国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　當(dāng)今網(wǎng)絡(luò)威脅日益嚴(yán)峻，各種新型的入侵攻擊猖獗不窮，比如4月8日爆出的OpenSSL漏洞，一度給互聯(lián)網(wǎng)用戶帶來了恐慌。面對這種突發(fā)的漏洞，用戶該采取哪些措施，如何防范呢?這就不得不提到IPS(Intrusion Prevention System)入侵防御系統(tǒng)。IPS是一部工作于OSI應(yīng)用層的防護設(shè)備，能夠即時的中斷、調(diào)整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡(luò)入侵攻擊行為。作為防火墻在網(wǎng)絡(luò)應(yīng)用層上的強力補充，越來越被用戶和網(wǎng)絡(luò)管理者看重，并且扮演著越發(fā)重要的角色。

　　然而，面對紛繁復(fù)雜的網(wǎng)絡(luò)環(huán)境部署、規(guī)模不同的等級保護要求、不盡相同的定制需求等，如何選購一臺合適的IPS設(shè)備，才能發(fā)揮其最大的價值和作用。下面筆者就選出客戶最關(guān)心的幾個要素進行簡單的闡述，希望能夠給正在選購IPS設(shè)備的讀者一些建議。

　　性能：無論是基礎(chǔ)網(wǎng)絡(luò)中交換機、路由器，還是安全防護設(shè)備諸如防火墻、IPS等，似乎客戶首先要關(guān)注的都是性能。不錯，因為性能是反應(yīng)設(shè)備能力大小最直觀的指標(biāo)，同時也是是否滿足部署要求最直接的判斷標(biāo)準(zhǔn)。

　　IPS設(shè)備提供應(yīng)用層的保護，更注重的應(yīng)該是應(yīng)用層性能(當(dāng)然我們是在二三層轉(zhuǎn)發(fā)能力遠遠大于應(yīng)用吞吐的前提下所說的)，諸如HTTP、FTP、SMTP等真實的業(yè)務(wù)性能。另外設(shè)備HTTP會話新建、HTTP并發(fā)數(shù)量、HTTP吞吐量、以及一些典型的混合應(yīng)用場景的性能指標(biāo)等，這些都有可能成為制約著網(wǎng)絡(luò)資源分配、用戶上網(wǎng)體驗、服務(wù)器質(zhì)量的性能瓶頸，一定程度上影響著應(yīng)用業(yè)務(wù)間的高效互通。

　　在選購IPS設(shè)備時，可以按照不同的性能需求進行參考，首要原則即是吞吐量一定要大于現(xiàn)實網(wǎng)絡(luò)中的最大帶寬，否則一旦成為性能瓶頸點，鑒于IPS串連接入的特點，就會對整個網(wǎng)絡(luò)造成影響。另外因為廠商一般給出的性能值的由其內(nèi)部測試得到，不可避免的存在流量單一的缺陷性，所以在選購時要考慮到現(xiàn)實環(huán)境中大量應(yīng)用的現(xiàn)狀，有時廠家宣稱的性能只能滿足其五分之一甚至更少的現(xiàn)網(wǎng)環(huán)境中。

　　檢測率：如果說設(shè)備的性能是衡量IPS設(shè)備的硬性條件，那么設(shè)備的檢測率即為衡量其能力的軟條件。檢測率的概念為設(shè)備對于網(wǎng)絡(luò)公開漏洞檢測的阻斷數(shù)占攻擊總數(shù)的比例。此項指標(biāo)衡量的設(shè)備對于漏洞檢測覆蓋的能力，目前很多測試儀表廠商都在這一方面做著研究和推進，其中BPS(Breaking Point)公司的security攻擊測試組件相對較為完善，也是業(yè)界比較主流的測試檢測率的方法。

　　對于檢測率指標(biāo)影響較明顯的是設(shè)備的攻擊特征庫質(zhì)量，一個好的特征庫是IPS高效運作的必要條件，并且IPS設(shè)備廠商要提供定期的特征庫更新，以滿足新的攻擊防護需求，這在主流的安全廠商中應(yīng)該都是必須支持的服務(wù)。另外提到檢測率，我們提出了一個全新的概念為滿檢速率和滿負荷檢測率，作為性能指標(biāo)的一個補充。滿檢速率定義為在能夠全部檢測已知攻擊的情況下設(shè)備最大的吞吐量，它主要考察的是設(shè)備能夠正常檢測攻擊情況下的真實吞吐能力，而滿負荷檢測率則是衡量設(shè)備最大吞吐負荷下的攻擊檢測能力，兩個指標(biāo)互為補充能夠真實反應(yīng)設(shè)備的處理性能。細數(shù)國內(nèi)安全廠商中，目前只有天融信以“滿檢測率”來評價產(chǎn)品性能。

　　誤報和漏報：誤報和漏報在選購IPS時也同樣要作為一個重要的指標(biāo)。誤報可以分為兩個方面：一方面是設(shè)備把正常業(yè)務(wù)流量誤識別成攻擊行為，最直接的影響就是使正常的業(yè)務(wù)無法進行下去;另一方面是對攻擊事件識別錯誤，也就是攻擊一對一的誤報。而漏報一般指的是設(shè)備沒有成功識別出攻擊或者入侵行為，使攻擊成為“漏網(wǎng)之魚”。

　　誤報對于網(wǎng)絡(luò)的影響還是很大的，比如在繁忙的網(wǎng)絡(luò)當(dāng)中，如果以每秒需要處理十條警報信息來計算， IPS每小時至少需要處理 36,000 條警報，一天就是 864,000 條。如果入侵特征編寫得不是十分完善，那么"誤報"就有了可乘之機，導(dǎo)致合法流量也有可能被意外攔截。如果觸發(fā)了誤報的流量恰好是某個客戶訂單的一部分，其結(jié)果可想而知，這個客戶整個會話就會被關(guān)閉，而且此后該客戶所有重新連接到企業(yè)網(wǎng)絡(luò)的合法訪問都會被"盡職盡責(zé)"的IPS攔截。

　　攻擊逃逸手段檢查：攻擊逃逸技術(shù)，也可稱為攻擊檢測躲避技術(shù)，是在眾多蓄意隱性攻擊中應(yīng)用范圍最廣，最有效的一類技術(shù)。當(dāng)攻擊者發(fā)現(xiàn)被攻擊目標(biāo)正受到IPS等產(chǎn)品保護時，攻擊者往往會根據(jù)攻擊目標(biāo)的協(xié)議特性或漏洞，對攻擊方式或攻擊內(nèi)容進行精心調(diào)整，進而逃避IPS等產(chǎn)品的檢測，諸如IP分片、TCP重組、HTML編碼格式躲避等。如果不能對其進行正常、有效的處理，這類攻擊會使得IPS產(chǎn)品形同虛設(shè)，將用戶的網(wǎng)絡(luò)資源暴露于攻擊者面前，從而降低用戶網(wǎng)絡(luò)環(huán)境的安全性，增加用戶資產(chǎn)遭受損失的風(fēng)險。

　　隨著互聯(lián)網(wǎng)的快速發(fā)展，黑客技術(shù)的不斷提高，攻擊逃逸技術(shù)越來越多樣化和復(fù)雜化，也要求IPS設(shè)備對于越來越多的逃逸手法的防御能力隨之提高。

　　業(yè)務(wù)的可靠保證：有些重要的客戶要求網(wǎng)絡(luò)系統(tǒng)得到保障，諸如金融交易平臺、網(wǎng)站購物系統(tǒng)等，往往這類用戶對于網(wǎng)絡(luò)可用性的要求要遠遠大于其對網(wǎng)絡(luò)架設(shè)成本的考慮。很多廠商應(yīng)客戶此類要求也在高可靠性上做足了文章，諸如電源冗余、鏈路冗余、數(shù)據(jù)災(zāi)備、雙機部署、BYPASS功能等等。IPS設(shè)備若支持雙機熱備部署，主備間能夠?qū)崟r同步配置和策略，并且異常情況下能夠達到快速切換的效果，能夠保證客戶業(yè)務(wù)的正常不間斷;或者單臺設(shè)備若支持軟、硬件BYPASS功能，當(dāng)出現(xiàn)異常掉電、進程崩潰、重啟的時候接口間會形成一條臨時的通路保障業(yè)務(wù)正常進行。

　　也許你會想既然有了BYPASS技術(shù)，是不是就可以不用買兩臺設(shè)備部署HA了呢?不是這樣的，雙機熱備不僅僅能夠同步配置，最重要的是可以同步會話狀態(tài)，甚至可以進行負載的分擔(dān)，能夠?qū)崿F(xiàn)真正的異常倒換并且不被客戶察覺，這是BYPASS不能比擬的，所以如果您對網(wǎng)絡(luò)可靠性要求很高，并且不差錢，就買兩臺吧!

　　靈活審計和管理：說到管理會涉及到很多方面，我們以用戶比較關(guān)心，并且經(jīng)常會用到的兩個方面來說：監(jiān)控審計和集中管理。

　　當(dāng)前網(wǎng)絡(luò)管理員對于安全事件、安全日志報表的審計需求正在快速上漲。之前我們一般要求設(shè)備上能夠?qū)崟r地對攻擊事件進行反饋，攻擊日志記錄信息詳細，提供多種報表模板，內(nèi)容豐富詳實等，但現(xiàn)在明顯不能滿足很多客戶要求。比如根據(jù)實時攻擊事件動態(tài)調(diào)整策略，自動同步備份日志，自定義報表模板功能，TOPN排名等，更加靈活的統(tǒng)計分析，更加友好的界面等都可以成為我們選購一臺IPS的原因。

　　另外在大型的系統(tǒng)中一般存在大量的設(shè)備需要管理，這時使用集中管理的方式會使管理效率提高很多，起到事半功倍的效果。集中管理的方式支持多臺設(shè)備同時進行管理，能夠?qū)Σ呗赃M行批量的調(diào)整，對攻擊日志和報表進行統(tǒng)一的收集和統(tǒng)計。當(dāng)前主流廠商也相繼推出了自己的集中管理平臺，為整合網(wǎng)絡(luò)管理提供了很多的便利。這個在選購設(shè)備時，可根據(jù)網(wǎng)絡(luò)規(guī)模做一定的參考。

　　總體而言，對于IPS設(shè)備的采購來說可以從上面提到的幾點進行參考，通過設(shè)備性能、檢測率、誤報漏報、以及滿檢速率等指標(biāo)對設(shè)備進行針對性的選購，另外從設(shè)備管理或功能方面對設(shè)備進行有條件的選擇，讓你的IPS設(shè)備發(fā)揮更大的價值吧!