當(dāng)前位置 : 首頁(yè)>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

詳解入侵檢測(cè)、入侵防御和UTM

http://m.yibo1263.com　2009/9/3 11:54:10 　來(lái)源:網(wǎng)絡(luò)整理　編輯:葉子

　　在許多人看來(lái)，入侵檢測(cè)和入侵防御沒(méi)什么區(qū)別，很多做入侵檢測(cè)的廠商同時(shí)也做入侵防御，甚至連它們的縮寫(xiě)“IDS”和“IPS”都這么的相像。那么這兩款產(chǎn)品有區(qū)別嗎？區(qū)別在哪？入侵防御和UTM之間該如何選擇？未來(lái)它們將會(huì)如何發(fā)展，本文將就這幾個(gè)問(wèn)題做一一分析。

　　用戶(hù)選擇之惑

　　從出現(xiàn)先后順序來(lái)看，入侵檢測(cè)無(wú)疑是前輩：甚至最早的入侵防御產(chǎn)品就是在入侵檢測(cè)產(chǎn)品的基礎(chǔ)上改造而成。

　　顧名思義，入侵檢測(cè)產(chǎn)品就是對(duì)入侵行為進(jìn)行檢查的產(chǎn)品，那為什么要檢測(cè)入侵呢？大家都知道，入侵檢測(cè)技術(shù)起源于審計(jì)，是由于需要/想知道網(wǎng)絡(luò)里到底發(fā)生過(guò)什么事情，畢竟網(wǎng)絡(luò)世界不像真實(shí)世界這樣可視化。

　　而和入侵檢測(cè)有著共同基礎(chǔ)的入侵防御產(chǎn)品則不然，它的重點(diǎn)是防護(hù)，看上去更像我們熟悉的防火墻產(chǎn)品。當(dāng)然，入侵防御也有和傳統(tǒng)防火墻不一樣的地方：防火墻的規(guī)則是允許具備某些特征的數(shù)據(jù)包通過(guò)，比如TCP 80端口的數(shù)據(jù)包，在Web服務(wù)跟前，就是被允許通過(guò)的；而入侵防御的規(guī)則剛好相反，不允許具備某些特征的數(shù)據(jù)包通過(guò)，某一個(gè)數(shù)據(jù)包攜帶的數(shù)據(jù)被認(rèn)定為溢出攻擊，就將被拒絕通過(guò)。當(dāng)然，還有一種說(shuō)法就是，防火墻關(guān)注的是會(huì)話(huà)層以下的網(wǎng)絡(luò)數(shù)據(jù)，而入侵防御則關(guān)注會(huì)話(huà)層-應(yīng)用層的數(shù)據(jù)。有一定技術(shù)基礎(chǔ)的朋友一定能很快看出上面的問(wèn)題，“且慢，這根本就不是問(wèn)題，我完全可以做到只讓那些符合某些規(guī)則（防火墻規(guī)則），又不具備某些特征（入侵特征）的數(shù)據(jù)通過(guò)”�！爸劣诜阑饓Σ魂P(guān)注會(huì)話(huà)層以上的數(shù)據(jù)，這就更簡(jiǎn)單了，不論以前是由于什么原因不關(guān)注，現(xiàn)在開(kāi)始也分析好了，只要性能能跟上，技術(shù)上沒(méi)有困難”。

　　沒(méi)錯(cuò)，正是上面提到的所謂區(qū)別在硬件技術(shù)和檢測(cè)技術(shù)的發(fā)展面前都已經(jīng)不是問(wèn)題了，所以才會(huì)使得UTM這一概念獲得人們的認(rèn)可：我們喜歡防火墻式的一勞永逸，我們需要入侵防御的應(yīng)用層威脅防護(hù)，于是我們把這兩個(gè)功能在一個(gè)硬件上實(shí)現(xiàn)了。一些安全廠商/用戶(hù)并不能區(qū)別單獨(dú)的入侵防御產(chǎn)品和UTM產(chǎn)品中的入侵防御之間的區(qū)別，于是就陷入了一個(gè)誤區(qū)：我應(yīng)該選擇入侵防御還是UTM？如果入侵防御可以在UTM中實(shí)現(xiàn)，是不是以后就沒(méi)有單獨(dú)的入侵防御產(chǎn)品了？

　　入侵防御還是UTM？

　　這其實(shí)不能算是問(wèn)題，UTM剛出現(xiàn)時(shí)很少有人選擇，原因很簡(jiǎn)單：性能。有些號(hào)稱(chēng)UTM的設(shè)備在打開(kāi)入侵防御功能后性能衰減嚴(yán)重，這使得UTM并未像想象中那樣獲得開(kāi)門(mén)紅。但摩爾定律的力量是強(qiáng)大的，隨著硬件技術(shù)的發(fā)展，在效率不降低的情況下在一個(gè)盒子里完成多項(xiàng)工作，已經(jīng)成為現(xiàn)實(shí)。

　　這是不是就意味著UTM可以全面取代入侵防御產(chǎn)品呢？我們應(yīng)當(dāng)還記得前面提到的：防火墻是配置允許規(guī)則，規(guī)則外禁止，而入侵防御是配置禁止規(guī)則，規(guī)則外允許。相信很多人都會(huì)聽(tīng)說(shuō)過(guò)這么一個(gè)功能：bypass，就是在串行設(shè)備遇到軟件/硬件問(wèn)題時(shí)，強(qiáng)制進(jìn)入直通狀態(tài)，以避免網(wǎng)絡(luò)斷開(kāi)的一種技術(shù)。這個(gè)技術(shù)只在入侵防御產(chǎn)品中有應(yīng)用，而不出現(xiàn)于防火墻產(chǎn)品中，這是為什么呢？誠(chéng)然，在防火墻處于非透明模式下，bypass也無(wú)法保障通訊的通暢：比如說(shuō)NAT模式下，防火墻內(nèi)外網(wǎng)絡(luò)不在一個(gè)網(wǎng)段，即使物理上強(qiáng)制直通，也會(huì)由于找不到路由而無(wú)法通訊。（說(shuō)到這里筆者就要插一句了，曾見(jiàn)到有些入侵防御的技術(shù)要求中一方面要求提供路由接入模式，一方面又要求支持bypass，簡(jiǎn)直就是不知所云）。但是最根本的原因還在于防火墻與入侵防御兩種截然不同的數(shù)據(jù)處理流程：防火墻是只允許那些被允許的數(shù)據(jù)進(jìn)入，即使在自身出現(xiàn)問(wèn)題的情況下，也不能讓未受允許的數(shù)據(jù)進(jìn)入，所以防火墻不可能有bypass功能。而入侵防御剛好相反，其目標(biāo)是保護(hù)后端的設(shè)備不受威脅行為的影響提供正常的服務(wù)，如果自身出現(xiàn)問(wèn)題了，寧愿切換為通路，也不影響后端業(yè)務(wù)的運(yùn)營(yíng)，所以，bypass設(shè)備是必須的。

　　這里需要補(bǔ)充一點(diǎn)，有些朋友看到上面的描述，可能會(huì)對(duì)入侵防御的“寬宏大量”表示不理解：bypass后就變成無(wú)防護(hù)狀態(tài)了，太可怕了。其實(shí)，一般來(lái)說(shuō)，入侵防御產(chǎn)品的bypass都是與其watchdog技術(shù)相結(jié)合的，watchdog保障了故障進(jìn)程能自動(dòng)恢復(fù)，所以真正處在bypass無(wú)防護(hù)狀態(tài)下的時(shí)間并不長(zhǎng)，一次bypass切換（防護(hù)——無(wú)防護(hù)——再次開(kāi)始防護(hù)）可以在數(shù)秒鐘內(nèi)完成，并不會(huì)因此而使得網(wǎng)絡(luò)長(zhǎng)時(shí)間失去保護(hù)。

本新聞共2頁(yè),當(dāng)前在第1頁(yè) 1 2

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·用入侵檢測(cè)系統(tǒng)提高安全系數(shù)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费