位于主機和網(wǎng)絡(luò)層的入侵檢測系統(tǒng)和防御系統(tǒng)是當今信息安全的主要產(chǎn)品。然而隨著虛擬技術(shù)的出現(xiàn)，許多網(wǎng)絡(luò)安全專家已經(jīng)意識到傳統(tǒng)的入侵檢測系統(tǒng)已經(jīng)不能如以前融入到傳統(tǒng)的企業(yè)基礎(chǔ)設(shè)施中一樣融入或是在虛擬的網(wǎng)絡(luò)或系統(tǒng)中工作。

例如，網(wǎng)絡(luò)入侵檢測可能會更加困難，因為主要平臺供應(yīng)商的默認虛擬交換機不允許用來建立交換端口分析器(SPAN)或鏡像端口，防止流量被復制到入侵檢測系統(tǒng)(IDS)傳感器。同樣地，入侵防護系統(tǒng)(IPS)是被放置在傳統(tǒng)的物理網(wǎng)絡(luò)區(qū)域內(nèi)的，不可能輕易地融入到一個虛擬的環(huán)境中，尤其是虛擬網(wǎng)絡(luò)流量。一個基于主機的入侵檢測系統(tǒng)(IDS)在虛擬機上仍可以正常運行，但它現(xiàn)在將使用其從共享工具上提取的資源，使得防御網(wǎng)絡(luò)不能正常安裝。

幸運的是，有很多的方法可以用來調(diào)整IDS/IPS 實施策略和監(jiān)控虛擬系統(tǒng)流量。這就是我們要在此提出的。對于初學者來說，VMware公司的虛擬交換機或端口組分為“混合模式”，在這種模式下一個虛擬IDS傳感器可以在相同的虛擬部件上監(jiān)測到流量。此外，流量可能會到達被物理IDS傳感器監(jiān)控的接口?，F(xiàn)在有許多有效的開放源碼和第三方虛擬交換機是可以用操作傳統(tǒng)交換機的方法來操作的。

對于思杰系統(tǒng)公司(Citrix Systems Inc.)，內(nèi)核虛擬機(KVMs)，和甲骨文公司(Oracle Corp.)的VirtualBox的平臺來說，開放虛擬交換標準(Open vSwithch)提供了一個完全特定的虛擬交換機，這為流量鏡像和流量監(jiān)控建立了SPAN端口。思科系統(tǒng)公司(Cisco Sywtems Inc.)的Nexus 1000V商業(yè)交換機具有相同的功能，并使用著名的思科IOS命令行界面。這些交換機都支持流量數(shù)據(jù)采集和分析，也可以用于系統(tǒng)和網(wǎng)絡(luò)之間的形為監(jiān)控。

除了重新設(shè)計他們的系統(tǒng)和使用更多的多功能虛擬交換機以外，網(wǎng)絡(luò)安全專家們應(yīng)該研究虛擬設(shè)備格式化的開放源碼和商業(yè)入侵檢測及防御辦法。許多著名的企業(yè)，如Sourcefire Inc.，惠普TippingPoint和IBM ISS，也已經(jīng)將其現(xiàn)有的IDS和IPS平臺轉(zhuǎn)移到一個虛擬設(shè)備中。這些虛擬設(shè)備都可以很容易地融入到虛擬網(wǎng)絡(luò)中，提供虛擬機之間，虛擬和物理網(wǎng)絡(luò)之間的流量監(jiān)控。

如今市場上專業(yè)的虛擬產(chǎn)品是Reflex Systems LLC、 Catbird Networks 和HyTrust等公司的產(chǎn)品，這些產(chǎn)品在虛擬環(huán)境中提供基礎(chǔ)的流量監(jiān)控與分析。雖然他們并非真正命名為入侵檢測系統(tǒng)，但是這些產(chǎn)品可以增加一個更為傳統(tǒng)的IDS / IPS，用來進行粒狀的流量監(jiān)控和訪問控制以及為虛擬網(wǎng)絡(luò)獲得更大的安全行為分析。

市場上有很多免費產(chǎn)品。無論是Snort和Shadow的入侵檢測系統(tǒng)還是威睿(VMware)的Vmware Virtual Applicances都是免費的，都可以連接到Vmware的虛擬環(huán)境中，監(jiān)控和檢測入侵企圖。值得一提的是，正是這一獨特的能力優(yōu)勢意味著VMware超過了其競爭對手。

此外，現(xiàn)有的一些主機IDS和IPS產(chǎn)品已經(jīng)過測試和認證，能夠在很多的虛擬環(huán)境中工作。 Check Point軟件技術(shù)有限公司，McAfee公司和Symantec公司就是這些支持虛擬客戶系統(tǒng)的主機的IDS/IPS的眾多廠商中的代表。

另一代表就是OSSEC HIDS(一款開源的入侵檢測系統(tǒng)，現(xiàn)已歸Trend Micro公司所有)，它已證明了在沒有任何穩(wěn)定性的虛擬系統(tǒng)中，仍然能夠正常工作。通常，商業(yè)HIDS和HIPS代理程序都是經(jīng)過測試和修改的，以便在虛擬系統(tǒng)上使用更少的資源，避免管理程序平臺超載。然而，基于主機的設(shè)備仍然需要消耗大量的資源和集約化管理。額外的調(diào)度和控制能力也可確保虛擬機不會在掃描過程或監(jiān)控過程中超負荷運轉(zhuǎn)。

對于許多機構(gòu)來說，最關(guān)鍵的問題應(yīng)該是：“我們需要多少監(jiān)控?”現(xiàn)有的硬件設(shè)施可以監(jiān)測流量和虛擬網(wǎng)絡(luò)，大多數(shù)的機構(gòu)卻很少這樣做，如果有的話，也只是監(jiān)測系統(tǒng)間特定的網(wǎng)絡(luò)段。但是，對于那些想要或者需要一個更高的入侵檢測和防御水平的人來說，好消息就是，在網(wǎng)絡(luò)和主機層面上也有眾多的選擇。不管怎樣，由于虛擬化越來越普遍，毫無疑問，虛擬IDS和IPS技術(shù)也會變得越來越普遍。

虛擬IDS IPS安全實施戰(zhàn)略的介紹就到此為止，希望大家已經(jīng)掌握和理解，我們還會繼續(xù)為大家整理相關(guān)內(nèi)容和知識的。

【編輯推薦】

1. 如何應(yīng)對層出不窮的虛擬化安全問題？
2. 虛擬化安全規(guī)劃：替換實體分隔技術(shù)
3. 梭子魚全球市場拓展副總裁解析WAF與IPS IDS的區(qū)別
4. 虛擬網(wǎng)絡(luò)的安全策略 IDS/IPS的實施
5. 入侵預防系統(tǒng)（IPS）設(shè)備在虛擬機環(huán)境下仍然有用嗎？