转自:http://www.ithome.com.tw/node/79293
企業中網路環境的防護,通常都是先有防火牆,再搭配IPS。但是,實際上買得起IPS防護的企業有限,這是因為IPS的價格很昂貴,動輒百萬元起跳,而這金額可能就超越一間中小企業的年度IT預算,所以IPS建置的比例遠遠不如防火牆。
不過,用不起並非代表它不重要,最近網路攻擊事件依然頻傳,像是Facebook、Twitter,甚至連Apple都遭到駭客入侵,而企業若只依靠一般防火牆來防禦,明顯是不足夠的。
防火牆與UTM設備,紛紛開始提供IPS功能
隨著網路應用的變化,讓資安產品對於應用層流量辨識的需求越來越大。而在環境的推波助瀾下,促使不少資安廠商,紛紛投入對於應用層識別能力的開發,也讓該功能普及度提高。
在眾多產品中,目前次世代IPS最大的競爭對手為防火牆和UTM。因為這2種產品,除了具備應用層識別和控管能力外,它們也開始提供原先在IPS上才具備的防禦功能,像是DoS/DDoS防禦。甚至,也有不少產品開始提供IPS的特徵檔弱點阻擋功能。
雖然防火牆和UTM具備IPS功能,但其中只有少數廠商願意自行開發特徵檔外,大多數都與IPS廠商合作,將特徵檔以功能模組的型式整合在設備上。
從入侵防禦功能來看,防火牆和UTM或多或少都有入侵防禦能力,而這也影響IPS在資安防護上所扮演的角色。甚至,由於其他2種產品價格較親民,再加上這些設備原本就具備NAT、路由等網路功能,又能夠控管應用程式的存取。所以認為用防火牆或UTM可取代IPS的想法,也從沒消失過。
三者同樣都具備程式控管能力,但擅長程度仍有差異
應用程式控管是次世代IPS的重點功能之一,但其實次世代防火牆上也強調這點。甚至,在控管應用程式的深度上,並不亞於IPS所提功能控管項目。
以CheckPoint 2200系列來說,它所能控管的應用程式非常多,除了基本的網站、P2P軟體、IM軟體外,它也能控管行動裝置的App。甚至,它們還針對社群網站的應用程式,像是Facebook上的FarmVille等遊戲,額外提供控管項目。
雖然同樣具備應用程式識別能力,但IPS與防火牆或UTM相比,在控管上差異會在哪裡?
HP軟體事業群資訊安全事業部的技術顧問范揚?表示,他認為這3者在應用程式控管上,並沒有明顯誰優誰劣的差異,因為企業若要控管應用程式,會購買專用的設備管理應用程式。
除此之外,防火牆與UTM設備會提供控管功能,是由於網路應用驅使它們具備程式識別能力,進而催生出程式控管,而這些本來就非上述兩類設備擅長的能力。在加上,IPS與防火牆的定位不同,所以不能夠拿來比較。
同樣有DoS防禦力,但唯有IPS在阻擋攻擊時能夠辨識正常流量
在架構上,大多是將防火牆作為第一個閘道端設備,除了過濾大部分網路流量外,還要能夠提供NAT等網路功能。而接在防火牆後方的則是IPS,它主要功能則是將防火牆處理後的流量,透過特徵檔比對阻擋。
雖然防火牆和UTM也開始提供IPS功能,看似能夠取代專屬IPS設備,但在防護功能與效能上,則有著明顯的不同。以功能面來看,相同具備特徵檔辨識阻擋,但IPS所提供的特徵檔數量肯定比防火牆多;而在效能上則更明顯,防火牆與UTM的IPS功能,大多以模組化的方式套用在設備上,掃描流量時的效能,並不像IPS那麼好。
除了效能外,在防護功能上的差異更明顯,由於防火牆的IPS模組,大多是直接使用特徵檔辨識,其缺點與傳統IPS相同,因為特徵檔數量很多,且每間企業的屬性與環境各有不同,若直接使用預設條件偵測時,經常有誤報的情況發生,所以需要IT人員調整。
以DoS/DDoS防護為例,由於IPS和防火牆辨識流量方法的不同,所以阻擋的效果也完全不一樣。
DoS會製造大量Session攻擊服務主機,而防火牆在阻擋DoS時,是藉由每秒連線次數做為判斷標準。通常該功能可以選擇來源和目的連線數,並設定傳輸協定的類型做為條件控管,當超過設定值則阻斷。由於無法判斷連線類型,所以不論正常或惡意連線一律阻擋。
早期的DoS,很多是透過DoS攻擊程式發動。而IPS遇到這類攻擊時,可藉由拆解封包,得知該封包為程式發動的攻擊,進而阻斷。由於能辨識封包,所以當企業遭受DoS攻擊時,使用IPS還能夠保持正常服務。
除了DoS攻擊,進階的封包攻擊還有Botnet,攻擊者藉由控制大量電腦,發出巨量的正常連線。像這類攻擊防火牆也無法辨識,IPS則能藉由IP位址的信譽服務,辨識並阻擋連線,而這些都是防護功能上的差異。
專屬IPS設備依舊無法被取代
IPS對於許多IT人員,一直存有著誤報率過高的疑慮,而當防火牆和UTM設備相繼加入IPS功能後,這個問題也隨之加諸到這些設備上。
不過,在次世代IPS強調的能力中,情境感知是非常重要的功能,它能偵測網路中的弱點,自動調整政策即時防護。當管理者在調整IPS時,除了能快速得知現有服務的漏洞,也能直接添加防護條件,而這是防火牆所無法做到的。
在定位不同而功能看似重複的情形下,防火牆有可能取代IPS嗎?WatchGuard的技術經理林子涵表示,以IPS來說,並非所有企業都需要獨立設備的功能與效能,對於規模較小的使用環境來說,IPS確實會被價格相對便宜的防火牆或UTM取代。但對於中大型企業或特殊產業而言,獨立IPS還是無法用防火牆或UTM取代。
而達友科技副總經理的林皇興也表示,他認為未來5年內,IPS與防火牆仍然是不同的市場。甚至,未來應該有廠商,訴求次世代UTM的誕生。
透過情境感知功能,大幅降低IPS的誤報率
此外,在防火牆開始提供IPS等功能後,專屬資安產品多功能化的趨勢越來越明顯。例如在次世代IPS上,也開始出現網頁程式防火牆(Web Application Firewall,WAF)、APT防護、Botnet防護等其他專屬設備的防護功能。
許多人認為IPS的售價昂貴,但若內建WAF和APT防護功能後,再和這兩種專屬產品的售價比較,IPS又顯得平民許多。也因為這些功能的加入,讓IPS在市場上,也能滿足一些不須使用到專屬WAF防護的企業。
雖然次世代IPS的推出無法達到零誤報率,但它的情境感知功能,大幅降低管理者的操作難度外,也提升企業環境的即時防禦。這讓次世代IPS在售價如此昂貴的情形下,依舊能夠占有一席之地。