当今网络威胁日益严峻,各种新型的入侵攻击猖獗不穷,比如4月8日爆出的OpenSSL漏洞,一度给互联网用户带来了恐慌。面对这种突发的漏洞,用户该采取哪些措施,如何防范呢?这就不得不提到IPS(Intrusion Prevention System)入侵防御系统。IPS是一部工作于OSI应用层的防护设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络入侵攻击行为。作为防火墙在网络应用层上的强力补充,越来越被用户和网络管理者看重,并且扮演着越发重要的角色。
然而,面对纷繁复杂的网络环境部署、规模不同的等级保护要求、不尽相同的定制需求等,如何选购一台合适的IPS设备,才能发挥其最大的价值和作用。下面笔者就选出客户最关心的几个要素进行简单的阐述,希望能够给正在选购IPS设备的读者一些建议。
性能:无论是基础网络中交换机、路由器,还是安全防护设备诸如防火墙、IPS等,似乎客户首先要关注的都是性能。不错,因为性能是反应设备能力大小最直观的指标,同时也是是否满足部署要求最直接的判断标准。
IPS设备提供应用层的保护,更注重的应该是应用层性能(当然我们是在二三层转发能力远远大于应用吞吐的前提下所说的),诸如HTTP、FTP、SMTP等真实的业务性能。另外设备HTTP会话新建、HTTP并发数量、HTTP吞吐量、以及一些典型的混合应用场景的性能指标等,这些都有可能成为制约着网络资源分配、用户上网体验、服务器质量的性能瓶颈,一定程度上影响着应用业务间的高效互通。
在选购IPS设备时,可以按照不同的性能需求进行参考,首要原则即是吞吐量一定要大于现实网络中的最大带宽,否则一旦成为性能瓶颈点,鉴于IPS串连接入的特点,就会对整个网络造成影响。另外因为厂商一般给出的性能值的由其内部测试得到,不可避免的存在流量单一的缺陷性,所以在选购时要考虑到现实环境中大量应用的现状,有时厂家宣称的性能只能满足其五分之一甚至更少的现网环境中。
检测率:如果说设备的性能是衡量IPS设备的硬性条件,那么设备的检测率即为衡量其能力的软条件。检测率的概念为设备对于网络公开漏洞检测的阻断数占攻击总数的比例。此项指标衡量的设备对于漏洞检测覆盖的能力,目前很多测试仪表厂商都在这一方面做着研究和推进,其中BPS(Breaking Point)公司的security攻击测试组件相对较为完善,也是业界比较主流的测试检测率的方法。
对于检测率指标影响较明显的是设备的攻击特征库质量,一个好的特征库是IPS高效运作的必要条件,并且IPS设备厂商要提供定期的特征库更新,以满足新的攻击防护需求,这在主流的安全厂商中应该都是必须支持的服务。另外提到检测率,我们提出了一个全新的概念为满检速率和满负荷检测率,作为性能指标的一个补充。满检速率定义为在能够全部检测已知攻击的情况下设备最大的吞吐量,它主要考察的是设备能够正常检测攻击情况下的真实吞吐能力,而满负荷检测率则是衡量设备最大吞吐负荷下的攻击检测能力,两个指标互为补充能够真实反应设备的处理性能。细数国内安全厂商中,目前只有天融信以“满检测率”来评价产品性能。
误报和漏报:误报和漏报在选购IPS时也同样要作为一个重要的指标。误报可以分为两个方面:一方面是设备把正常业务流量误识别成攻击行为,最直接的影响就是使正常的业务无法进行下去;另一方面是对攻击事件识别错误,也就是攻击一对一的误报。而漏报一般指的是设备没有成功识别出攻击或者入侵行为,使攻击成为“漏网之鱼”。
误报对于网络的影响还是很大的,比如在繁忙的网络当中,如果以每秒需要处理十条警报信息来计算, IPS每小时至少需要处理 36,000 条警报,一天就是 864,000 条。如果入侵特征编写得不是十分完善,那么"误报"就有了可乘之机,导致合法流量也有可能被意外拦截。如果触发了误报的流量恰好是某个客户订单的一部分,其结果可想而知,这个客户整个会话就会被关闭,而且此后该客户所有重新连接到企业网络的合法访问都会被"尽职尽责"的IPS拦截。
攻击逃逸手段检查:攻击逃逸技术,也可称为攻击检测躲避技术,是在众多蓄意隐性攻击中应用范围最广,最有效的一类技术。当攻击者发现被攻击目标正受到IPS等产品保护时,攻击者往往会根据攻击目标的协议特性或漏洞,对攻击方式或攻击内容进行精心调整,进而逃避IPS等产品的检测,诸如IP分片、TCP重组、HTML编码格式躲避等。如果不能对其进行正常、有效的处理,这类攻击会使得IPS产品形同虚设,将用户的网络资源暴露于攻击者面前,从而降低用户网络环境的安全性,增加用户资产遭受损失的风险。
随着互联网的快速发展,黑客技术的不断提高,攻击逃逸技术越来越多样化和复杂化,也要求IPS设备对于越来越多的逃逸手法的防御能力随之提高。
业务的可靠保证:有些重要的客户要求网络系统得到保障,诸如金融交易平台、网站购物系统等,往往这类用户对于网络可用性的要求要远远大于其对网络架设成本的考虑。很多厂商应客户此类要求也在高可靠性上做足了文章,诸如电源冗余、链路冗余、数据灾备、双机部署、BYPASS功能等等。IPS设备若支持双机热备部署,主备间能够实时同步配置和策略,并且异常情况下能够达到快速切换的效果,能够保证客户业务的正常不间断;或者单台设备若支持软、硬件BYPASS功能,当出现异常掉电、进程崩溃、重启的时候接口间会形成一条临时的通路保障业务正常进行。
也许你会想既然有了BYPASS技术,是不是就可以不用买两台设备部署HA了呢?不是这样的,双机热备不仅仅能够同步配置,最重要的是可以同步会话状态,甚至可以进行负载的分担,能够实现真正的异常倒换并且不被客户察觉,这是BYPASS不能比拟的,所以如果您对网络可靠性要求很高,并且不差钱,就买两台吧!
灵活审计和管理:说到管理会涉及到很多方面,我们以用户比较关心,并且经常会用到的两个方面来说:监控审计和集中管理。
当前网络管理员对于安全事件、安全日志报表的审计需求正在快速上涨。之前我们一般要求设备上能够实时地对攻击事件进行反馈,攻击日志记录信息详细,提供多种报表模板,内容丰富详实等,但现在明显不能满足很多客户要求。比如根据实时攻击事件动态调整策略,自动同步备份日志,自定义报表模板功能,TOPN排名等,更加灵活的统计分析,更加友好的界面等都可以成为我们选购一台IPS的原因。
另外在大型的系统中一般存在大量的设备需要管理,这时使用集中管理的方式会使管理效率提高很多,起到事半功倍的效果。集中管理的方式支持多台设备同时进行管理,能够对策略进行批量的调整,对攻击日志和报表进行统一的收集和统计。当前主流厂商也相继推出了自己的集中管理平台,为整合网络管理提供了很多的便利。这个在选购设备时,可根据网络规模做一定的参考。
总体而言,对于IPS设备的采购来说可以从上面提到的几点进行参考,通过设备性能、检测率、误报漏报、以及满检速率等指标对设备进行针对性的选购,另外从设备管理或功能方面对设备进行有条件的选择,让你的IPS设备发挥更大的价值吧!