入侵防御設(shè)備的功能仍未得到全面應(yīng)用涉及的幾個(gè)原因包括可靠性、吞吐率、流量延遲和誤報(bào)率。

基于網(wǎng)絡(luò)的入侵防御系統(tǒng)（IPS）是一種嵌入式（in-line）設(shè)備，目的在于檢測(cè)及阻止多種多樣的攻擊；不過(guò)新的研究顯示，這種設(shè)備的使用仍然常常更像是被動(dòng)監(jiān)控流量的入侵檢測(cè)系統(tǒng)。

Infonetics研究公司對(duì)169名負(fù)責(zé)為所在公司管理IPS的安全專業(yè)人士進(jìn)行了調(diào)查，旨在查明IPS過(guò)濾器用于阻止攻擊的全部功能是不是真正得到了使用；如果沒(méi)有真正得到使用，查明其中的原因。IPS廠商TippingPoint委托這家研究公司進(jìn)行的這項(xiàng)調(diào)查涉及TippingPoint的產(chǎn)品，另外還涉及思科、IBM、McAfee和Sourcefire這些廠商的同類(lèi)產(chǎn)品。

Infonetics公司的網(wǎng)絡(luò)安全首席分析師杰夫·威爾遜（Jeff Wilson）說(shuō)：“人們對(duì)IPS的態(tài)度還是非常謹(jǐn)慎。這項(xiàng)調(diào)查給我的印象主要是，我們還沒(méi)有進(jìn)入純IPS的時(shí)代，盡管大家都喜歡聲稱我們進(jìn)入了這樣一個(gè)時(shí)代?！?/P>

思科是IPS領(lǐng)域的主導(dǎo)廠商，這項(xiàng)調(diào)查體現(xiàn)了這一點(diǎn)；調(diào)查對(duì)象當(dāng)中有77個(gè)思科IPS客戶、38個(gè)TippingPoint客戶、36個(gè)IBM ISS Proventia客戶、26個(gè)McAfeeIPS客戶以及15個(gè)Sourcefire IPS客戶――他們都詳細(xì)描述了如何在所在公司使用IPS。每家公司的平均規(guī)模是擁有9418名員工。

IPS的第一步通常是決定要不要在帶內(nèi)使用；Infonetics公司發(fā)現(xiàn)，帶內(nèi)使用IPS的TippingPoint客戶有91%、思科客戶有70%、IBM和McAfee客戶各有67%，Sourcefire客戶大約有55%。

提到不想在帶內(nèi)使用IPS設(shè)備的幾個(gè)原因包括可靠性、吞吐率、流量延遲和誤報(bào)率。

對(duì)于那些在帶內(nèi)使用IPS設(shè)備的客戶來(lái)說(shuō)，下一步就是確定IPS設(shè)備的可用過(guò)濾器當(dāng)中有多少可以激活，以便阻止不同類(lèi)型的攻擊流量。調(diào)查發(fā)現(xiàn)，那些在帶內(nèi)使用IPS設(shè)備的客戶常常并沒(méi)有讓所有過(guò)濾器工作在阻止模式下，而是有時(shí)候只是工作在警報(bào)模式下。工作在阻止模式下的IPS過(guò)濾器在TippingPoint和IBM設(shè)備中的情況要多得多，而在Sourcefire設(shè)備中的情況少得多。在IBM、思科和McAfee的設(shè)備中，在混合模式下阻止和純警報(bào)功能被激活的情況是各一半。

據(jù)調(diào)查顯示，廠商們提供的過(guò)濾器更新庫(kù)（filter updates）只是在40%到74%的時(shí)間得到了使用，時(shí)間長(zhǎng)短視產(chǎn)品而定。

至于為什么客戶們不愿意使用新的過(guò)濾器，已見(jiàn)過(guò)調(diào)查結(jié)果的獨(dú)立分析師理查德·斯蒂農(nóng)（Richard Stiennon）表示，IPS客戶通常在部署過(guò)濾器更新庫(kù)之前，先在實(shí)驗(yàn)環(huán)境下進(jìn)行分析。有時(shí)候，過(guò)濾器特征會(huì)“破壞應(yīng)用程序或者阻止協(xié)議”，斯蒂農(nóng)說(shuō)?！八杂袝r(shí)候它們未得到部署?！?/P>

五年前斯蒂農(nóng)還是Gartner公司入侵防御設(shè)備的功能仍未得到全面應(yīng)用涉及的幾個(gè)原因包括可靠性、吞吐率、流量延遲和誤報(bào)率。

基于網(wǎng)絡(luò)的入侵防御系統(tǒng)（IPS）是一種嵌入式（in-line）設(shè)備，目的在于檢測(cè)及阻止多種多樣的攻擊；不過(guò)新的研究顯示，這種設(shè)備的使用仍然常常更像是被動(dòng)監(jiān)控流量的入侵檢測(cè)系統(tǒng)。

Infonetics研究公司對(duì)169名負(fù)責(zé)為所在公司管理IPS的安全專業(yè)人士進(jìn)行了調(diào)查，旨在查明IPS過(guò)濾器用于阻止攻擊的全部功能是不是真正得到了使用；如果沒(méi)有真正得到使用，查明其中的原因。IPS廠商TippingPoint委托這家研究公司進(jìn)行的這項(xiàng)調(diào)查涉及TippingPoint的產(chǎn)品，另外還涉及思科、IBM、McAfee和Sourcefire這些廠商的同類(lèi)產(chǎn)品。

Infonetics公司的網(wǎng)絡(luò)安全首席分析師杰夫·威爾遜（Jeff Wilson）說(shuō)：“人們對(duì)IPS的態(tài)度還是非常謹(jǐn)慎。這項(xiàng)調(diào)查給我的印象主要是，我們還沒(méi)有進(jìn)入純IPS的時(shí)代，盡管大家都喜歡聲稱我們進(jìn)入了這樣一個(gè)時(shí)代?！?/P>

思科是IPS領(lǐng)域的主導(dǎo)廠商，這項(xiàng)調(diào)查體現(xiàn)了這一點(diǎn)；調(diào)查對(duì)象當(dāng)中有77個(gè)思科IPS客戶、38個(gè)TippingPoint客戶、36個(gè)IBM ISS Proventia客戶、26個(gè)McAfeeIPS客戶以及15個(gè)Sourcefire IPS客戶――他們都詳細(xì)描述了如何在所在公司使用IPS。每家公司的平均規(guī)模是擁有9418名員工。

IPS的第一步通常是決定要不要在帶內(nèi)使用；Infonetics公司發(fā)現(xiàn)，帶內(nèi)使用IPS的TippingPoint客戶有91%、思科客戶有70%、IBM和McAfee客戶各有67%，Sourcefire客戶大約有55%。

提到不想在帶內(nèi)使用IPS設(shè)備的幾個(gè)原因包括可靠性、吞吐率、流量延遲和誤報(bào)率。

    對(duì)于那些在帶內(nèi)使用IPS設(shè)備的客戶來(lái)說(shuō)，下一步就是確定IPS設(shè)備的可用過(guò)濾器當(dāng)中有多少可以激活，以便阻止不同類(lèi)型的攻擊流量。調(diào)查發(fā)現(xiàn)，那些在帶內(nèi)使用IPS設(shè)備的客戶常常并沒(méi)有讓所有過(guò)濾器工作在阻止模式下，而是有時(shí)候只是工作在警報(bào)模式下。工作在阻止模式下的IPS過(guò)濾器在TippingPoint和IBM設(shè)備中的情況要多得多，而在Sourcefire設(shè)備中的情況少得多。在IBM、思科和McAfee的設(shè)備中，在混合模式下阻止和純警報(bào)功能被激活的情況是各一半。

    據(jù)調(diào)查顯示，廠商們提供的過(guò)濾器更新庫(kù)（filter updates）只是在40%到74%的時(shí)間得到了使用，時(shí)間長(zhǎng)短視產(chǎn)品而定。

    至于為什么客戶們不愿意使用新的過(guò)濾器，已見(jiàn)過(guò)調(diào)查結(jié)果的獨(dú)立分析師理查德·斯蒂農(nóng)（Richard Stiennon）表示，IPS客戶通常在部署過(guò)濾器更新庫(kù)之前，先在實(shí)驗(yàn)環(huán)境下進(jìn)行分析。有時(shí)候，過(guò)濾器特征會(huì)“破壞應(yīng)用程序或者阻止協(xié)議”，斯蒂農(nóng)說(shuō)?！八杂袝r(shí)候它們未得到部署?！?/P>

    五年前斯蒂農(nóng)還是Gartner公司的分析師時(shí)，就宣布IDS已“死亡”，曾在當(dāng)時(shí)引起了一番爭(zhēng)議。現(xiàn)在他表示，Infornetics公司的這項(xiàng)調(diào)查給他帶來(lái)了再次激起批評(píng)人士大加撻伐的刺激因素。

    斯蒂農(nóng)說(shuō)：“IDS會(huì)死亡，因?yàn)樗允且豁?xiàng)失敗的技術(shù)?！彼磉_(dá)了這種觀點(diǎn)：只是單單把有關(guān)攻擊的警報(bào)記入日志幾乎總是一項(xiàng)平淡無(wú)奇的操作?！癐PS設(shè)備在阻止攻擊方面應(yīng)當(dāng)有更大的作為?！?/P>

    他還表示，TippingPoint設(shè)備當(dāng)初是有意設(shè)計(jì)成一款嵌入式IPS設(shè)備的，而思科設(shè)備卻不是。Infonetics公司的杰夫·威爾遜也認(rèn)為，思科IPS不是設(shè)計(jì)成可以在帶內(nèi)使用；盡管思科是IPS領(lǐng)域的市場(chǎng)領(lǐng)頭羊，但思科“其平臺(tái)用作一款阻止攻擊流量的真正IPS的總體使用率最低?！?/P>

    雖然Gartner的分析師約翰·佩斯卡托（John Pescatore）還沒(méi)見(jiàn)過(guò)Infonetics的調(diào)查結(jié)果，不過(guò)他說(shuō)，Gartner自己針對(duì)其客戶開(kāi)展的調(diào)查表明，用戶獲得信心從而把IPS用在嵌入式阻止模式下，可能需要相當(dāng)長(zhǎng)一段時(shí)間，甚至長(zhǎng)達(dá)一年。

    佩斯卡托問(wèn)道：“為什么不完全在這種模式下啟用？因?yàn)樵O(shè)備會(huì)出現(xiàn)性能問(wèn)題，它們的速度會(huì)慢下來(lái)，或者可能阻止合法流量?！彼硎?，還存在IPS吞吐率性能方面的嚴(yán)重問(wèn)題，而IPS行業(yè)需要解決這些問(wèn)題。

【編輯推薦】

1. 談IDS與IPS各自的應(yīng)用價(jià)值與部署目標(biāo)
2. 部署IPS走效益路線
3. IPS：從入門(mén)到精通

【責(zé)任編輯：王文文 TEL：（010）68476606】