入侵防御渐成熟 安全采购最关注IPS （1）

另外，IPS对高吞吐流量的整合功能，可以确保提供具有容错性和可扩展的入侵检测的功能。换句话说，在高吞吐的前提下，IDS检测器具有完全的可用性和得到彻底的优化，从而使得站点范围内的攻击防范成为可能。通过整合网络段的IDS 服务，避免了为在每个网络段部署检测器而要投入的高昂成本，同时也确保了全站点的IDS 性能不会受到任何某个检测器的性能限制。

目前高端IPS产品大都是在专用的高性能安全交换机的基础上构建的新一代安全设备。像StringMatch Engine安全加速器，就是由8个用来搜索字符串的 ASIC组成。可见，其设计出发点还是为了实现高性能的数据包深入检查，以便支持256000个并行模式的搜索。腾蒙公司的工程师认为，网络管理员通过使用此类设备，就可以非常容易地检测蠕虫、病毒和非正常流量模式，从而将攻击的威胁降至最低。

全面防范DoS

应该说，从2003年以来，对于DoS攻击的问题，一直是困扰网络用户的大事情。当前主流IPS厂家的DoS防御方式主要分为两类（以Syn Flood为例）：

第一类是采用Syn Proxy（也可以采用Syn Cookie）的方式。在这种方式中，IPS设备中会设置一个Syn Proxy做代理，当外来的TCP Syn需要和企业Web服务器（或者数据库服务器）建立连接的时候，IPS中的Syn Proxy会首先和外来TCP Syn建立连接，同时发送Syn Ack贞。如果是真实的外部用户访问，则会回复一个Ack响应贞。当Syn Proxy收到响应后，就会认为三次握手成功，同时把连接中继给企业的Web服务器；但如果是Syn Flood攻击的半开连接，由于没有响应回复，就会被TCP Reset。如果攻击者利用大面积僵尸网络发起攻击，则会存在大量的真实连接，这就要求IPS必须具分配给Syn Proxy或Syn Cookie功能模块的处理资源足够多。

第二类是采用深度学习方式。首先IPS设备在In Line使用前，先作为Off Line状态进行流量学习。学习的目的是统计分析企业网的正常流量、常见外部访问地址等信息，并将这些信息建立一个散列表，这个过程最快可以在两天内完成。此后将IPS设为正常使用，这样即便遇到大量的僵尸网络攻击，IPS也可以根据日常学习的结果，优先保证常见外部地址的访问，缓解攻击的影响。

对于DoS的防御，用户也要根据自己的实际情况作出选择。如果用户面临的威胁很大，甚至是经常遭受团体攻击行为，则用户需要具有大量CPU周期资源和大量内存空间的IPS或防火墙来应对。因为在IPv4阶段，只有凭借大量的Syn IO能力，才能最大程度缓解攻击的影响。

另外，为了能够阻止可以致使企业网络瘫痪为目的的恶意操作，要求IPS必须实现对千兆位拒绝服务攻击的识别。

IPS选择之道

在选择IPS的时候，最好选择同时具备集成了上述两种防DoS攻击方式的产品，一方面通过基准性监视来检测流量方面的异常，用高级的取样方法提高性能。通常来说，IPS设备同时采用Syn Cookie对Syn Flood 进行高级防范，在不影响合法流量转发的情况下，最多可拦截100万个Syn的攻击（相当于500Mbps的攻击流量）。

对于现在的IPS设备，由于集成了庞大的攻击特征库，因此一个长期的更新支持势在必行。对于国际主流的高端IPS厂家，皆有自己的更新渠道与时间表。要知道，一个更新速度快的厂家，可以提供最大的ZERO DAY保护，确保用户的系统时刻处于安全之中，这对于IPS的高端应用来说，是必不可少的。

此外，这类高端IPS设备一般可以帮助用户实现检测实施攻击的对象和位置，完全把握攻击动向。特别是一旦检测到攻击，IPS能够起到将其隔离，限制其带宽，达到防止攻击消耗网络带宽的目的，通过流量控制来保证服务水平协议（SLA）。所以说，网络用户可以借助IPS部署分布式安全应用，以便在多个网段之间实施安全防护。

高端IPS需要针对高危攻击提供紧急快速更新服务，也就是说，从公司层面进行24×7小时的SOC扫描，从最权威的安全信息源获取信息，如CERT、Whitehats、Bugtraq、CVE.mitre，等等，以便每周实现安全数据库的更新。

对于国内的IPS用户来说，选择一家负责任的厂商，代表了用户可以在任何时间定制现有IPS设备的过滤器，特别是可以通过厂商的热线，及时反馈攻击信息，保护自身的系统。另外，很多IPS设备都会定期自动链接到设备生产公司的网站进行检查，以了解是否有新的攻击特征，一旦提供了新的攻击特征，用户就会立即得到通知，为防范攻击，建立完善的安全体制提供保障。
(e129)

<<上一页 1 2

文章来源于领测软件测试网 https://www.ltesting.net/