【TechTarget中国原创】在威胁管理仍然备受关注的同时,而且对于没有资金的安全专家来说全面理解入侵检测工具的功能从而做出正确的购买决定更重要。
入侵检测系统和入侵防御系统是特别容易混淆的,因为这些产品很相似,厂商通常也是一样的,甚至他们的缩写也很难分开。本文将分别解释他们的功能,并确定你需要的是他们中的一种技术还是两者都需要。
区分IDS和IPS
IPS和IDS不相同。但是,在IDS中用于检测安全问题的技术和在IPS中用于防御安全问题的技术很相似。
从了解IDS和IPS是非常非常不相同的工具开始非常重要。即使他们拥有共同的基础,他们在网络中的位置也不相同,功能不同,解决的问题也不相同。
IPS更像是防火墙。在典型的企业防火墙中,需要有一些规则,可能是几百条,也可能是几千条。这些规则大部分是“通过”规则:“允许流量通过”。这样防火墙就可以从线上获取信息报并使之经过规则的检测,寻找“允许这个信息包通过”的规则。如果它走到了这个列表的结尾部分,也没有发布有“允许这个信息包通过”的规则,那么,就是最终的“拒绝”规则:丢掉其他的一切。这样,在没有允许流量通过的理由时,防火墙就会丢掉它。
IPS就像这样,但是是相反的规则:它也又规则,可能是几百条,也可能是几千条。这些规则大部分是“拒绝”规则:“阻止这个已知的安全问题”。当信息包在IPS上出现时,IPS就会从上到下过一遍规则列表,查找丢弃信息包的理由。列表的结尾,毫无疑问就是“通过”规则:“允许信息包通过”。这样,在没有丢弃流量的理由时,IPS就会让其通过。
防火墙和IPS都是控制设备。他们都位于两个网络之间,并控制通过他们呢的流量。这也就是说IPS是安全方面的策略。它在哪些流量不能允许通过上采用并执行特殊的策略。
从拓扑的观点上来看,对防火墙和IPS显而易见的喜爱让我们走向了UTM(统一威胁管理Unified Threat Management),在UTM中IPS是防火墙的一部分。UTM让单个设备中存在安全服务(阻止安全威胁、允许已知的良好流量)。我们之后会谈到IPS和防火墙的整合以及UTM防火墙。
采用IPS的主要原因是阻止网络上已知的攻击。当Windows遇到攻击已经被发现而且你有时间和机会给系统打补丁的时候,IPS就是快速阻止已知攻击的卓越的方式,特别是那些使用常见或者熟悉的攻击工具的攻击。
当然,IPS还可以提供其他的服务。在产品厂商使自己与众不同的同时,IPS已经成为了速率限制工具(可以帮助减轻拒绝服务攻击)、策略执行工具、数据泄露防护工具和行为异常检测工具。然而,在每种情况中,IPS的关键功能还是控制。