最近市场上出现了一种趋势,越来越多的防火墙开始集成IPS入侵防御,IPS成为防火墙的一项基本功能和模块,很多用户也开始把IPS模块作为购买防火墙的必要条件。
防火墙是防御系统,属于访问控制类产品;IDS(入侵检测)是入侵检测系统,属于审计类产品;IPS是入侵防御系统,属于访问控制类产品。IDS虽是IPS的前身,但本质上,IPS已经发生了根本的变化,前者是审计类产品,后者属于访问控制类。有人说,IDS也可以和防火墙联动执行访问控制,但这并不会改变IDS审计类产品的本质,因为,执行访问控制的是防火墙,而不是IDS。IPS虽说是入侵检测和访问控制的集成产品,但其核心是访问控制,条件是基于入侵检测。防火墙是基于IP地址和端口来执行访问控制的,IPS是基于入侵检测来执行访问控制的,既然都是访问控制类,二者集合起来就理所当然了。
防火墙集成IPS定位合理
防火墙集成IPS是有一定道理的。IDS的一系列错误成就了IPS,特别是IDS的定位错误。IDS本来是一个审计类产品,对流量数据进行分析,发现入侵行为。但IDS的名头太大,入侵检测给人的感觉就是解决入侵问题,实时地检测入侵行为并加以控制。整个市场被这个响当当的名字所鼓舞,可惜,IDS只完成了其中很小的一部分,而且完成得不够好。IDS漏报误报严重,很难达到实时,更谈不上控制。不少防火墙厂商抱怨:IDS与防火墙联动是个馊主意,一些IDS产品每秒能给出几千条安全规则,动辄就把防火墙给“搞死”。
IPS要吸取IDS失败的教训,同样面临市场定位问题。如果IPS还是定位于对所有的入侵行为进行检测并进行防御,甚至比IDS有过之而无不及,这样的IPS用户也不会感兴趣。如果不这样定位,IPS只有一个选择,作为防火墙的补充,对防火墙过滤后的流量进行入侵检测,进行二级防御。由于防火墙已经把不符合安全策略的包都过滤掉了,放行的都是必须提供服务的流量,但是防火墙不对内容进行检测,它无法保证准许放行的流量的安全性,这样,IPS正好可以对流量的内容进行检测并加以防御。这样的定位,不仅IPS计算量要小得多,而且也准确得多,专业得多。如此一来,好像没有理由不把IPS集成到防火墙中去。
用户不接受IPS作为独立产品
市场上曾经出现独立的IPS产品,但用户不太愿意购买,主要原因是产品功能重叠。很多用户已经购买了防火墙、入侵检测产品,有些用户还花了钱让防火墙与IDS联动。虽然效果也许不好,但那是另外一回事,现在,又要单独购买一个IPS,功能重叠,CSO们无法向单位和领导交待。IDS一度被说得天花乱坠,现在又说不行了,而IPS这个新东西还是基于IDS发展来的,用户不再会轻易接受这个新的产品。用CSO们的话来说,他们要“听其言,观其行”。
看来,入侵检测的故事讲完了,关键是要看防御的效果,与其单独购买IPS,还不如谈论防火墙升级,把IPS作为防火墙升级的一部分,用户更容易接受。
安全厂商反应的速度奇快
一类安全产品推向市场,能否成功,不光看技术,还要看市场。独立的安全产品在市场上推出没有成功,IPS不是第一个。抗拒绝服务攻击(DDOS)网关也是一个先例。大家都熟知拒绝服务攻击,到目前为止,它还是最严重的安全威胁之一。很多安全厂商推出了独立的抗DDOS攻击网关,但用户购买的不多,安全厂商被迫放弃把抗DDOS作为一个独立的产品,转而集成到防火墙中作为一个基本功能。现在,用户普遍把具有抗DDOS功能的防火墙作为首选。
原来,产业观察家预测,到2006年,IPS功能将集成到下一代防火墙中。现在看来,这个预测保守了。赛门铁克、WatchGuard等防火墙已经集成了IPS功能。原来推独立的IPS产品的厂商也开始发生变化,例如Netscreen和思科德防火墙中也开始有了IPS模块。据了解,国内一些安全厂商也已经完成了在防火墙中集成IPS的转变。预计在2004年底,很多防火墙厂商将会推出集成IPS的防火墙。