對(duì)于安全人士來說，IPS系統(tǒng)大家并不陌生，入侵防護(hù)系統(tǒng)(IPS)是被放置在傳統(tǒng)的物理網(wǎng)絡(luò)區(qū)域內(nèi)的，不可能輕易地融入到一個(gè)虛擬的環(huán)境中，尤其是虛擬網(wǎng)絡(luò)流量。一個(gè)基于主機(jī)的入侵檢測(cè)系統(tǒng)(IDS)在虛擬機(jī)上仍可以正常運(yùn)行，但它現(xiàn)在將使用其從共享工具上提取的資源，使得防御網(wǎng)絡(luò)不能正常安裝。

IDS/IPS安全實(shí)施戰(zhàn)略如下所述：

位于主機(jī)和網(wǎng)絡(luò)層的入侵檢測(cè)系統(tǒng)和防御系統(tǒng)是當(dāng)今信息安全的主要產(chǎn)品。然而隨著虛擬技術(shù)的出現(xiàn)，許多網(wǎng)絡(luò)安全專家已經(jīng)意識(shí)到傳統(tǒng)的入侵檢測(cè)系統(tǒng)已經(jīng)不能如以前融入到傳統(tǒng)的企業(yè)基礎(chǔ)設(shè)施中一樣融入或是在虛擬的網(wǎng)絡(luò)或系統(tǒng)中工作。

例如，網(wǎng)絡(luò)入侵檢測(cè)可能會(huì)更加困難，因?yàn)橹饕脚_(tái)供應(yīng)商的默認(rèn)虛擬交換機(jī)不允許用來建立交換端口分析器(SPAN)或鏡像端口，防止流量被復(fù)制到入侵檢測(cè)系統(tǒng)(IDS)傳感器。同樣地，入侵防護(hù)系統(tǒng)(IPS)是被放置在傳統(tǒng)的物理網(wǎng)絡(luò)區(qū)域內(nèi)的，不可能輕易地融入到一個(gè)虛擬的環(huán)境中，尤其是虛擬網(wǎng)絡(luò)流量。一個(gè)基于主機(jī)的入侵檢測(cè)系統(tǒng)(IDS)在虛擬機(jī)上仍可以正常運(yùn)行，但它現(xiàn)在將使用其從共享工具上提取的資源，使得防御網(wǎng)絡(luò)不能正常安裝。

幸運(yùn)的是，有很多的方法可以用來調(diào)整IDS/IPS 實(shí)施策略和監(jiān)控虛擬系統(tǒng)流量。這就是我們要在此提出的。對(duì)于初學(xué)者來說，VMware公司的虛擬交換機(jī)或端口組分為“混合模式”，在這種模式下一個(gè)虛擬IDS傳感器可以在相同的虛擬部件上監(jiān)測(cè)到流量。此外，流量可能會(huì)到達(dá)被物理IDS傳感器監(jiān)控的接口?，F(xiàn)在有許多有效的開放源碼和第三方虛擬交換機(jī)是可以用操作傳統(tǒng)交換機(jī)的方法來操作的。

對(duì)于思杰系統(tǒng)公司(Citrix Systems Inc.)，內(nèi)核虛擬機(jī)(KVMs)，和甲骨文公司(Oracle Corp.)的VirtualBox的平臺(tái)來說，開放虛擬交換標(biāo)準(zhǔn)(Open vSwithch)提供了一個(gè)完全特定的虛擬交換機(jī)，這為流量鏡像和流量監(jiān)控建立了SPAN端口。思科系統(tǒng)公司(Cisco Sywtems Inc.)的Nexus 1000V商業(yè)交換機(jī)具有相同的功能，并使用著名的思科IOS命令行界面。這些交換機(jī)都支持流量數(shù)據(jù)采集和分析，也可以用于系統(tǒng)和網(wǎng)絡(luò)之間的形為監(jiān)控。

除了重新設(shè)計(jì)他們的系統(tǒng)和使用更多的多功能虛擬交換機(jī)以外，網(wǎng)絡(luò)安全專家們應(yīng)該研究虛擬設(shè)備格式化的開放源碼和商業(yè)入侵檢測(cè)及防御辦法。許多著名的企業(yè)，如Sourcefire Inc.，惠普TippingPoint和IBM ISS，也已經(jīng)將其現(xiàn)有的IDS和IPS平臺(tái)轉(zhuǎn)移到一個(gè)虛擬設(shè)備中。這些虛擬設(shè)備都可以很容易地融入到虛擬網(wǎng)絡(luò)中，提供虛擬機(jī)之間，虛擬和物理網(wǎng)絡(luò)之間的流量監(jiān)控。

如今市場(chǎng)上專業(yè)的虛擬產(chǎn)品是Reflex Systems LLC、 Catbird Networks 和HyTrust等公司的產(chǎn)品，這些產(chǎn)品在虛擬環(huán)境中提供基礎(chǔ)的流量監(jiān)控與分析。雖然他們并非真正命名為入侵檢測(cè)系統(tǒng)，但是這些產(chǎn)品可以增加一個(gè)更為傳統(tǒng)的IDS / IPS，用來進(jìn)行粒狀的流量監(jiān)控和訪問控制以及為虛擬網(wǎng)絡(luò)獲得更大的安全行為分析。

市場(chǎng)上有很多免費(fèi)產(chǎn)品。無論是Snort和Shadow的入侵檢測(cè)系統(tǒng)還是威睿(VMware)的Vmware Virtual Applicances都是免費(fèi)的，都可以連接到Vmware的虛擬環(huán)境中，監(jiān)控和檢測(cè)入侵企圖。值得一提的是，正是這一獨(dú)特的能力優(yōu)勢(shì)意味著VMware超過了其競(jìng)爭(zhēng)對(duì)手。

此外，現(xiàn)有的一些主機(jī)IDS和IPS產(chǎn)品已經(jīng)過測(cè)試和認(rèn)證，能夠在很多的虛擬環(huán)境中工作。 Check Point軟件技術(shù)有限公司，McAfee公司和Symantec公司就是這些支持虛擬客戶系統(tǒng)的主機(jī)的IDS/IPS的眾多廠商中的代表。

另一代表就是OSSEC HIDS(一款開源的入侵檢測(cè)系統(tǒng)，現(xiàn)已歸Trend Micro公司所有)，它已證明了在沒有任何穩(wěn)定性的虛擬系統(tǒng)中，仍然能夠正常工作。通常，商業(yè)HIDS和HIPS代理程序都是經(jīng)過測(cè)試和修改的，以便在虛擬系統(tǒng)上使用更少的資源，避免管理程序平臺(tái)超載。然而，基于主機(jī)的設(shè)備仍然需要消耗大量的資源和集約化管理。額外的調(diào)度和控制能力也可確保虛擬機(jī)不會(huì)在掃描過程或監(jiān)控過程中超負(fù)荷運(yùn)轉(zhuǎn)。

對(duì)于許多機(jī)構(gòu)來說，最關(guān)鍵的問題應(yīng)該是：“我們需要多少監(jiān)控?”現(xiàn)有的硬件設(shè)施可以監(jiān)測(cè)流量和虛擬網(wǎng)絡(luò)，大多數(shù)的機(jī)構(gòu)卻很少這樣做，如果有的話，也只是監(jiān)測(cè)系統(tǒng)間特定的網(wǎng)絡(luò)段。但是，對(duì)于那些想要或者需要一個(gè)更高的入侵檢測(cè)和防御水平的人來說，好消息就是，在網(wǎng)絡(luò)和主機(jī)層面上也有眾多的選擇。不管怎樣，由于虛擬化越來越普遍，毫無疑問，虛擬IDS和IPS技術(shù)也會(huì)變得越來越普遍。

虛擬IDS IPS安全實(shí)施戰(zhàn)略的介紹就到此為止，希望大家已經(jīng)掌握和理解，我們還會(huì)繼續(xù)為大家整理相關(guān)內(nèi)容和知識(shí)的。