所谓应用为王,各种应用场景的层出不穷已经使得传统网络防火墙无法满足企业客户网络安全的需求,这也正是传统网络防火墙向下一代防火墙演进的源动力。
IPS既能在内嵌部署(保护模式),也能部署成单一的监控模式。而IDS只能够检测监控攻击。因此,IDS不能够阻止那些自动生成的攻击,如蠕虫病毒或将是网络。以前,用户会将防火墙和IDS一同部署,IDS来告知防火墙锁定特定的攻击。但是这样的组合在实践中却有非常高的误报率,所以这样的部署组合已经越来越少了。
下一代技术需解决新应用挑战
《通信世界周刊》:通信行业IDS/IPS技术有怎样的发展趋势?企业下一代发展入侵防护系统改如何建设?
袁楠丁:最近一段时间,IPS技术取得一个进步,即基于信誉(reputation-based)的检测技术。相比单纯罗列所有攻击者黑名单的传统以签名技术为基础的检测,基于信誉的检测技术能将有用的信息存储在云端,并实时将这些信息分享给入侵检测/防御系统(IPS/IDS)设备。比如说,如果一个IPS发现一个事先被标注了低可信度的IP地址(有可能是垃圾邮件),IPS能立即锁定这个IP,不管在哪种类型的文件传输。对于运营商来说,这种性能非常有用,能够更容易的阻止分布式拒绝服务攻击(DDoS)或僵尸网络。
姚伟栋:首要任务是要实现更高的处理性能,这已经不单单是软件范畴内的事情了。硬件,包括处理器、架构等方面都需要为此提供相应的解决方案。
蔡立军:下一代入侵检测与防护类产品除了需要提升检测精度与处理性能外,还要能够解决新技术和新应用所带来的新的安全问题。在Gartner给出的下一代NIPS定义中,包含了以下几项主要内容:要具备第一代IPS的全部功能;要具备应用感知能力;要具备上下文感知能力;要具备内容感知能力。
厂商发力运营商市场
《通信世界周刊》:贵公司推出的IDS/IPS方案具有哪些优势?目前贵公司产品在运营商应用情况如何?
袁楠丁:McAfee(迈克菲)在这些方面具有天然的优势,我们的全球威胁智能感知系统 (GTI) 的云安全平台已经有长达15年的数据积累,反病毒、反恶意代码、垃圾邮件防护以及IPS签名,这些都是作为业界技术领先者的McAfee被公认的优秀产品。
姚伟栋:东软的实力体现在软件上,对于东软NetEye信息安全产品也是如此。东软安全历经15年的市场考验,无论在产品稳定性、易用性还是检测性能方面,得到了越来越多用户的认可。迄今为止,东软信息安全技术和产品已经广泛应用于国内各大运营商总部、省级和地市级网络中。
蔡立军:绿盟科技自成立之初,始终致力于攻防以及入侵检测技术的研究,并引领着国内入侵检测与防御技术的发展。2005年,绿盟科技发布国内首款完全自主知识产权的NIPS,2010年该产品顺利通过国际最权威的NIPS测评机构NSS Labs的严苛测试,获得全球第四个,也是亚太地区惟一的最高级别Recommended评价。2011年,绿盟科技又率先推出了下一代NIPS。NIPS拥有全面、精准的攻击检测能力,已有40多个自主发掘漏洞被国际CVE组织收录,并维护着超过17800条记录的全球最大中文漏洞信息库;基于绿盟安全云的Web信誉技术,有效防范APT攻击;丰富的应用特征库,实现基于应用的智能防护;基于用户身份的访问控制,防止用户网内漫游;完备的虚拟化入侵检测与防护解决方案;兼容IPv4和IPv6,零投入实现IPv6安全防护。
另外,绿盟科技NIPS和NIDS产品凭借领先的技术和可靠的品质,赢得了用户的广泛认可。IDC市场分析报告显示,绿盟科技连续三年(2009~2011年)领跑中国入侵防御硬件市场。在三大运营商的入侵检测与防护类产品采购中,绿盟科技NIPS和NIDS设备被广泛部署在三大运营商的网络系统中。
