IPS解决方案建议

采用入侵防御系统网络安全解决方案

1. 需求分析

1.1 权威研究报告指出系统入侵/渗透是目前最大的安全威胁

VanDyke Software 组织的一次广泛而具有影响力的调查显示，66% 的公司认为系统渗透是政府、组织和企业所面临的最大威胁。该项调查还显示，被调查企业所经历的最为严重的八种威胁分别是：病毒（占78%）、系统渗透（占50%）、DoS (占40%)、内部人员错误操作（占29%）、电子欺诈（占28%）、数据或网络故障（占20%）以及内部人员的非法访问（占16%）。

图 1 权威调查揭示2/3的受访者认为系统渗透/入侵是面临的最大安全威胁

1.2 现有的安全架构无法应对系统入侵的新威胁

虽然在被调查的企业中，有 86% 已经部署了防火墙（老实说，相对于时代的发展和今天的大环境，这个数字低得让人无法接受），但很明显，防火墙面对很多

入侵行为仍然无计可施。普通的防火墙设计旨在拒绝那些明显可疑的网络流量（例如，企业的安全策略完全禁止 Telnet 访问，但仍有某些用户试图通过 Telnet 访问某个设备），但仍允许某些流量通过（例如，发送到内部 Web 服务器的 Web 流量）。

图 2 现有的FW无法识别拦截应用层面攻击

问题在于，很多攻击都会尝试利用那些外围防火墙允许通过的协议的漏洞，而且，一旦 Web 服务器遭到攻击，攻击者会以此为跳板继续对其它内部服务器发起攻击。一旦服务器上被安装了“rootkit”或“后门”，那么黑客们就能够在未来的任何时间里“大摇大摆”地访问这台机器。

一般来说，我们仅将防火墙部署在网络外围。但很多攻击，无论是全球性攻击还是其它类型的攻击，往往都是从组织内部发起的。虚拟专用网、便携式计算机以及无线网络都能够接入到内部网络，而且经常会越过防火墙。入侵检测系统在检测可疑活动时可能很有效，但却不能提供对攻击的防护。臭名昭著的蠕虫（例如Slammer 和 Blaster）都具有惊人的传播速度，当系统发出警报时，蠕虫实际上已经导致了损失，而且正在飞速地向外扩散。

图 3 攻击历史回顾提醒我们蠕虫的快速传播曾造成巨大损失

1.3 安全缺口在扩大

随之网络和应用的不断发展，安全的需求也在不断增长，而我们现有的安全能力却没有提高，造成安全缺口不断在扩大，如下图所示：

图 4 安全缺口在不断扩大

1.4 系统和网络安全面临的实际问题

依靠现有的FW、IDS等安全设备，我们已经不能及时掌握网络和系统的安全状况，也无法及时拦截攻击和进行补救。下面是一些亟待解决的问题：

1.FW、IDS已经不能保护应用安全，攻击能够穿透防火墙，比如SQL注

入攻击，而我们不可能将SQL使用的TCP端口在防火墙上关闭，因为

这样会将正常的SQL操作也阻断。这说明FW不能对数据流作深度分

析，不能检测到应用层面的攻击，仅起到访问控制的作用，而IDS虽然

能够监测到攻击，但是却不能够及时自动的拦截攻击，需要大量的人工

干预，效率较低。

2.网络中的设备和系统越来越多，同时，这些设备和系统使用的操作系统

和应用软件存在的漏洞也不断被发现，应用层面的攻击正是利用了这些

漏洞，比如，微软已经公布了很多Web 服务器软件 IIS和数据库软件

MS-SQL的系统漏洞，而这些系统被广泛采用，如何为这些设备和系统

及时打补丁(修补漏洞)成为一件必须解决的问题。

3.来自于外部的攻击越来越多，而且发展成为零日攻击（Zero-day

Attacks），加之黑客工具泛滥，如果存在漏洞的系统没有及时打补丁，

则潜在被攻击的可能性极大。

4.P2P、IM、Game、流媒体等次要应用占用大量网络带宽而影响关键应

用。

5.不清楚谁或者哪些设备在对我们的网站进行攻击。

6.针对上述威胁缺乏有效的、自动化的、高性能的解决方案，IT人员工作

压力巨大。

2. 问题解决之道–采用IPS增强网络安全

FW不能检测应用层面的攻击，而IDS（入侵检测系统）虽能检测却不能及时、有效拦截攻击，所以我们需要一种既能够检测攻击，又能够拦截攻击的方案–入侵防御系统，部署在网络的关键位置。入侵防护系统完全是前瞻性的防御机制，它们的设计旨在对常规网络流量中的恶意数据包进行检测（这是目前的防火墙产品无法做到的）、阻止入侵活动、预先对攻击性的流量进行自动拦截，使它们无法造成损失，而不是在传送恶意流量的同时或之后，简单地发出警报。

图 5 IPS提供主动和自动化的安全防护

网络使用者和管理员不再被下面这些麻烦所困扰：网络屡遭攻击后需要进行大量的清理工作但无法彻底清理干净而复发；需要在短时间内紧急为大量的服务器打补丁以避免危害面积扩大；泛滥的P2P、IM等“流氓”流量大量侵占了宝贵的带宽使得关键业务中断；DoS/DDoS攻击致使Internet通路堵塞并且导致关键服务器宕机。

3. IPS部署方案设计

3.1 设计原则

设计遵循高安全性、高性能、高可靠性和易于管理兼顾的原则。在部署IPS 时，需要考虑以下几点：

1.误报率和漏报率：这两个指标应该趋近于零，因为误报较高必然影响正

常业务，造成人为阻断，而漏报较高就会大大降低安全效能。一方面，

根据目前系统的情况，作一些有针对性地模拟攻击测试来考察误报率和

漏报率，另一方面，可以参考一些权威机构的评测报告，如NSS、

ICSA。

2.攻击防护的广度：低误报率和漏报率保证了IPS的精度、但还必须能够

防护可能多的攻击，根据CERT对今年的漏洞统计，一个好的IPS应该

能够支持3000种上攻击，能够保护Windows、Unix/Linux等操作系

统、Oracle、SQL等各种数据库、Web等应用软件漏洞。

3.性能考虑：由于IPS在线部署，我们还必须检验其吞吐能力和延时，而

这里考察的条件是安全策略大部分都开启情况下的应用层面的吞吐能

力，而不仅仅是像测试路由器和交换机性能那样检查三层转发性能。部

署在千兆链路上的IPS其7层处理能力不应该小于800Mbps（真实网络

流量下），而处理延迟应该和千兆交换机相当，即150 – 200微妙之

间。具体评测方法可以借助专业测试仪器并参考权威机构的评测方法和

报告。

4.可靠性：虽然各厂商都声称自己的产品具有4个9甚至5个9的高可靠

性，但是假定设备在某种情况下过载（CPU利用率超过90%、吞吐能

力下降、处理延迟达到毫秒级），则设备本身需要具备某种自我检测机