- 論壇徽章:
- 0
|
原帖由 zeroflag 于 2008-3-11 12:20 發(fā)表 ![]()
看了半天���,真的沒有太專業(yè)的技術回復呀��。估計這里面真正從事IDS/IPS研發(fā)的很少����。本人水平不高,也就是個售前而已��。我想拋開技術層面不看,單純從IDS/IPS的實際應用角度說說我的看法�����。
1�、從實際的應用效果來看,IPS其實是要遠遠高于IDS的�。
========================================================
得出這個結論,那是根據你的客戶群的特點�����,客戶本來就是分類的,肯定有適合需要IPS的��,就如同你舉例的�����, 請不要用 “從實際的應用效果來看” ��,在石油��,金融�,電信,�,和軍工�����,以及軍工制造型企業(yè)里�����,不太適用你這句結論
2�����、IPS的有效應用是什么
目前看來IPS最有效的應用其實是防范網絡病毒的大規(guī)模傳播����。這是因為大規(guī)模傳播的病毒所采用的攻擊方式大多具有非常明顯的特征,用IPS識別并阻斷是非常有效的��。我們某省公安廳的客戶����,在使用IPS之前,其病毒上傳到公安國干網上的排名是前三����,使用了IPS,排名變?yōu)榱撕笕���,這使得我們受到了客戶的高度認可�����。這也是我見到過的IPS的最成功的應用����。當然現在還有防毒墻產品,它在防病毒方面更加全面�,但是從性能上看�,防毒墻產品現在還遠遠達不到上骨干線路的要求。
另外�����,IPS的攻擊防護雖然對絕大多數有預謀的高水平黑客來說����,起不了太大的作用。但是對于“掃描器+攻擊工具”的無目標的盲目攻擊行為(比如當年用3389抓肉雞)來說��,還是具有很好的防御能力的���。而我們現在見到的最大量的攻擊恰恰是這種盲目攻擊��。
======================================================
要效果明顯�,很簡單有效的辦法就是用戶之前的環(huán)境非常糟糕���,馬上就能體現出效果����,你這個案例中��,不用IPS�����,采用防病毒體系�����,和網關防毒墻(別是防火墻上插一張防病毒引擎卡那種)一樣效果明顯����,�����,
3����、誤報漏報問題
IDS、IPS從攻擊的發(fā)現機制上來說����,其實都差不多,最直接最有效的就是特征匹配����。其他的方法都是輔助性的。因此對于誤報問題的解決��,關鍵是特征庫本身的質量問題�。同樣用Snort引擎,高手寫出的特征庫和我寫出的特征庫誤報水平肯定是天上地下��。但是即使高手寫出來的東西也是有誤報的����,IPS在這方面一般采用的是寧漏不誤的策略���,所以過分擔心IPS誤報會阻斷正常應用大可不必�,對于一些模糊的東西�����,IPS根本不報����。這也是IPS相對于IDS日志要少很多的原因。當然這樣也放過了攻擊����,不過如果是IDS就不放過攻擊嗎?
另外�����,IPS的漏洞大多針對系統(tǒng)漏洞,這些漏洞所使用的應用絕大多數和我們的業(yè)務系統(tǒng)沒有關系�。即使這樣誤報率依然沒有敢保證是0,不會中斷正常業(yè)務���。具體如何����,建議還是上線測試一下最保險����。
=======================================================
IDS、IPS最大的問題就是誤報率(不要說IPS也可以旁路部署��,那算P的IPS��。�,���,也正因為如此��,生產系統(tǒng)��,以及成熟安全體系中�����,采用IDS,��, BMB17��、20對于安全域邊界控制措施(信息流向的安全可控)���,防火墻+IDS�, // 另外目前國家保密局以及其他部門也沒有對IPS的認證(因此暫時還不需要)
4����、關于性能問題
解決性能問題還是要靠硬件的發(fā)展,一個是多核CPU的應用�����,現在在某些32核的CPU上(非X86),不加IPS規(guī)則(也就是裸機性能)的小包已經可以做大8G了���,加上1000條規(guī)則����,性能基本下降10倍左右,也可以做到小包800M�����。(以上是我們公司RD內部測試的結果)這還只是單顆CPU的情況��。
如果加上FPGA做加速(比如正則表達式的加速���,底層快轉等等)�,可以達到非常高的吞吐率和低延遲�����。不過這樣成本會高很多。
================����、
道理同上
以上是一個售前對IPS、IDS的看法��。歡迎拍磚�!
===============================================
用什么產品沒有絕對的那個好那個又不好,�, 脫離環(huán)境和需求 就是胡說八道,
簡單的白話性質不準確的比喻的話: 要簡單省事���,自身技術能力不足,對安全有一定認識和需要��,傾向于UTM一類的設備�����,��,同時對網絡性能要求不是特別高(非生產系統(tǒng)�、或數據網)的企業(yè),或企事業(yè)單位�����,非涉密政府部門單位,��,選用IPS可能適合����,, 反之�����,請用IDS
[ 本帖最后由 limpideyes 于 2008-6-2 10:03 編輯 ] |
|
免費注冊
發(fā)表于 2008-06-02 10:01
