美國《網絡世界》網站(zhàn)對入侵防禦系統(IPS)是采用最佳的産品還(hái)是集成的解決方案展這個(gè)老問題開(kāi)了争論。持最佳産品觀點的人(rén)認為(wèi)，安全是一個(gè)需要盡可(kě)能的最佳點的地方。但(dàn)是，集成的解決方案提供商認為(wèi)，日益發展的威脅需要全面的觀點。這個(gè)觀點要考慮更多(duō)的因素才能實現。下面是正反兩方的觀點。讀者可(kě)以判斷誰的觀點正确。

　　觀點1.需要最佳産品

　　Sourcefire創始人(rén)和(hé)首席技(jì)術(shù)官馬丁·勒施(Martin Roesch)撰文指出，10多(duō)年以來(lái)，我們一直聽(tīng)說有(yǒu)關“X安全技(jì)術(shù)”如何消失在“Y設備”中的事情，因為(wèi)購買者喜歡融合。但(dàn)是，盡管有(yǒu)預言者的擔保，有(yǒu)一個(gè)事實是不變的 -- 對于最佳的入侵防禦系統仍有(yǒu)大(dà)量的和(hé)日益增長的需求。

　　勒施說，我還(hái)告訴你(nǐ)們一個(gè)秘密：你(nǐ)們可(kě)以在一個(gè)集成的解決方案中有(yǒu)最佳的入侵防禦系統。然而，首先，讓我們談談為(wèi)什麽最佳的入侵防禦系統比僅為(wèi)一個(gè)融合的解決方案的一部分開(kāi)發的入侵防禦系統更好。

　　為(wèi)什麽?因為(wèi)最佳解決方案可(kě)提供高(gāo)可(kě)靠性産品。這包括：

　　保護：能夠以高(gāo)度的準确性檢測到所有(yǒu)的攻擊，同時(shí)讓攻擊很(hěn)難避開(kāi)檢測。

　　性能：認真地設計(jì)設備以便以最大(dà)的性能提供最大(dà)的能力。

　　靈活性：設備把重點放在做(zuò)好幾件事上(shàng)并且要非常靈活。一個(gè)很(hěn)好的例子是我們Sourcefire公司的下一代入侵防禦系統。可(kě)以肯定地說，這是同類産品中最好的可(kě)配置的解決方案。

　　·研究：一個(gè)專門(mén)的研究團隊提供持續不斷的更新(入侵探測系統/入侵防禦系統、殺毒軟件、安全漏洞管理(lǐ)等)支持這個(gè)系統。這個(gè)團隊負責開(kāi)發內(nèi)容和(hé)實施最初的研究以便保持高(gāo)級的能力。

　　當你(nǐ)查看Sourcefire提供的解決方案的時(shí)候，你(nǐ)能夠看到所有(yǒu)這些(xiē)起作(zuò)用的概念。在最新一輪NSS測試中，可(kě)以看到Sourcefire的入侵防禦系統解決方案提供最佳的檢測能力、防躲避能力、安全漏洞覆蓋範圍以及任何入侵防禦系統的性能。不僅如此，我們繼續研究新的檢測方法并且利用一切機會(huì)擴展基礎的Snort(嗅探)引擎功能以保持我們在這個(gè)行(xíng)業的領先地位。

　　集成的解決方案有(yǒu)它們工作(zuò)所依據的一套不同的參數(shù)。集成的系統采用類似入侵防禦系統的功能，其目标一般不是提供最佳的入侵防禦系統，而是提供一個(gè)“足夠好”的功能以及其它一些(xiē)核心功能并且以較低(dī)的成本提供許多(duō)功能。這個(gè)理(lǐ)由是，如果安全能夠讓人(rén)們在“一個(gè)屋檐下”輕松地獲得(de)和(hé)管理(lǐ)，我們将看到更多(duō)地應用擴展的功能，從而實現更好的安全。

　　這在邏輯上(shàng)是有(yǒu)意義的。經驗表明(míng)，你(nǐ)可(kě)以集成商品功能并且不犧牲太多(duō)的功能。遺憾的是，當随意通(tōng)過糟糕的連接技(jì)術(shù)進行(xíng)集成或者如果要求一個(gè)設備集成太多(duō)的功能的話(huà)，這個(gè)模式就垮掉了。

　　一般來(lái)說，一個(gè)設備的功能越多(duō)，它就需要更大(dà)的計(jì)算(suàn)能力。當設備不可(kě)避免地超過負荷并且影(yǐng)響網絡性能的時(shí)候，要解決的第一件事情就是這個(gè)解決方案提供的保護質量。用戶很(hěn)快失去他們購買這個(gè)解決方案的最初的理(lǐ)由。

　　統一威脅管理(lǐ)(UTM)工具在這方面是最糟糕的。安全領域太頻繁地從“保護我們避開(kāi)我們面臨的危險”的模式轉向“保護我們避開(kāi)互聯網上(shàng)的10大(dà)威脅和(hé)不影(yǐng)響任何事情”的模式。

　　一些(xiē)廠商試圖通(tōng)過制(zhì)造客戶化的硬件和(hé)芯片來(lái)解決這個(gè)問題。他們要以勉強接受的性能增加大(dà)量的檢測功能。但(dàn)是，這樣做(zuò)通(tōng)常要付出保護質量和(hé)靈活性下降的代價。

　　綜上(shàng)所述，最佳的技(jì)術(shù)可(kě)以是一個(gè)集成的解決方案的一部分并且能夠發揮很(hěn)好的功能，但(dàn)是，它要使用與上(shàng)述完全不同的觀點來(lái)建造。Sourcefire建造下一代防火(huǒ)牆的方法是以有(yǒu)效的和(hé)強有(yǒu)力的方法把經過證明(míng)的最佳技(jì)術(shù)集中在一起，同時(shí)不犧牲檢測質量、性能或者靈活性。

　　我們認為(wèi)，這種不犧牲産品質量的解決這個(gè)問題的方法是建造安全平台的一個(gè)新的模式。這個(gè)平台能夠運行(xíng)單獨的最佳技(jì)術(shù)，或者作(zuò)為(wèi)一個(gè)集成的解決方案針對目前的威脅以後可(kě)用的最佳保護。

　觀點2：集成是最好的

　　Palo Alto Networks高(gāo)級安全分析師(shī)韋德·威廉遜(Wade Williamson)撰文指出，對于入侵防禦系統采取集成的方法還(hái)是最佳技(jì)術(shù)的方法的争論是一個(gè)虛假的選擇。目前，對于入侵防禦系統采取的最佳的方法是集成的方法。威脅環境和(hé)安全行(xíng)業本身都支持這個(gè)觀點。

　　10多(duō)年來(lái)，安全行(xíng)業一直試圖使用一種新的專用設備解決每一個(gè)新的安全挑戰。這個(gè)方法在操作(zuò)上(shàng)是不可(kě)行(xíng)的并且最終是無效的。單獨的系統造成了信息豎井，導緻設備在每一個(gè)網段上(shàng)蔓延，并産生(shēng)管理(lǐ)和(hé)運營開(kāi)銷。

　　同樣重要的是，随着攻擊技(jì)術(shù)日益高(gāo)級，單獨的解決方案缺少(shǎo)檢測和(hé)修複複雜的現代攻擊所需要的重要的背景信息。

　　現代的IT威脅的長期發展已經超出了單獨的入侵防禦系統能夠解決的攻擊類型。現在的攻擊者并不把自己限制(zhì)在僅僅利用一個(gè)安全漏洞方面。相反，他們利用許多(duō)安全漏洞、惡意軟件、遠程接入攻擊、被感染的URL以及已知的或者客戶化的威脅。利用各種應用程序能夠進一步d利用上(shàng)述威脅。這些(xiē)應用程序能夠代理(lǐ)、秘密傳送和(hé)加密威脅以避開(kāi)傳統的安全措施

　　要阻止這些(xiē)類型的威脅，我們必須保證通(tōng)訊本身的可(kě)見性，控制(zhì)所有(yǒu)的各種威脅規定并且完全在相關的環境中做(zuò)這個(gè)事情。單獨的入侵防禦系統不能做(zuò)這個(gè)事情。這是所有(yǒu)的堅定的入侵防禦系統廠商或者被大(dà)型網絡安全廠商收購或者開(kāi)發自己的下一代防火(huǒ)牆的主要原因。

　　威廉遜說，我可(kě)以肯定，上(shàng)述說法會(huì)引起一些(xiē)不滿。因此，讓我提供一些(xiē)信息來(lái)支持這個(gè)觀點。首席，目前對網絡威脅的任何討(tǎo)論都應該從威脅如果避開(kāi)安全措施開(kāi)始。一個(gè)入侵防禦系統将漏掉它看不到的或者找錯地方的威脅。因此，在通(tōng)訊還(hái)沒有(yǒu)達到入侵防禦系統之前，這場(chǎng)戰鬥已經失敗了。集成的解決方案正是在這個(gè)地方提供單獨的入侵防禦系統缺少(shǎo)的重要的環境信息和(hé)控制(zhì)能力。

　　例如，考慮如何定期使用應用程序隐藏威脅。他們能夠加密通(tōng)訊、跳(tiào)點端口或者在其它應用程序中建立隧道(dào)以便出現在人(rén)們意想不到的地方。考慮到入侵防禦系統特征一般是根據端口應用的(例如在端口Y至端口Z使用X特征)，這是很(hěn)重要的。如果這個(gè)威脅出現在預料之外的端口，那(nà)麽，這個(gè)特征就不會(huì)執行(xíng)。

　　除了躲避應用程序之外，代理(lǐ)程序、遠程桌面工具、壓縮的通(tōng)訊以及UltraSurf和(hé)Hamachi等專用饒過工具都能幫助攻擊者避開(kāi)檢測。相比之下，下一代防火(huǒ)牆能檢測所有(yǒu)的通(tōng)訊，無論是什麽端口，因此，避開(kāi)端口是無效的。而且，它能不斷地解碼協議和(hé)應用程序，因此，通(tōng)訊不能隐藏其中并且控制(zhì)所有(yǒu)的應用程序類型。這樣，想饒過檢測的通(tōng)訊就不允許通(tōng)過網絡。

　　對于專用的入侵防禦系統來(lái)說，問題還(hái)不止是應用程序。一個(gè)現代的網絡威脅将融合安全漏洞、各種類型的惡意軟件以及遠程網站(zhàn)和(hé)服務器(qì)。所有(yǒu)這些(xiē)組件一起作(zuò)為(wèi)這個(gè)攻擊的一個(gè)組成部分，每一個(gè)部分對于安全行(xíng)業來(lái)說可(kě)能是已知的或者未知的。單獨的入侵防禦系統僅知道(dào)其中的部分組件(已知的安全漏洞)，而漏掉其它的組件。

　　事實上(shàng)，對于不考慮現代惡意軟件的複雜性的現代“入侵防禦”措施很(hěn)難想象一種合理(lǐ)的方法。現代惡意軟件通(tōng)常感染代理(lǐ)程序和(hé)正在運行(xíng)的控制(zhì)機制(zhì)。一個(gè)入侵防禦系統可(kě)以在這裏或者那(nà)裏檢測到奇特的病毒，但(dàn)是，不能檢測出對網絡構成威脅的數(shù)百萬惡意軟件樣本。一個(gè)入侵防禦系統也許能檢測少(shǎo)數(shù)已知的惡意URL，但(dàn)是，缺少(shǎo)數(shù)百萬網站(zhàn)的每日更新以便跟蹤已經被感染或者正在發布威脅的網站(zhàn)。在現代威脅防禦中，關聯的環境是王。單一功能的解決方案不起作(zuò)用。

　　而且，入侵防禦系統産品僅限于已知的安全漏洞。雖然所有(yǒu)的現代入侵防禦系統解決方案都使用安全漏洞特征，但(dàn)是，有(yǒu)些(xiē)特征仍是以已知的東西為(wèi)基礎的。任何真正的未知的特征都會(huì)漏掉。

　　惡意的指揮與控制(zhì)通(tōng)訊定期在網絡上(shàng)顯示為(wèi)未知的通(tōng)訊。未知的或者沒有(yǒu)分類的URL可(kě)能是一個(gè)攻擊的迹象，因為(wèi)攻擊者将迅速建立和(hé)撤銷URL使他們很(hěn)難被跟蹤。IT需要檢測未知文件中惡意行(xíng)為(wèi)的能力。還(hái)有(yǒu)許多(duō)超出入侵防禦系統能力的事情。但(dàn)是，這些(xiē)事情對于阻止入侵者都是非常重要的。

　　因此，有(yǒu)關單獨的和(hé)集成的入侵防禦系統的争論基本上(shàng)解決了(至少(shǎo)暫時(shí)是如此)。随着壞人(rén)從單個(gè)攻擊的安全漏掉向多(duō)方位的和(hé)多(duō)向量的威脅發展，如果我們人(rén)為(wèi)地把我們的網絡安全智能和(hé)強制(zhì)執行(xíng)措施分割為(wèi)專門(mén)的豎井，我們就會(huì)讓這些(xiē)壞人(rén)占優勢。