曾几何时,因为网络变得复杂,用户需求多样化,一向能探测出非法攻击的探测器逐渐失去了往日侦察的威风。直到最近,真正千兆IDS的出现,才让用户找到久违的风范。

  IDS,俗称探测器,作为保障网络安全的关键技术和主流产品,已经得到用户的广泛应用。

  但是,网络带宽不断增加,网络环境越来越复杂,用户的需求变得越来越多样化。由于传统的IDS功能单一,技术发展缓慢,已无法满足快速发展的高带宽环境下复杂多样的用户应用需求。

  例如,在高速网络环境中,有些用户需要监听的流量信息可能多于1000Mb。而现实的IDS产品无法提供多于1000Mb的监听能力。

  又如,有些用户需要在网络环境中的几个不同网段进行监听,通常,各网段的安全策略是各不相同的。利用单台传统的IDS产品是不能满足多网络的监听需求的,必须为不同的网段购置不同的IDS设备,但这样做,无疑会增加用户的开支。

  怎么解决这个问题?让一个IDS产品就能监听到多个不同网段的信息,并且还能监听到大流量的网络信息呢?答案是采用新兴的千兆IDS技术。

  解读千兆IDS

  首先要明确一点,什么才是IDS产品真正要面对的千兆网络环境。IDS产品不同于一般的网关型产品,它采用旁路的方式部署在用户的网络环境中,检测被保护网络的所有上行和下行数据。

  其最典型的工作方式是通过交换机的端口镜像,将IDS监听端口与交换机镜像端口相连接来获取网络数据,并进行检测。

  由于被镜像过来的网络数据是被保护网络的双向数据,千兆网络的上行数据和下行数据都可以达到1000Mb(实际为1024 Mb,以下同)。而只要上行或下行数据分别达到500Mb时,镜像端口的网络流量就达到了千兆线速。

  业界所讲的千兆IDS产品通常是采用单网卡单独工作。这样,宣称千兆的IDS其实只能部署在500Mb以下的网络环境中。

  尽管普通千兆IDS产品的监听端口使用的确是千兆网卡,但用户在使用万兆交换机时(即交换机镜像端口本身可以处理大于千兆的数据),大于千兆的网络数据会被IDS监听网卡丢掉,而达不到千兆的处理性能。

  扭转千兆乾坤

  怎么才能扭转乾坤呢?天融信网络卫士IDS的“双网卡分流重组技术”开创了一条新思路。它不像传统的IDS那样,只使用单独一块网卡,它用两块网卡,并让这两块网卡分别监听来自两个不同物理连接的数据。

  于是,双向数据的上行和下行都达到1000Mb,镜像端口的网络流量达到2000Mb。

  也就是说,不管需要处理的数据是通过几块网卡捕获的,只要经过适当的配置,这些网卡都会协同工作,对捕获的数据进行统一处理。

  这样,用户可以通过设置交换机,分别镜像上行和下行网络数据到两个镜像端口,将网络卫士IDS的两个监听端口分别连接这两个镜像端口,通过两个监听端口的协同工作,解决真正千兆网络环境的难题。

  花一分钱做五分事

  在IT投资紧缩、趋之若鹜地追求TCO的时代,用户对性价比提出了更高的要求。

  在这样的背景下,各安全厂商尽可能地为用户设计更为经济的解决方案。一些厂商提出了为IDS产品配备备用的网络接口,以便连接多个网段同时进行监听和检测,即支持多端口监听,以此降低用户购买多个IDS产品的成本。

  但是,令人遗憾的是,这种改进办法只提供多个监听端口,无法对各端口配置不同的检测策略。即从整体上看,一台IDS设备仍是一个检测单元,只能按照一个统一的模式检测。

  真正的千兆IDS则不同,它可以根据用户的各种需要,为每个监听端口配置不同的安全策略。比如网络卫士IDS,它采用独有的“虚拟引擎技术”,用一台IDS就可完成过去用多台IDS监听多个端口的任务。

  在大多数企业应用中,每个用户应用的网络流量都是不同的。有的用户网络流量很小,但是有多个网段需要进行保护,而且每个网段的侧重点也不相同,检测的内容和响应方式自然有所不同。

  传统的IDS产品因为引擎单一,不能满足用户的差异化需要,必须为每个需要保护的网段单独购买一个引擎。很显然,这种做法增加了用户的投资。

  网络卫士IDS产品引入了“探头”的概念。在网络卫士IDS产品中,引擎是指一个硬件设备,在一个引擎上通过网络卫士IDS软件可以配置多个探头(最多4个,与硬件配置相关),每个探头是一个独立的检测/响应单元,有自己独立的数据缓冲区,可以设置单独的检测策略,由独立的进程进行处理。

  即每个探头可以作为一个独立的“虚拟引擎”工作,通过同一个控制台来进行管理。这样,本来要多台IDS产品才能完成的工作,通过一台网络卫士IDS产品就可以完成。

  在网络卫士IDS产品中,一个探头就等于传统产品的一个引擎,每个探头的工作是完全独立的,可以分别配置检测策略。这样在用户总网络流量不超过引擎处理能力的情况下,一台引擎就可以作为“多台引擎”来用,大大节省了用户的投资。

  说到这儿,人们肯定会问,怎么用好这个虚拟探头呢?

  虚拟探头的应用和部署如图2所示。假设DMZ网络中的关键服务器有:邮件服务器、Web服务器,那么Sensor0的安全策略将侧重于检测邮件和与Web服务相关的事件,响应策略可以设置为常规审计和防火墙联动;针对内网的Sensor1,主要侧重于违规操作等的检测,所以响应策略设置为常规审计即可。

  高速网络环境部署

  虚拟引擎技术的典型部署图

  IDS是什么?

  IDS即Intrusion Detection System,入侵检测系统,是指监视或者在可能的情况下,阻止入侵或者试图控制您的系统或者网络资源的那种努力。

  它的工作方式是这样的:假设您有台机器,被连接到网络上,也许就是被连到了Internet上,出于可以理解的原因, 您也愿意为被授权者设置从网络上访问您系统的许可。比如,您有一台连接到Internet上的Web服务器,愿意让用户、职员和潜在客户访问存储在Web服务器上的页面。

  然而,您并不愿意那些未经授权的职员、顾客或者其他未经授权的第三方访问系统。比如,您不愿意除了公司雇佣的网页设计人员以外的人员修改存储到机器上的页面。典型的做法之一就是,使用防火墙或者某种认证系统来防止未经授权的访问。

  但是,在一些情况下,简单的使用防火墙或者认证系统也可以被攻破。入侵检测就会对未经授权的连接企图做出反应,甚至可以抵御以部分可能的入侵。


  阅读关于 IDS 探测器 探头 的全部文章