IPS是使網絡健康的關鍵防護措施
一、IPS 對網絡的關鍵作用
眾所周知,近年來網絡安全事件層出不窮(國際權威組織CERT(Computer Exigency Response Team,計算機緊急響應小組)監測并統計得到:2008年上半年,平均每天會有1.5萬個網頁受到病毒感染,即每5秒鐘內就會增加一個被感染網頁)。專業的安全廠家和研究機構通過分析和驗證所有這些安全攻擊事件,形成肯定的結論:所有的安全事件其根本技術原因就是黑客發現和利用了目標機的系統漏洞。我們知道,漏洞大致分為“各類操作系統”漏洞和“各類應用系統”漏洞。我們可以再肯定的說,任何漏洞都可能造成攻擊目標的失陷。
如何來跟蹤和收集這些漏洞,并對漏洞特征進行分析歸納,從而發明一種設備來檢測并阻斷利用這些漏洞的攻擊報文呢?IPS(Intrusion Prevention System,入侵防御系統)設備就是基于這種思想開發的網絡安全設備。有實力的IPS廠商一般都組建有特征庫團隊,分析和跟蹤常用基礎軟件的漏洞,以及常用應用系統的漏洞利用機理,并生成攻擊特征庫定期下發到IPS設備上,保證IPS在防范已知漏洞的基礎上,能對新出現的漏洞也能進行防范,從而,在源頭上堵住系統漏洞,在源頭上將安全事件的根本原因消除掉。可以說,如果在每個網絡域的出口都部署IPS,并定期升級IPS特征庫的話,那么,安全事件是可以從源頭上消除掉的。
二、IPS 是不可替代的
人類不是未卜先知的神靈,可以一簇而就的制造出完美的IPS設備。在對漏洞的攻擊和防護上,網絡技術人員走過了認識、深化、修正、提升的曲折發展道路。這個發展過程也是符合IT技術的發展規律的。
1988年,Morris蠕蟲造成的網絡癱瘓事件導致了業界對漏洞攻擊入侵的真正認識和深入關注,網絡技術人員提出了簡單模型的IDS(Intrusion Detection System,入侵偵聽系統)。1995年,IDS逐步從研究性、嘗試性的產品逐漸發展到了市場化的產品,隨著網絡安全事件的不斷涌現和危害程度不斷加重,IDS逐漸得到了廣泛的應用。但隨后遵循摩爾定律,網絡技術和計算機技術飛速發展,網絡技術人員逐漸發現IDS在應對不斷翻番的網絡流量和不斷出現的網絡復雜應用時已力不從心,如出現了海量攻擊事件、檢測性能不夠、檢測精度不夠、分析攻擊事件困難、無法有效阻斷攻擊等,因此,業界也在不停地探討利用新的軟、硬件技術來實現一個更高級的入侵檢測防御的IPS模型,不同于IDS,該模型與生俱來的設計思想就是:精確檢測、實時阻斷。隨后國際上各廠商紛紛推出IPS產品,并在各行各業形成了規模應用;2003年,國際著名咨詢機構Gartner副總裁在大量的數據分析后,發表了“IDS is dead”判斷,并逐漸在美國、日本等互聯網發達的國家得到驗證,國際上的廠商逐漸停止生產銷售IDS,而專注于研發銷售IPS,同時,通過將各種先進的軟、硬件技術引入到IPS的開發中,如多核技術、ASIC技術等,使得IPS的檢測性能與日俱增。
簡言之,IPS代表了更新更先進的產品形態,將逐步涵蓋和終結IDS產品形態,下表羅列了兩者之間的根本區別。
表1. IDS、IPS產品的主要區別
三、 IPS在線部署的可靠性是完全有保障的
在線部署的IPS是否會成為網絡業務的一個新的故障點呢?這是很多用戶會擔心的問題。IPS是一個深入應用層(七層)的安全設備,主要提供網絡威脅防御的業務,不同于交換機、路由器,IPS本身不參與報文選路和交換,而是透明部署,從一個接口上接收網絡流量,對報文進行深入七層的實時的分析檢測,根據檢測結果阻斷攻擊流量,并將正常流量從另一個確定的接口上轉發出去。所以,在IPS上可以實現相比交換機、路由器更多的可靠性設計,即IPS的多重高可靠性(MHA)設計。IPS的多重高可靠性(MHA)面向業務傳送的所有層面進行高可靠保護,使得在任何情況下業務都不會因為IPS的故障而中斷,使得IPS這個網絡節點永遠不會成為中斷業務的故障點。
H3C IPS按照電信級標準設計了冗余電源進行供電,并設計了無源連接設備PFC(Power Free Connector),PFC可以為IPS產品提供了掉電保護功能。在IPS掉電的情況下,PFC可以將網絡流量自動繞開IPS、旁路到下一跳設備上去;而當管理員恢復電源供給后,PFC又會自動禁止旁路功能,所有流量將再度流經IPS接受檢測。如下圖所示。
圖1. H3C IPS的掉電保護機制設計
PFC是通過IPS設備上的USB口供電的,當IPS掉電后,PFC也掉電,PFC掉電后通過內部的繼電器裝置會迅速連通網絡,實現一層Bypass。利用PFC設備,H3C IPS在掉電后小于10ms的時間內即能恢復網絡連通。
在線部署的IPS是否會因為性能問題而導致IPS節點成為網絡瓶頸?這也是很多用戶會擔心的問題。其實這個擔心是沒有必要的。網絡產品(路由、交換機)的硬件技術、軟件技術的發展使得萬兆,百萬兆的流量處理都是能夠實現的,包括IPS在內的各種安全設備在架構設計和芯片處理上都可以借鑒和挪用這些技術積累,從而擁有了更強勁的處理能力,可以保證:IPS能夠在可預見的網絡帶寬下以“交換機式”性能完成入侵檢測防御。
IPS已經得到了全球范圍的規模應用,說明了IPS的性能是完全可以滿足各種實際應用環境的。特別是從2000年開始,業界對IPS的開發和測評已積累了足夠的經驗,尤其對IPS產品的性能評價和性能測試方法已經足夠客觀準確,廠家或測評機構可通過客觀的IPS性能測試方法來獲得IPS的吞吐量、時延、并發連接數、新建連接數等指標,而將IPS用在與這些指標相對應的網絡環境中時,IPS的性能是決不會成為瓶頸的。H3C IPS的從高端到低端的全系列IPS產品的時延都在50微秒以下。
IPS的硬件設計先進,如采用多核CPU、多核多線程,采用專有交換芯片實現正常報文轉發等,多核CPU可以多達8核、16核、32核。每個核具有多個硬件線程,每個線程具有獨立的寄存器組,這些核可以并發地執行指令,保證了多個硬件線程的高速運行。先進的硬件架構使多核并行運算,提供入侵檢測防御業務,確保IPS性能。。
四、 總結
通過我們的分析,知道IPS是防范安全威脅的最有效的網絡安全設備。分析IPS的發展歷史,我們知道IPS規避了IDS的缺陷,IPS相比IDS代表了更先進的產品形態。分析IPS的技術和應用,我們知道IPS不會因為可靠性和性能而影響網絡的正常業務。分析IPS產品在國內、外的應用歷史和趨勢,我們知道IPS已成為主流的網絡安全設備在各行各業的網絡上進行了規模部署。
我們發現,交換機和路由器的規模部署使網絡實現了互聯互通,當網絡規模變大、安全問題變嚴重時,防火墻的規模部署使網絡實現了訪問控制,解決了部分安全問題,而當網絡應用不斷豐富并且不斷商業化、安全形勢變得更加嚴峻時,IPS的規模部署使網絡實現深度報文檢測和入侵防御必然是網絡和網絡安全的發展趨勢。
【編輯推薦】
