一、IPS 对网络的关键作用
众所周知,近年来网络安全事件层出不穷(国际权威组织CERT(Computer Exigency Response Team,计算机紧急响应小组)监测并统计得到:2008年上半年,平均每天会有1.5万个网页受到病毒感染,即每5秒钟内就会增加一个被感染网页)。专业的安全厂家和研究机构通过分析和验证所有这些安全攻击事件,形成肯定的结论:所有的安全事件其根本技术原因就是黑客发现和利用了目标机的系统漏洞。我们知道,漏洞大致分为“各类操作系统”漏洞和“各类应用系统”漏洞。我们可以再肯定的说,任何漏洞都可能造成攻击目标的失陷。
如何来跟踪和收集这些漏洞,并对漏洞特征进行分析归纳,从而发明一种设备来检测并阻断利用这些漏洞的攻击报文呢?IPS(Intrusion Prevention System,入侵防御系统)设备就是基于这种思想开发的网络安全设备。有实力的IPS厂商一般都组建有特征库团队,分析和跟踪常用基础软件的漏洞,以及常用应用系统的漏洞利用机理,并生成攻击特征库定期下发到IPS设备上,保证IPS在防范已知漏洞的基础上,能对新出现的漏洞也能进行防范,从而,在源头上堵住系统漏洞,在源头上将安全事件的根本原因消除掉。可以说,如果在每个网络域的出口都部署IPS,并定期升级IPS特征库的话,那么,安全事件是可以从源头上消除掉的。
二、IPS 是不可替代的
人类不是未卜先知的神灵,可以一簇而就的制造出完美的IPS设备。在对漏洞的攻击和防护上,网络技术人员走过了认识、深化、修正、提升的曲折发展道路。这个发展过程也是符合IT技术的发展规律的。
1988年,Morris蠕虫造成的网络瘫痪事件导致了业界对漏洞攻击入侵的真正认识和深入关注,网络技术人员提出了简单模型的IDS(Intrusion Detection System,入侵侦听系统)。1995年,IDS逐步从研究性、尝试性的产品逐渐发展到了市场化的产品,随着网络安全事件的不断涌现和危害程度不断加重,IDS逐渐得到了广泛的应用。但随后遵循摩尔定律,网络技术和计算机技术飞速发展,网络技术人员逐渐发现IDS在应对不断翻番的网络流量和不断出现的网络复杂应用时已力不从心,如出现了海量攻击事件、检测性能不够、检测精度不够、分析攻击事件困难、无法有效阻断攻击等,因此,业界也在不停地探讨利用新的软、硬件技术来实现一个更高级的入侵检测防御的IPS模型,不同于IDS,该模型与生俱来的设计思想就是:精确检测、实时阻断。随后国际上各厂商纷纷推出IPS产品,并在各行各业形成了规模应用;2003年,国际著名咨询机构Gartner副总裁在大量的数据分析后,发表了“IDS is dead”判断,并逐渐在美国、日本等互联网发达的国家得到验证,国际上的厂商逐渐停止生产销售IDS,而专注于研发销售IPS,同时,通过将各种先进的软、硬件技术引入到IPS的开发中,如多核技术、ASIC技术等,使得IPS的检测性能与日俱增。
简言之,IPS代表了更新更先进的产品形态,将逐步涵盖和终结IDS产品形态,下表罗列了两者之间的根本区别。
表1. IDS、IPS产品的主要区别
三、 IPS在线部署的可靠性是完全有保障的
在线部署的IPS是否会成为网络业务的一个新的故障点呢?这是很多用户会担心的问题。IPS是一个深入应用层(七层)的安全设备,主要提供网络威胁防御的业务,不同于交换机、路由器,IPS本身不参与报文选路和交换,而是透明部署,从一个接口上接收网络流量,对报文进行深入七层的实时的分析检测,根据检测结果阻断攻击流量,并将正常流量从另一个确定的接口上转发出去。所以,在IPS上可以实现相比交换机、路由器更多的可靠性设计,即IPS的多重高可靠性(MHA)设计。IPS的多重高可靠性(MHA)面向业务传送的所有层面进行高可靠保护,使得在任何情况下业务都不会因为IPS的故障而中断,使得IPS这个网络节点永远不会成为中断业务的故障点。
H3C IPS按照电信级标准设计了冗余电源进行供电,并设计了无源连接设备PFC(Power Free Connector),PFC可以为IPS产品提供了掉电保护功能。在IPS掉电的情况下,PFC可以将网络流量自动绕开IPS、旁路到下一跳设备上去;而当管理员恢复电源供给后,PFC又会自动禁止旁路功能,所有流量将再度流经IPS接受检测。如下图所示。
图1. H3C IPS的掉电保护机制设计
PFC是通过IPS设备上的USB口供电的,当IPS掉电后,PFC也掉电,PFC掉电后通过内部的继电器装置会迅速连通网络,实现一层Bypass。利用PFC设备,H3C IPS在掉电后小于10ms的时间内即能恢复网络连通。
在线部署的IPS是否会因为性能问题而导致IPS节点成为网络瓶颈?这也是很多用户会担心的问题。其实这个担心是没有必要的。网络产品(路由、交换机)的硬件技术、软件技术的发展使得万兆,百万兆的流量处理都是能够实现的,包括IPS在内的各种安全设备在架构设计和芯片处理上都可以借鉴和挪用这些技术积累,从而拥有了更强劲的处理能力,可以保证:IPS能够在可预见的网络带宽下以“交换机式”性能完成入侵检测防御。
IPS已经得到了全球范围的规模应用,说明了IPS的性能是完全可以满足各种实际应用环境的。特别是从2000年开始,业界对IPS的开发和测评已积累了足够的经验,尤其对IPS产品的性能评价和性能测试方法已经足够客观准确,厂家或测评机构可通过客观的IPS性能测试方法来获得IPS的吞吐量、时延、并发连接数、新建连接数等指标,而将IPS用在与这些指标相对应的网络环境中时,IPS的性能是决不会成为瓶颈的。H3C IPS的从高端到低端的全系列IPS产品的时延都在50微秒以下。
IPS的硬件设计先进,如采用多核CPU、多核多线程,采用专有交换芯片实现正常报文转发等,多核CPU可以多达8核、16核、32核。每个核具有多个硬件线程,每个线程具有独立的寄存器组,这些核可以并发地执行指令,保证了多个硬件线程的高速运行。先进的硬件架构使多核并行运算,提供入侵检测防御业务,确保IPS性能。。
四、 总结
通过我们的分析,知道IPS是防范安全威胁的最有效的网络安全设备。分析IPS的发展历史,我们知道IPS规避了IDS的缺陷,IPS相比IDS代表了更先进的产品形态。分析IPS的技术和应用,我们知道IPS不会因为可靠性和性能而影响网络的正常业务。分析IPS产品在国内、外的应用历史和趋势,我们知道IPS已成为主流的网络安全设备在各行各业的网络上进行了规模部署。
我们发现,交换机和路由器的规模部署使网络实现了互联互通,当网络规模变大、安全问题变严重时,防火墙的规模部署使网络实现了访问控制,解决了部分安全问题,而当网络应用不断丰富并且不断商业化、安全形势变得更加严峻时,IPS的规模部署使网络实现深度报文检测和入侵防御必然是网络和网络安全的发展趋势。
【编辑推荐】
