詳解入侵檢測、入侵防御和UTM

http://m.yibo1263.com　2009/9/3 11:54:10 　來源:網絡整理　編輯:葉子

　　可以看出，入侵防御產品的未來之路就是保護后端服務不受威脅影響而能正常開展業(yè)務。UTM類產品可以有入侵防御的模塊，但由于結合了防火墻、AV等其它功能，使得其關注的目標必定是批量化的攔截，無暇專注于后端服務。入侵防御和UTM相比，可以用一個生活中的小例子來呼應：入侵防御就是個人保鏢，而UTM就是小區(qū)保安，兩者都是保護目標的安全，但由于受保護目標不同（保鏢的目標聚焦，而保安的目標不聚焦）使得這兩種類似的職業(yè)都有單獨存在的必要。

　　到底需要入侵防御還是UTM？取決于保護的目標主體。如果用以保護整個網絡，那么應當選擇UTM，除了入侵防御之外，還可依據用戶需求提供防病毒、VPN等網關級安全應用。如果用以保護某一臺或多臺服務器（群），那么就應當選擇入侵防御。當然這是有前提的，那就是入侵防御產品需要對服務器防護有相應針對性的特性，比如啟明星辰公司的天清入侵防御產品，就專注發(fā)掘了Web服務防護功能。

　　再看入侵檢測產品，與入侵防御產品作為控制工具相對的，入侵檢測產品給使用者提供了一個可視化的平臺，通過這個平臺，用戶可以清楚地了解網絡里到底發(fā)生了什么事情，當然，結論的產生還是需要加入大量的人工分析。比如，網絡嗅探，入侵防御或者類似的控制工具，所關注的只是“禁止這一行為”，但嗅探可能來自于內部員工的正常網絡檢查行為，這就需要一個界面來告訴使用者，嗅探行為是誰干的、是否違規(guī)等等，而這就是入侵檢測產品的作用所在。當你需要了解網絡安全狀況的時候，購買入侵檢測產品將會是一個合適的選擇。

　　入侵防御還是入侵檢測？

　　即使有了基于前文的認知，但當前還有這樣的言論出現：入侵檢測能做的事，入侵防御都可以做，入侵防御是入侵檢測的升級/換代產品。

　　前文提到，入侵檢測所關注的是可視化，對入侵檢測來說，最重要的是 “呈現”�！俺尸F”主要取決于兩點，一是呈現的內容，二是呈現的效果。呈現的內容表現在，事件是否更新及時，數據是否抓取完全。和入侵防御不一樣，入侵檢測產品是旁路部署甚至多點部署的，對整個網絡進行監(jiān)視。呈現的效果表現在是否能方便地從產品界面上獲得有效信息，以便對接下來的工作進行指導：禁止或允許某些安全規(guī)則，評價某個區(qū)域的安全建設效果等。

　　而入侵防御則更關注“防護”，準確而及時的防護，其關注重點并不是全局信息（而只是關鍵服務器群），也不關注信息分析。這導致了入侵檢測和入侵防御在面對事件時的不同態(tài)度：入侵檢測關注可疑事件，即使不能判斷為具體的攻擊行為，也要進行記錄和分析備案；而入侵防御關注的都是明確的事件，是威脅就堅決予以阻斷，不能認定為威脅則予以放行。而在用戶交互界面層面，也有不同的態(tài)度：入侵檢測關注信息展現，以圖表呈現全面的信息以協助分析；入侵防御則不需要關注信息之間的關聯，事件對入侵防御而言只是一個阻斷報告的數據來源。

　　所以，在選擇入侵檢測產品的時候，需要關注如下因素：它是否能保障“呈現”無障礙，是否提供了一些新的特性可以方便地看到想看的信息，使用者是否可以快速利用它“呈現”的內容做出相應的決策判斷。

　　當然，作為安全廠商，所需要做的就是，當開發(fā)入侵檢測產品的時候，任何功能特性，都應當圍繞“呈現”這個詞來做，用戶需要一個可視化平臺。因為只有“呈現”，才是入侵檢測的精髓，是入侵檢測依然存在，不被其它產品取代的根本。

本新聞共2頁,當前在第2頁 1 2

【收藏】【打印】【進入論壇】

·用入侵檢測系統提高安全系數

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费