “從實際的應(yīng)用效果來看” ，在石油，金融，電信，，和軍工，以及軍工制造型企業(yè)里，不太適用你這句結(jié)論

2、IPS的有效應(yīng)用是什么
目前看來IPS最有效的應(yīng)用其實是防范網(wǎng)絡(luò)病毒的大規(guī)模傳播。這是因為大規(guī)模傳播的病毒所采用的攻擊方式大多具有非常明顯的特征，用IPS識別并阻斷是非常有效的。我們某省公安廳的客戶，在使用IPS之前，其病毒上傳到公安國干網(wǎng)上的排名是前三，使用了IPS，排名變?yōu)榱撕笕�，這使得我們受到了客戶的高度認(rèn)可。這也是我見到過的IPS的最成功的應(yīng)用。當(dāng)然現(xiàn)在還有防毒墻產(chǎn)品，它在防病毒方面更加全面，但是從性能上看，防毒墻產(chǎn)品現(xiàn)在還遠(yuǎn)遠(yuǎn)達(dá)不到上骨干線路的要求。
另外，IPS的攻擊防護(hù)雖然對絕大多數(shù)有預(yù)謀的高水平黑客來說，起不了太大的作用。但是對于“掃描器+攻擊工具”的無目標(biāo)的盲目攻擊行為（比如當(dāng)年用3389抓肉雞）來說，還是具有很好的防御能力的。而我們現(xiàn)在見到的最大量的攻擊恰恰是這種盲目攻擊。
======================================================
要效果明顯，很簡單有效的辦法就是用戶之前的環(huán)境非常糟糕，馬上就能體現(xiàn)出效果，你這個案例中，不用IPS，采用防病毒體系，和網(wǎng)關(guān)防毒墻（別是防火墻上插一張防病毒引擎卡那種）一樣效果明顯，，

3、誤報漏報問題
IDS、IPS從攻擊的發(fā)現(xiàn)機制上來說，其實都差不多，最直接最有效的就是特征匹配。其他的方法都是輔助性的。因此對于誤報問題的解決，關(guān)鍵是特征庫本身的質(zhì)量問題。同樣用Snort引擎，高手寫出的特征庫和我寫出的特征庫誤報水平肯定是天上地下。但是即使高手寫出來的東西也是有誤報的，IPS在這方面一般采用的是寧漏不誤的策略，所以過分擔(dān)心IPS誤報會阻斷正常應(yīng)用大可不必，對于一些模糊的東西，IPS根本不報。這也是IPS相對于IDS日志要少很多的原因。當(dāng)然這樣也放過了攻擊，不過如果是IDS就不放過攻擊嗎？
另外，IPS的漏洞大多針對系統(tǒng)漏洞，這些漏洞所使用的應(yīng)用絕大多數(shù)和我們的業(yè)務(wù)系統(tǒng)沒有關(guān)系。即使這樣誤報率依然沒有敢保證是0，不會中斷正常業(yè)務(wù)。具體如何，建議還是上線測試一下最保險。
=======================================================
IDS、IPS最大的問題就是誤報率（不要說IPS也可以旁路部署，那算P的IPS啊），，也正因為如此，生產(chǎn)系統(tǒng)，以及成熟安全體系中，采用IDS,， BMB17、20對于安全域邊界控制措施（信息流向的安全可控），防火墻+IDS， // 另外目前國家保密局以及其他部門也沒有對IPS的認(rèn)證（因此暫時還不需要）

4、關(guān)于性能問題
解決性能問題還是要靠硬件的發(fā)展，一個是多核CPU的應(yīng)用，現(xiàn)在在某些32核的CPU上（非X86），不加IPS規(guī)則（也就是裸機性能）的小包已經(jīng)可以做大8G了，加上1000條規(guī)則，性能基本下降10倍左右，也可以做到小包800M。（以上是我們公司RD內(nèi)部測試的結(jié)果）這還只是單顆CPU的情況。
如果加上FPGA做加速（比如正則表達(dá)式的加速，底層快轉(zhuǎn)等等），可以達(dá)到非常高的吞吐率和低延遲。不過這樣成本會高很多。
================、
道理同上

以上是一個售前對IPS、IDS的看法。歡迎拍磚！

===============================================

用什么產(chǎn)品沒有絕對的那個好那個又不好，，脫離環(huán)境和需求就是胡說八道，

簡單的白話性質(zhì)不準(zhǔn)確的比喻的話：要簡單省事，自身技術(shù)能力不足，對安全有一定認(rèn)識和需要，傾向于UTM一類的設(shè)備，，同時對網(wǎng)絡(luò)性能要求不是特別高（非生產(chǎn)系統(tǒng)、或數(shù)據(jù)網(wǎng)）的企業(yè)，或企事業(yè)單位，非涉密政府部門單位，，選用IPS可能適合，，反之，請用IDS

[ 本帖最后由 limpideyes 于 2008-6-2 10:03 編輯 ]

作者: fandatou 時間: 2008-06-04 22:06
關(guān)鍵性業(yè)務(wù)中，穩(wěn)定性比安全性更重要，IDS旁路可以監(jiān)控，IPS誤報就麻煩了

作者: wansion 時間: 2023-03-21 16:54
現(xiàn)在也有這問題

歡迎光臨 Chinaunix (http://www.72891.cn/)