您的位置: 网界网 > 周报全文 > 正文

[周报全文]拨开迷雾,详解入侵检测、入侵防御和UTM

2009年11月25日 16:29:13 | 作者:启明星辰 吴凡 | 来源:网界网 | 查看本文手机版

摘要:在许多人看来,入侵检测和入侵防御没什么区别,很多做入侵检测的厂商同时也做入侵防御,甚至连它们的缩写“IDS”和“IPS”都这么的相像。

标签
UTM
启明星辰
入侵防御
入侵检测

【CNW.com.cn 专稿】在许多人看来,入侵检测入侵防御没什么区别,很多做入侵检测的厂商同时也做入侵防御,甚至连它们的缩写“IDS”和“IPS”都这么的相像。那么这两款产品有区别吗?区别在哪?入侵防御和UTM之间该如何选择?未来它们将会如何发展?

入侵防御还是UTM?

UTM也具备入侵防御功能,那它是否可以取代入侵防御产品呢?防火墙是配置允许规则,规则之外则禁止。而入侵防御是配置禁止规则,规则之外则允许。比如bypass功能,就是在串行设备遇到软件/硬件问题时,强制进入直通状态,以避免网络断开的一种技术。这个技术只在入侵防御产品中有应用,而不出现于防火墙产品中,这是为什么呢?诚然,在防火墙处于非透明模式下,bypass也无法保障通信的通畅。比如说NAT模式下,防火墙内外网络不在一个网段,即使物理上强制直通,也会由于找不到路由而无法通信。但是最根本的原因还在于防火墙与入侵防御采用两种截然不同的数据处理流程。防火墙只允许那些被允许的数据进入,即使在自身出现问题的情况下,也不能让未受允许的数据进入,所以防火墙不可能有bypass功能。而入侵防御刚好相反,其目标是保护后端的设备不受威胁行为的影响提供正常的服务,如果自身出现问题了,宁愿切换为通路,也不影响后端业务的运营。所以,bypass设备是必需的。

可以看出,入侵防御产品的未来之路就是保护后端服务不受威胁影响而能正常开展业务。UTM可以有入侵防御的模块,但由于结合了防火墙、AV等其他功能,使得其关注的目标必定是批量化的拦截,无暇专注于后端服务。

到底需要入侵防御还是UTM,取决 于保护的目标主体。如果用以保护整个网络,那么应当选择UTM。除了入侵防御之外,还可依据用户需求提供防病毒、VPN等网关级安全应用。如果用以保护某一台或多台服务器(群),那么就应当选择入侵防御。当然这是有前提的,那就是入侵防御产品需要对服务器防护有相应针对性的特性。比如启明星辰公司的天清入侵防御产品,就专注发掘了Web服务防护功能。

入侵防御还是入侵检测?

再看入侵检测产品。入侵检测所关注的是可视化,对入侵检测来说,最重要的是 “呈现”。“呈现”主要取决于两点,一是呈现的内容,二是呈现的效果。呈现的内容表现在事件是否更新及时,数据是否抓取完全。和入侵防御不一样(+本站微信networkworldweixin),入侵检测产品是旁路部署,甚至多点部署的,对整个网络进行监视。呈现的效果表现在是否能方便地从产品界面上获得有效信息,以便对接下来的工作进行指导。禁止或允许某些安全规则,评价某个区域的安全建设效果等。

而入侵防御则更关注“防护”。准确而及时的防护,其关注重点并不是全局信息(而只是关键服务器群),也不是关注信息分析,这导致了入侵检测和入侵防御在面对事件时的不同态度:入侵检测关注可疑事件,即使不能判断为具体的攻击行为,也要进行记录和分析备案。而入侵防御关注的都是明确的事件,是威胁就坚决予以阻断,不能认定为威胁则予以放行。而在用户交互界面层面,也有不同的态度:入侵检测关注信息展现,以图表呈现全面的信息以协助分析。入侵防御则不需要关注信息之间的关联。事件对入侵防御而言,只是一个阻断报告的数据来源。

所以,当你需要了解网络安全状况的时候,购买入侵检测产品将会是一个合适的选择。在选择入侵检测产品的时候,需要关注如下因素:它是否能保障“呈现”无障碍,是否提供了一些新的特性可以方便地看到想看的信息,使用者是否可以快速利用它“呈现”的内容做出相应的决策判断。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]