當(dāng)前位置 : 首頁>軟件學(xué)院>網(wǎng)絡(luò)技術(shù)>網(wǎng)絡(luò)安全>正文

詳解入侵檢測、入侵防御和UTM

http://m.yibo1263.com　2009/9/3 11:54:10 　來源:網(wǎng)絡(luò)整理　編輯:葉子

　　可以看出，入侵防御產(chǎn)品的未來之路就是保護后端服務(wù)不受威脅影響而能正常開展業(yè)務(wù)。UTM類產(chǎn)品可以有入侵防御的模塊，但由于結(jié)合了防火墻、AV等其它功能，使得其關(guān)注的目標(biāo)必定是批量化的攔截，無暇專注于后端服務(wù)。入侵防御和UTM相比，可以用一個生活中的小例子來呼應(yīng)：入侵防御就是個人保鏢，而UTM就是小區(qū)保安，兩者都是保護目標(biāo)的安全，但由于受保護目標(biāo)不同（保鏢的目標(biāo)聚焦，而保安的目標(biāo)不聚焦）使得這兩種類似的職業(yè)都有單獨存在的必要。

　　到底需要入侵防御還是UTM？取決于保護的目標(biāo)主體。如果用以保護整個網(wǎng)絡(luò)，那么應(yīng)當(dāng)選擇UTM，除了入侵防御之外，還可依據(jù)用戶需求提供防病毒、VPN等網(wǎng)關(guān)級安全應(yīng)用。如果用以保護某一臺或多臺服務(wù)器（群），那么就應(yīng)當(dāng)選擇入侵防御。當(dāng)然這是有前提的，那就是入侵防御產(chǎn)品需要對服務(wù)器防護有相應(yīng)針對性的特性，比如啟明星辰公司的天清入侵防御產(chǎn)品，就專注發(fā)掘了Web服務(wù)防護功能。

　　再看入侵檢測產(chǎn)品，與入侵防御產(chǎn)品作為控制工具相對的，入侵檢測產(chǎn)品給使用者提供了一個可視化的平臺，通過這個平臺，用戶可以清楚地了解網(wǎng)絡(luò)里到底發(fā)生了什么事情，當(dāng)然，結(jié)論的產(chǎn)生還是需要加入大量的人工分析。比如，網(wǎng)絡(luò)嗅探，入侵防御或者類似的控制工具，所關(guān)注的只是“禁止這一行為”，但嗅探可能來自于內(nèi)部員工的正常網(wǎng)絡(luò)檢查行為，這就需要一個界面來告訴使用者，嗅探行為是誰干的、是否違規(guī)等等，而這就是入侵檢測產(chǎn)品的作用所在。當(dāng)你需要了解網(wǎng)絡(luò)安全狀況的時候，購買入侵檢測產(chǎn)品將會是一個合適的選擇。

　　入侵防御還是入侵檢測？

　　即使有了基于前文的認(rèn)知，但當(dāng)前還有這樣的言論出現(xiàn)：入侵檢測能做的事，入侵防御都可以做，入侵防御是入侵檢測的升級/換代產(chǎn)品。

　　前文提到，入侵檢測所關(guān)注的是可視化，對入侵檢測來說，最重要的是 “呈現(xiàn)”�！俺尸F(xiàn)”主要取決于兩點，一是呈現(xiàn)的內(nèi)容，二是呈現(xiàn)的效果。呈現(xiàn)的內(nèi)容表現(xiàn)在，事件是否更新及時，數(shù)據(jù)是否抓取完全。和入侵防御不一樣，入侵檢測產(chǎn)品是旁路部署甚至多點部署的，對整個網(wǎng)絡(luò)進行監(jiān)視。呈現(xiàn)的效果表現(xiàn)在是否能方便地從產(chǎn)品界面上獲得有效信息，以便對接下來的工作進行指導(dǎo)：禁止或允許某些安全規(guī)則，評價某個區(qū)域的安全建設(shè)效果等。

　　而入侵防御則更關(guān)注“防護”，準(zhǔn)確而及時的防護，其關(guān)注重點并不是全局信息（而只是關(guān)鍵服務(wù)器群），也不關(guān)注信息分析。這導(dǎo)致了入侵檢測和入侵防御在面對事件時的不同態(tài)度：入侵檢測關(guān)注可疑事件，即使不能判斷為具體的攻擊行為，也要進行記錄和分析備案；而入侵防御關(guān)注的都是明確的事件，是威脅就堅決予以阻斷，不能認(rèn)定為威脅則予以放行。而在用戶交互界面層面，也有不同的態(tài)度：入侵檢測關(guān)注信息展現(xiàn)，以圖表呈現(xiàn)全面的信息以協(xié)助分析；入侵防御則不需要關(guān)注信息之間的關(guān)聯(lián)，事件對入侵防御而言只是一個阻斷報告的數(shù)據(jù)來源。

　　所以，在選擇入侵檢測產(chǎn)品的時候，需要關(guān)注如下因素：它是否能保障“呈現(xiàn)”無障礙，是否提供了一些新的特性可以方便地看到想看的信息，使用者是否可以快速利用它“呈現(xiàn)”的內(nèi)容做出相應(yīng)的決策判斷。

　　當(dāng)然，作為安全廠商，所需要做的就是，當(dāng)開發(fā)入侵檢測產(chǎn)品的時候，任何功能特性，都應(yīng)當(dāng)圍繞“呈現(xiàn)”這個詞來做，用戶需要一個可視化平臺。因為只有“呈現(xiàn)”，才是入侵檢測的精髓，是入侵檢測依然存在，不被其它產(chǎn)品取代的根本。

本新聞共2頁,當(dāng)前在第2頁 1 2

【收藏】【打印】【進入論壇】

相關(guān)文章：

·用入侵檢測系統(tǒng)提高安全系數(shù)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费