原帖由 zeroflag 于 2008-3-11 12:20 发表 http://bbs.chinaunix.net/images/common/back.gif
看了半天,真的没有太专业的技术回复呀。估计这里面真正从事IDS/IPS研发的很少。本人水平不高,也就是个售前而已。我想抛开技术层面不看,单纯从IDS/IPS的实际应用角度说说我的看法。
1、从实际的应用效果来看,IPS其实是要远远高于IDS的。
========================================================
得出这个结论,那是根据你的客户群的特点,客户本来就是分类的,肯定有适合需要IPS的,就如同你举例的, 请不要用 “从实际的应用效果来看” ,在石油,金融,电信,,和军工,以及军工制造型企业里,不太适用你这句结论
2、IPS的有效应用是什么
目前看来IPS最有效的应用其实是防范网络病毒的大规模传播。这是因为大规模传播的病毒所采用的攻击方式大多具有非常明显的特征,用IPS识别并阻断是非常有效的。我们某省公安厅的客户,在使用IPS之前,其病毒上传到公安国干网上的排名是前三,使用了IPS,排名变为了后三,这使得我们受到了客户的高度认可。这也是我见到过的IPS的最成功的应用。当然现在还有防毒墙产品,它在防病毒方面更加全面,但是从性能上看,防毒墙产品现在还远远达不到上骨干线路的要求。
另外,IPS的攻击防护虽然对绝大多数有预谋的高水平黑客来说,起不了太大的作用。但是对于“扫描器+攻击工具”的无目标的盲目攻击行为(比如当年用3389抓肉鸡)来说,还是具有很好的防御能力的。而我们现在见到的最大量的攻击恰恰是这种盲目攻击。
======================================================
要效果明显,很简单有效的办法就是用户之前的环境非常糟糕,马上就能体现出效果,你这个案例中,不用IPS,采用防病毒体系,和网关防毒墙(别是防火墙上插一张防病毒引擎卡那种)一样效果明显,,
3、误报漏报问题
IDS、IPS从攻击的发现机制上来说,其实都差不多,最直接最有效的就是特征匹配。其他的方法都是辅助性的。因此对于误报问题的解决,关键是特征库本身的质量问题。同样用Snort引擎,高手写出的特征库和我写出的特征库误报水平肯定是天上地下。但是即使高手写出来的东西也是有误报的,IPS在这方面一般采用的是宁漏不误的策略,所以过分担心IPS误报会阻断正常应用大可不必,对于一些模糊的东西,IPS根本不报。这也是IPS相对于IDS日志要少很多的原因。当然这样也放过了攻击,不过如果是IDS就不放过攻击吗?
另外,IPS的漏洞大多针对系统漏洞,这些漏洞所使用的应用绝大多数和我们的业务系统没有关系。即使这样误报率依然没有敢保证是0,不会中断正常业务。具体如何,建议还是上线测试一下最保险。
=======================================================
IDS、IPS最大的问题就是误报率(不要说IPS也可以旁路部署,那算P的IPS啊),,也正因为如此,生产系统,以及成熟安全体系中,采用IDS,, BMB17、20对于安全域边界控制措施(信息流向的安全可控),防火墙+IDS, // 另外目前国家保密局以及其他部门也没有对IPS的认证(因此暂时还不需要)
4、关于性能问题
解决性能问题还是要靠硬件的发展,一个是多核CPU的应用,现在在某些32核的CPU上(非X86),不加IPS规则(也就是裸机性能)的小包已经可以做大8G了,加上1000条规则,性能基本下降10倍左右,也可以做到小包800M。(以上是我们公司RD内部测试的结果)这还只是单颗CPU的情况。
如果加上FPGA做加速(比如正则表达式的加速,底层快转等等),可以达到非常高的吞吐率和低延迟。不过这样成本会高很多。
================、
道理同上
以上是一个售前对IPS、IDS的看法。欢迎拍砖!
===============================================
用什么产品没有绝对的那个好那个又不好,, 脱离环境和需求 就是胡说八道,
简单的白话性质不准确的比喻的话: 要简单省事,自身技术能力不足,对安全有一定认识和需要,倾向于UTM一类的设备,,同时对网络性能要求不是特别高(非生产系统、或数据网)的企业,或企事业单位,非涉密政府部门单位,,选用IPS可能适合,, 反之,请用IDS
[ 本帖最后由 limpideyes 于 2008-6-2 10:03 编辑 ]
关键性业务中,稳定性比安全性更重要,IDS旁路可以监控,IPS误报就麻烦了
现在也有这问题