IPS的未来与典型应用方案
行业之道
IPS的出现为企业网络安全提供了“坚强”的保护,不过,IPS在企业网络安全中所处的角色,也注定了它无法取代防火墙,相对于功能齐全的防火墙产品而言,未来IPS的主要功能仍是深层防御、精确阻断。因此未来IPS应该加强的重点有以下两个方面:第一,更加广泛的精确阻断范围,扩大可以精确阻断的事件类型,尤其是病毒变种以及无法通过特征来定义的攻击行为。第二,适应各种组网模式,在确保精确阻断的情况下,适应电信级骨干网络的防御需求。
IPS的未来 并行处理和“优化”
通过采访一些行业方案提供商如McAfee、启明星辰和天融信等,得知并行处理和软硬件优化也是未来IPS产品的发展趋势。在多核处理器硬件平台上,可利用并行处理技术来提升IPS产品的性能,由于计算能力的提升对IPS检测全路径都是有效的,所以从理论上讲内核数量与性能提升成正比,即两个内核的处理器理论上可以将IPS的性能提升至原来的两倍。当然,实际性能的提升取决于IPS并行化的方法及并行化的程度,不过IPS软件的并行化远比硬件并行复杂得多,这涉及操作系统并发工作的模式、流量的分担与负载、IPS引擎的并行检测、配置的同步与竞争控制、事件统计以及运行调试等等。
未来IPS除了在软件处理方式上会进行优化外,硬件架构的优化设计也是一个非常重要的方面。目前ASIC/NP等高性能硬件都是采用嵌入式指令+专用语言开发,将已知攻击行为的特征固化在电子器件上,虽然能提升匹配的效率,但在对攻击识别的灵活度上过于死板(对病毒变种较难发现),在具有新攻击特征的木马面前有所滞后。而基于开放平台的IPS由于采用的是高级编程语言,不存在变种攻击识别和特征更新方面的问题,但在性能上存在处理效率瓶颈:暂时达不到电信级骨干网络的流量要求。因此,未来IPS产品将会从引擎设计和芯片结构上提升性能和扩展性,比如目前高端产品大都已经采用ASIC/FPGA/NP的设计方案,具备了性能强、可编程的优点,能够通过隔离、拦截和预防攻击,实现高性能的应用安全。
针对不同企业用户对安全级别的不同需求,McAfee和启明星辰均推出了自己的IPS解决方案,下面就来看看这些不同的IPS解决方案都有什么特点。
案例1 IPS阻断SQL注入威胁
某城市商业银行已经实施了初步的信息安全建设,目前单独部署了两台防火墙和单机版防病毒软件,但已不能满足该商业银行的业务发展需求和上级监管部门对信息安全提出的更高要求。经过漏洞评估,该商业银行发现生产网(即银行前台客户网络,包括核心服务器)与互联网的隔离不足,存在大量的高危风险漏洞,且被攻击者利用并获得系统控制权限的可能性极大。为了加强信息安全保障,该商业银行决定进行网络安全二期改造。
根据已经实施的风险评估,确认当前较为紧迫的安全需求包括:
1.安全域调整
划分单独的核心服务器区域,将原来统一部署在生产网核心交换机的应用服务器和数据库服务器等割接至新增的核心服务器交换机上,该交换机接入生产网核心交换机,将核心服务器区置于单个VLAN中,同时用VLAN将生产网和办公网隔离。
2.内外网逻辑隔离
在生产网与互联网之间部署UTM(统一威胁管理)设备,使它工作在透明模式下,通过合理配置UTM的访问控制策略,可降低无法修补的设备漏洞所造成的威胁,并将使用存在漏洞服务的终端控制在一定的范围内,对其访问行为进行日志记录。
3.核心服务器保护
该城市商业银行业务系统均为Web应用业务,通过此前进行的风险评估,确认这些Web应用服务器均具有SQL注入漏洞,被攻击的可能性极大,威胁可能来自外部终端和内部终端,需要重点保护,因此要部署一台可精确阻断SQL注入攻击的防御设备。
实施方案:
通过对多家产品的横向比较,最终该城市商业银行选择了启明星辰的天清汉马USG一体化安全网关产品作为内外网隔离设备,选择了启明星辰的天清IPS产品作为核心服务器保护设备,具体产品部署方案如图1。
该方案在建设之初就对网络进行了全面的风险评估,因此具有很强的针对性。来自互联网的威胁包括:网络入侵、病毒传播、非授权访问控制、资源滥用、非法言论传播等,天清汉马USG一体化安全网关能满足城市商业银行的内外网隔离需求。
城市商业银行网络中的核心服务器包含了最重要的业务系统以及数据资源,而针对服务器群的威胁主要是应用层威胁,具体来讲主要是针对Web业务的应用威胁。目前针对Web系统破坏力最强的威胁就是SQL注入,通过SQL注入入侵者可以获取Web应用系统的完整权限,可以任意修改和窃取敏感数据,对城市商业银行来讲彻底屏蔽SQL注入威胁至关重要。天清IPS因为采用了SQL注入检测与阻断技术,可以有效识别并阻断SQL注入攻击,因此该城市商业银行选择了天清IPS作为核心服务器保护设备。产品上线后,通过天清IPS日志系统可以看出,有多起SQL注入攻击被成功阻断,用户信息系统的安全性得到了极大提高。
案例2 IPS保护企业信息资产安全
由于互联网的接入,某烟草公司的核心服务器时刻面临来自互联网的恶意程序、黑客攻击、DoS/DDoS攻击等安全威胁。由于没有有效的安全风险评估产品,缺乏多层病毒防护机制,公司内部还未建立完善的信息安全系统,公司的管理人员难以准确地了解网络的安全风险状况和漏洞所在,很难主动地对各种病毒、蠕虫、黑客等混合安全威胁提供防御能力,信息安全建设也难以找到准确的方向。针对来自网络的各类威胁,用户需要随时发现网络中存在的安全漏洞和风险,追踪漏洞修补情况,以部署能够有效保护业务并降低风险的全面集成的解决方案。经过多方面对比,该烟草公司最终选择了McAfee Network Security Platform解决方案(原名McAfee IntruShield IPS),进行识别和拦截各种威胁和攻击,使安全防护的效果最大化。
实施方案:
考虑到该烟草公司的网络结构比较复杂,管理又比较分散,病毒一旦发作,带来的损失是不可估量的,所以对该烟草公司来说,对抗计算机病毒的原则是病毒主动防护和病毒探测清除相结合,以主动防护的预防机制为主。因此McAfee为该烟草公司提供了一套可提供全面保护并且易于部署和管理的解决方案——McAfee FoundStone FS1000和McAfee Network Security Platform(IPS设备)解决方案(图2)。
McAfee FoundStone FS1000解决方案能够持续不断地帮助客户评估和管理网络安全风险,追踪漏洞并进行修补等。McAfee Network Security Platform(IPS设备)则是基于ASIC 的硬件网络入侵防护系统,能够结合FoundStone FS1000有效地识别并拦截针对信息资产的威胁和攻击,可最大限度地保障信息安全。McAfee Network Security Platform具有数据包深度检测和无延迟特性,可在攻击到达目标前抢先进行拦截。它集成的易于管理的平台可提供广泛的信息资产保护,最大限度地保证业务可用性,同时将安全成本降至最低。通过整合部署McAfee Network Security Platform 能获取并关联 FoundStone FS1000的扫描数据,可以优先应对针对脆弱系统的攻击。
将McAfee FoundStone FS1000和McAfee Network Security Platform(IPS设备)结合实施的优点有:全面防御各类安全威胁;构建强大的企业网络安全系统;准确评估企业存在的安全风险;主动的风险评估策略;拦截针对网络信息资产的相关威胁和攻击,最大限度地保障信息安全,增加绩效。