bb 说的有一定道理....ids 跟 ips 的误报都看见了吧?...
想想..............
IPS如何实现IPS的功能?
作为一个串联设备,7层协议解包,payload和(>1000)条规则进行hash匹配,延迟能让客户端觉得可以接受,什么误报漏报也就别提了,就这样的设备能够一直工作我就挺怀疑的
我觉得以现在的并行处理能力无论是X86还是ASIC抑或是NP架构都难以达到,其实IPS就是个噱头
还有那个UTM,可能处理速度会比IPS好一点,但是我也极力不推荐
如果一定要买IPS,只推一个产品,ISS的($非常贵),其他的一律无视!如果这个东西上架后测试不行,那就把IPS这个名词直接划掉吧,就当没有这个东西好了
取而代之,解决问题的根源,客户端的问题应该在客户端解决,而不是一味着想着在GW处解决,
在GW仍采用传统的FW+并联IDS,内部可采用AD(域管理)+AV(防病毒、或HIPS企业版)+NAC(网络接入控制、身份认证)+WSUS(SMS)+终端管理(比AD强,钱多可以买)+(交换机)安全域划分+参考BS7799拟定管理制度……
有钱还可买个漏洞扫描(好听一点叫漏洞管理)
其实HIPS倒是可行的,把计算负载分散到终端,企业版就可以,当然上面的并非全要,终端管理是可选的
还有在当前的安全趋势下,想通过网关设备一劳永逸是根本不切实际的
最后,不要听那些厂商的人吓忽悠,80%以上的人根本不懂安全,说起来这个行业真可怜,对人的要求高了点
原帖由 ayazero 于 2007-4-12 14:20 发表
IPS如何实现IPS的功能?
作为一个串联设备,7层协议解包,payload和(>1000)条规则进行hash匹配,延迟能让客户端觉得可以接受,什么误报漏报也就别提了,就这样的设备能够一直工作我就挺怀疑的
我觉得以 ...
楼上的实乃兄弟肺腑之言……
斑竹终于给出回答了
真是牛啊
谢谢以上热心朋友答复,使我有个大体了解。
好久不谈技术了,我是觉得各取所需,考虑投入产出原则,IDS也好,IPS也好,甚或是IPs、UTM看企来的需求了,我所见过的企业,电信的,把FW的所有功能关掉,只用来作NAT的也有,因为NS的NAT功能太强了,ASIC厉害,也有的就是统一上一个UTM,在UTM里甚至要作垃圾邮件过滤,当然是对带宽和CPU资源的极大浪费,但他不看重稳定性,速度什么的,所以也是一种实现方法,另外现在基本上IDS和IPs是一体的,布署方式不同,名称也就不一样了,甚至于IPS、IDP、UTM我觉得也差不多是一会事,只是取了一个不一样我名字,功能销有差别而已,至于品牌,我素来不信评测,花钱搞出来的,自己也作过很多,只信口碑,推荐Netscreen,ISS(IBM),Checkpoint。
IPS?UTM?
统一真的好么?
从社会分工的角度来说,我们有刑警,片儿警,缉毒警,还有航空警察,交通警察等等,各自也有不同的管辖范围和职责没说警察包打天下吧。
安全我想也是这个道理,毕竟社会建制发展了这么多年,那么多社会学家,政治家等等,我想他们智力也不比现在搞安全的人低多少吧,为啥也没找到统一的方案呢?
IPS--->误报了怎么办?别说你的系统0误报,测试优化都会做。
UTM--->试试看功能全开是个啥结果,有人说这个给中小企业用的,我就不懂那么多厂商忽悠千兆、万兆产品个什么劲儿?
关键是ips国内做的都不太好。主要靠吹,呵呵
ids相对要成熟
说的有道理,但有时还是要支持国产的
IPS这个东西,不管怎么吹得天花乱坠,总觉得就是个串连的ids而已。
退一万步讲,就算不考虑误报,不考虑7层解包带来的延迟,
ips比ids+fw能好到哪里?
但是价格么,就贵的不是一点两点啊