久久一级毛片高清在线观看_亚洲欧美偷拍综合图区_日本久久久久久中文字幕_国产精品人人爽人人爽AV_国产亚洲日韩一区二区三区

網(wǎng)絡(luò)入侵防御系統(tǒng)監(jiān)控和分析企業(yè)的網(wǎng)絡(luò)流量來發(fā)現(xiàn)惡意活動，并通過切斷和/或阻止相關(guān)網(wǎng)絡(luò)連接來攔截這些活動。多年來，IPS一直被用在核心網(wǎng)絡(luò)位置，例如非常靠近防火墻來發(fā)現(xiàn)其他安全技術(shù)無法檢測到的各種基于網(wǎng)絡(luò)的攻擊。

網(wǎng)絡(luò)入侵防御系統(tǒng)的前身被稱為入侵檢測系統(tǒng)(IDS)，它提供與IPS相同類型的功能，區(qū)別在于IDS不能阻止惡意活動。大多數(shù)早期網(wǎng)絡(luò)入侵防御系統(tǒng)采用基于簽名的檢測技術(shù)，這些技術(shù)可根據(jù)特定蠕蟲病毒特有的字節(jié)序列，發(fā)現(xiàn)來自該蠕蟲的通信。網(wǎng)絡(luò)入侵防御系統(tǒng)則開始利用各種更為先進的檢測技術(shù)，它們可以理解應(yīng)用協(xié)議和通信的復(fù)雜性，從而檢測基于應(yīng)用的攻擊，以及在其他網(wǎng)絡(luò)堆棧層的攻擊。

現(xiàn)在有很多網(wǎng)絡(luò)入侵防御系統(tǒng)產(chǎn)品，它們主要有三種形式，而本文重點介紹的作為專用硬件和軟件產(chǎn)品的IPS，這種IPS直接部署到企業(yè)的網(wǎng)絡(luò)，以及虛擬設(shè)備以部署到服務(wù)器內(nèi)虛擬網(wǎng)絡(luò)。

網(wǎng)絡(luò)入侵防御系統(tǒng)的架構(gòu)

在入侵防御系統(tǒng)部署的核心是一個或多個傳感器，每個傳感器被戰(zhàn)略定位以監(jiān)控特定網(wǎng)絡(luò)段的流量。在過去，企業(yè)為每個網(wǎng)絡(luò)段部署傳感器，但現(xiàn)在單個傳感器就可同步監(jiān)控多個網(wǎng)絡(luò)段。為了監(jiān)控關(guān)鍵網(wǎng)絡(luò)段，IPS傳感器通常部署在有著不同安全政策的網(wǎng)絡(luò)，例如互聯(lián)網(wǎng)連接點，或者內(nèi)部用戶網(wǎng)絡(luò)連接到內(nèi)部服務(wù)器網(wǎng)絡(luò)的位置。

除了硬件設(shè)備傳感器，有些供應(yīng)商還提供虛擬設(shè)備傳感器，它們具有與硬件設(shè)備傳感器相同的監(jiān)控和分析功能，但虛擬設(shè)備主要用于部署在運行虛擬機的服務(wù)器內(nèi)，以監(jiān)控這些虛擬機之間的虛擬網(wǎng)絡(luò)。在這種架構(gòu)中，服務(wù)器中虛擬設(shè)備很有必要，因為虛擬機之間的網(wǎng)絡(luò)流量將不會傳輸?shù)椒?wù)器之外。

IPS架構(gòu)的另一個重要方面是管理。網(wǎng)絡(luò)入侵防御系統(tǒng)供應(yīng)商通常提供集中管理控制臺，該控制臺可用于監(jiān)控配置，并可維護所有IPS傳感器—無論是硬件還是虛擬。很多企業(yè)還選擇將其IPS產(chǎn)品配置為：讓來自IPS傳感器的數(shù)據(jù)可以復(fù)制到安全信息和事件管理產(chǎn)品或其他企業(yè)安全控制，用于進一步分析以及事故處理。這通常不再需要專用數(shù)據(jù)庫或為IPS日志提供長期存儲的其他方法。

IPS架構(gòu)面對的最大問題是使用加密來保護網(wǎng)絡(luò)流量。這種安全做法可以保護網(wǎng)絡(luò)流量的內(nèi)容，讓IPS傳感器不能進行分析，因此不能檢測加密流量內(nèi)的攻擊。企業(yè)越來越多地部署IPS設(shè)備來發(fā)現(xiàn)網(wǎng)絡(luò)中流量沒有加密的地方，例如在虛擬專用網(wǎng)絡(luò)服務(wù)器解密傳入流量后。

網(wǎng)絡(luò)入侵防御系統(tǒng)的典型環(huán)境

網(wǎng)絡(luò)入侵防御系統(tǒng)幾乎可用于所有環(huán)境，因為它們可以檢測并阻止其他安全控制無法檢測的某些類型的攻擊。例如，大多數(shù)IPS可以解譯和分析數(shù)百(甚至數(shù)千)應(yīng)用協(xié)議;這使它們可以檢測除電子郵件和Web流量之外的基于應(yīng)用的攻擊，電子郵件和Web流量是其他安全控件最經(jīng)常會涵蓋的應(yīng)用。

然而，本文中探討的入侵防御產(chǎn)品(專用硬件和軟件)最適合中型和大型企業(yè)。這是因為與其他IPS形式相比，專有IPS硬件和軟件成本更高，并且，通過專有硬件和軟件可實現(xiàn)更高的性能和負載分離。

而在小型企業(yè)，專有IPS硬件和軟件的低部署率的主要原因是：下一代防火墻(NGFW)等其他企業(yè)安全技術(shù)中有可用的IPS模塊。企業(yè)通常只要支付更低的采購和部署成本就使用這些模塊，因為不需要額外的硬件;長期管理和維護也更加便宜，同時，IPS可作為NGFW的一部分來管理。如果小型企業(yè)有充足的資源，當然也可以選擇專有IPS產(chǎn)品，以獲得更高的性能、冗余性等。小型企業(yè)也越來越多地部署基于云的IPS服務(wù)，這可能可以代表企業(yè)來進行IPS監(jiān)控和管理。

使用、部署和管理IPSes的成本

雖然硬件設(shè)備和虛擬設(shè)備入侵防御系統(tǒng)產(chǎn)品有著幾乎相同的功能，但在使用和部署的成本方面則存在顯著區(qū)別。

基于硬件設(shè)備的入侵防御產(chǎn)品的部署成本通常非常高大多數(shù)，因為企業(yè)需要大量傳感器設(shè)備來監(jiān)控外圍和內(nèi)部網(wǎng)絡(luò)的關(guān)鍵點，并且，每個設(shè)備可能都非常昂貴。但實際IPS部署成本并沒有那么高，只是企業(yè)可能需要中斷網(wǎng)絡(luò)來物理地將IPS傳感器插入到流量，以及重新配置網(wǎng)絡(luò)基礎(chǔ)設(shè)施來使用它們。

與硬件設(shè)備相比，虛擬設(shè)備可顯著降低使用和部署成本。由于不需要硬件，使用和部署成本相對較低，只需要軟件許可證以及安裝軟件到使用虛擬化技術(shù)的服務(wù)器。

在IPS管理方面，IPS技術(shù)已經(jīng)被設(shè)計為盡可能地自動化，但企業(yè)可能仍需要投入大量資源來定制和優(yōu)化每個IPS傳感器。IPS技術(shù)依靠各種檢測技術(shù)，然而，并非所有這些技術(shù)都萬無一失。眾所周知，IPS誤報率非常高(即良性活動被IPS錯誤判定為惡性)。近年來，這方面已經(jīng)明顯好轉(zhuǎn)，但仍然會發(fā)生，所以IPS管理員必須警惕審查IPS警報，并調(diào)試檢測功能以盡量減少誤報率。如果企業(yè)在使用IPS的防御功能，這一點尤其重要，因為誤報率可能會導(dǎo)致良性流量被阻止。

管理網(wǎng)絡(luò)入侵防御系統(tǒng)

網(wǎng)絡(luò)入侵防御產(chǎn)品的目的是發(fā)現(xiàn)和阻止企業(yè)網(wǎng)絡(luò)中的惡意活動。IPS主要有三種形式，本文中重點專注于其中一種形式：通過專有硬件和軟件而不是硬件設(shè)備或虛擬設(shè)備提供的IPS。這兩種類型的設(shè)備平臺的功能幾乎相同，但在架構(gòu)和部署成本方面，這兩者顯著不同。此外，雖然入侵防御產(chǎn)品幾乎有利于所有企業(yè)，但通過硬件或虛擬設(shè)備提供的IPS主要部署在中型和大型企業(yè)。小型企業(yè)則通常通過NGFW中的模塊或者基于云的IPS服務(wù)來獲取IPS功能。

在考慮使用基于硬件設(shè)備的IPS產(chǎn)品時，企業(yè)應(yīng)該仔細評估部署特別是管理的潛在成本。盡管現(xiàn)在IPS供應(yīng)商的技術(shù)已經(jīng)高度自動化，企業(yè)仍然需要投入相當大的精力來監(jiān)控和調(diào)查IPS警報、調(diào)試IPS檢測功能以及確保IPS在尋找最新的威脅?？傊?，企業(yè)投入更多精力來管理其IPS傳感器，將會從中獲得更多的價值。