文/王峰 张蓁

如何衡量IPS入侵防御产品？

   入侵检测防御市场目前主要有IPS和IDS两类产品。从产品的设计来看，现有的IDS的硬件都是基于X86架构，其性能往往不能满足高端用户的需求。另一方面，IDS产品的攻击检测技术相对落后，同时受其硬件资源和组网方式的限制，导致IDS存在误报/漏报多、时延大、加密协议无法处理等种种问题。另外，IDS只能旁路检测而无法在线阻断攻击的特点也越来越不能满足广大用户的需要，因此IDS产品目前已经进入生命周期的末期，在入侵检测防御市场，IPS产品已经取代IDS成为市场的主流。用户在面对类似需求时，可以从以下几个方面来考虑如何选择IPS产品：

• 高性能

    在串接的部署方式下，设备的性能指标一直是关注的重点，选择时可以从网络层性能指标和应用层性能指标两方面进行评估。网络层性能指标主要包括吞吐量、TCP/UDP背景压力处理性能、时延等，应用层性能指标包括并发连接数/每秒新建连接数、混合HTTP流量下并发在线连接数等。

• 丰富的功能特性

    衡量IPS产品的功能需要从两个方面来看。一是其核心功能，如攻击特征库及漏洞特征库的丰富性及特征库生成的专业性。考虑到现有网络中还存在大量的通过恶意代码和网页挂马等方式的攻击，优秀的IPS产品必须是攻击漏洞检测防御和病毒防御相结合，在系统设计时充分考虑包括攻击漏洞防御和先进的病毒、蠕虫、木马等防御功能。同时，攻击/病毒检测的准确性和全面性便成为最重要的考量指标。检测的准确性主要由检测算法和检测机制决定，检测的全面性则主要由特征库的全面性、特征提取手段等因素决定。这些都需要大量的人力投入和雄厚的技术积累，决不是朝夕之功。

    另一个功能是作为internet网关边际防护产品，其对诸如P2P的应用识别和控制的带宽管理能力以及对诸如DDOS攻击的防护能力，也是衡量该产品的重要参考因素，同时符合用户在部署internet边界网关产品时希望尽量少部署设备的想法。尤其是现阶段DDoS防御功能越来越多的被广大用户所关注，一些厂商推出了专门的DDoS防御产品，但是作为用户来说，购置一台高端入侵防御系统当然希望功能越完善越好。P2P识别控制更是入侵防御系统非常有特色的功能，作为带宽滥用的主要防护手段，P2P监控功能为入侵防御系统增加了不少附加值。

• 丰富的相应动作和控制策略

    在做到对各种攻击及时准确识别的同时，丰富有效的控制策略也是入侵防御系统必须重视的一项衡量指标，控制策略的丰富性在一定程度上可以影响防御的及时性和有效性，例如识别之后可以只告警不动作、识别后立即进行隔离或者识别后采取web重定向等相应动作，这些控制策略可以在第一时间隔离攻击源，带来更高的安全性。

• 高可靠性

    高端入侵防御系统往往部署在网络总出口、核心、数据中心前端等关键结点，可靠性是一个非常重要的指标，双电源冗余备份、掉电保护、二层回退机制、异常透传等能力都是一个高端入侵防御系统应该具备的可靠性保障功能，从而最大限度的减少安全网关发生异常的可能性，并且保证即使安全网关异常也不会造成严重丢包乃至断网等事故的发生。

• 完备的特征库维护

    各种各样的攻击病毒日新月异层出不穷，所以特征库对入侵防御系统尤为重要。高端入侵防御系统应该具备全面、有效的特征库，能够全面识别各种网络威胁，并且在最短的时间内补充新出现的特征。特征库需更新周期短，频率高，保证第一时间识别出网络新威胁。特征库的升级策略要灵活多样，手动升级、定期自动升级、自定义升级等都是产品必备的升级策略。产品进行特征库升级时需要保证对业务透明，即不会影响正常的业务运行，在没有感知的情况下快速完成升级过程。

如何选择应用控制网关产品？

    性能勿庸置疑是衡量高端应用控制网关的决定性指标，包括吞吐量、时延、每秒新建连接数等。作为应用层控制网关，应用协议特征库的准确性全面性，以及特征库升级的及时性也是产品的必要指标。除此之外，应用控制网关的功能主要关注点如下：

• 全面精确的应用识别

    应用控制网关产品最核心的技术指标就是对网络应用协议的识别能力，尤其是P2P这种吞噬网络带宽的应用。应用协议的识别能力不但包括识别协议的数量，还包括识别的粒度和准确性。能够识别的协议数量多自然是好事，但是一种协议可能包含很多子协议，例如P2P就会包含迅雷、BT等子协议，而迅雷又会包含web迅雷、软件迅雷、迅雷看看等很多子协议，协议划分粒度越细就越便于灵活控制；协议识别的准确性也是至关重要的，假如漏识别或误识别，就会造成该限制的业务没有被限制，而不该限制的正常业务又因为被限制或阻断而无法使用。

• 丰富细致的带宽管理

    高端应用控制网关应该具备网络应用协议识别的全面性和准确性、细粒度的带宽控制、全面的QoS能力、完整的用户上网行为记录和便捷的记录查询、以及丰富的网络内容过滤手段等；同时控制策略丰富灵活，在时间、用户/组、应用协议等各个维度都能够灵活制定相应的策略或策略组合，为用户提供完善的控制机制。

• 全面的上网行为审计

    上网行为审计也随着互联网的广泛应用越来越被重视，政府、企业、学校都需要对内部人员的上网访问进行一定监管，这就需要着重选择审计功能强大的应用控制网关。从web访问审计、email/webmail行为审计、聊天行为审计等上网行为审计，到上网访问内容的回放、聊天内容回放等上网过程的完全记录，都是审计需求应该考虑的功能指标。另外，一些上网行为控制功能如web网页关键字过滤、email/webmail内容过滤等功能也是比较重要的参考指标。

    数据中心访问行为审计同样属于审计需求的范畴，但是考量的指标就由网络应用转移到了数据库应用，主要包括所支持数据库的种类，对各种数据库操作所能够支持的程度，以及对数据库的各种操作所能够设置的控制策略是否丰富细致等。

• 完善易用的管理平台

    应用控制网关类产品以网络流量监控、用户行为审计等见长，这些应用决定了它需要有大量的报表呈现给用户，从而报表是否丰富、是否能够提供各种维度的直观报表、是否有足够的参考价值等是其非常重要的衡量指标。更专业更高级的应用控制网关所提供的报表，不但能够将现网的各种信息清晰直观的呈现，还能够将信息进行整合分析，为运营商的运营、企业的上网管理、学校的上网行为监督等提供有效的参考数据。

同时，多设备的集中管理也是衡量产品竞争力的关键，良好的多设备管理平台直接决定了日后使用、维护成本的高低。优秀的应用控制网关管理平台能够做到分权、分级管理，并能提供接口供管理中心进行统一管理。另外，管理平台的开放性设计接口也可为系统后续的个性化设计提供支撑。

    此外，对于运营商来说，共享接入监控和防范、VoIP监控和防范也是较常见的功能需求。应用控制网关具备很多应用层控制功能，不同需求的用户所关注的功能不同，根据自身需求来选择主要功能考量指标是选择应用控制网关产品时需要注意的地方。

    随着网络安全事件的频繁发生，高端安全产品在网络安全解决方案中充当着越来越重要的角色。由于产品本身的重要性及其较高的价格因素，选择时要从多方面进行考虑。希望本文能够在如何选择可靠高效的安全设备上起到一定的参考作用。