inwind

傳統(tǒng)的入侵檢測系統(tǒng)（IDS）只能被動地給管理員提供檢測報告，最終還必須通過人工來解決問題。雖然大部分IDS產(chǎn)品能夠在攻擊發(fā)生后與防火墻進行互動，但是這種互動只能夠?qū)Τ掷m(xù)的低層次攻擊產(chǎn)生很好的阻止作用，在容易受到深層次攻擊的場合，用戶還是希望采用能夠?qū)粜袨檫M行實時阻斷的產(chǎn)品，來提高信息系統(tǒng)的安全級別，因此入侵防護系統(tǒng)McAfee IntruShield應(yīng)運而生。

體驗部署和配置

IntruShield 2600有別于基于通用平臺的產(chǎn)品，它采用NP（network processor）和ASIC(專用集成電路)混合的架構(gòu)設(shè)計。因為需要實現(xiàn)實時阻斷，所以IntruShield 2600在進行協(xié)議重組的過程中需要比傳統(tǒng)IDS更強的處理能力。通用的硬件平臺在多端口的配置的情況下很難滿足實時阻斷的需求。NP加ASIC這種結(jié)構(gòu)在高端的3層交換機和防火墻中被大量采用，能夠?qū)崿F(xiàn)非常高的轉(zhuǎn)發(fā)率,可以幫助入侵防護設(shè)備進行實時阻斷。

靈活多樣的配置方式

這款產(chǎn)品配置了8個端口，在SPAN （Switched Port Analysis）模式工作時，全部可以用作檢測端口，即如果用戶只需要傳統(tǒng)的IDS功能，這款產(chǎn)品完全可以充當一個8口的IDS,不過在部署時需要考慮到吞吐量。IntruShield 2600的拿手好戲在于對入侵和非法的數(shù)據(jù)包進行阻斷，這是在In-line的模式下實現(xiàn)的，這個模式是把IPS作為一個以太網(wǎng)的橋接器，透明地連接到已有的網(wǎng)絡(luò)中，而不需要改動原有網(wǎng)絡(luò)的配置，對于一個復(fù)雜的網(wǎng)絡(luò)來說，這種設(shè)計可以減輕調(diào)試安裝設(shè)備對原有網(wǎng)絡(luò)的影響。在這種模式下，必須成對地配置端口。因此在只使用全部100M銅纜口時，這款產(chǎn)品幾乎可以達到100%的利用率，而在使用千兆光口時，這款產(chǎn)品就只能處理60%左右的網(wǎng)絡(luò)流量，對于一個正常設(shè)計的網(wǎng)絡(luò)來說，60%已經(jīng)是很高的突發(fā)流量了。

即插即用的快速部署

這款產(chǎn)品的軟件和硬件的配合程度是非常高的。雖然各個管理服務(wù)器上都需要安裝多個服務(wù)程序，但是McAfee通過把這些服務(wù)打包，整合成安裝向?qū)峁┙o了用戶。我們只需要點擊幾次“下一步”，并且設(shè)置好管理端口的IP地址，就能夠完成安裝。通過RS-232配置好控制網(wǎng)絡(luò)接口的IP地址后，我們就可以采用瀏覽器對設(shè)備進行管理了。

整個管理配置界面完全是由動態(tài)網(wǎng)頁和Java Applet組成，既能在管理服務(wù)器本機上進行管理，還可以在任意能夠訪問管理服務(wù)器的計算機上通過瀏覽器進行管理和配置。這樣可以把警告信息匯總到單個管理服務(wù)器上，然后在其他節(jié)點上進行分析或者報告。

高性能的安全屏障、檢測率測試

我們選擇了Blade測試工具進行模擬攻擊測試，選取50種典型攻擊樣例。通過模擬攻擊和被攻擊的環(huán)境，把IntruShield 2600設(shè)置為阻斷模式，通過比較發(fā)出的攻擊和從控制臺上觀察到的報警信息來確定設(shè)備檢測的正確性。Blade是目前可以模擬攻擊類型最多的安全測試工具。我們選擇的攻擊樣例也是按照最近比較盛行、危害比較大以及容易發(fā)生的原則來進行的。

測試結(jié)果非常令人振奮。在測試中，所有的攻擊都沒有被漏報。但是，在這樣的測試中，我們并不能確定攻擊是否真的被阻斷了，于是我們進行了下面的測試。

阻斷能力測試

我們找來了一個針對Windows NetBIOS缺陷的攻擊工具，這個缺陷存在于Windows 2000 SP3（包括SP3）以下的版本中。在沒有打開IntruShield 2600阻斷功能的情況下，僅打了SP2補丁的目標主機直接藍屏，在進行內(nèi)存轉(zhuǎn)存以后自動啟動，而在開啟IntruShield 2600阻斷功能后再次發(fā)起攻擊，目標主機就會安然無恙，并且兩次攻擊在管理服務(wù)器上都有詳細的報告，這說明IntruShield 2600的阻斷能力非常出色。

大家可能已經(jīng)發(fā)現(xiàn)了，我們所采用的攻擊類型并不是簡單的畸形IP包攻擊，而是在防火墻看來正確連接的情況下進行的高層次的操作，這些操作大多是利用系統(tǒng)或者應(yīng)用本身的缺陷，制造異常操作來導(dǎo)致其無法正常工作，尤其是一些七層攻擊，如果只采用IDS和防火墻互動的方法來阻止攻擊，很可能讓攻擊得逞，因此需要在攻擊進行中立即阻斷。在阻斷模式下，IntruShield 2600除了要重組協(xié)議進行判斷外，還需要放行正確的數(shù)據(jù)，因此面臨著嚴峻的性能考驗。

吞吐能力測試

為了考驗NP/ASIC架構(gòu)的性能，我們創(chuàng)建了一個穩(wěn)定的背景流，然后模擬攻擊。通過觀察在處于標稱吞吐量邊緣的IntruShield 2600對攻擊的報告情況來確定這款產(chǎn)品的實際吞吐性能。

我們采用思博倫通信的Avalanche和Reflector，制造了一個約等于600Mbps的HTTP流量，然后依然沿用功能驗證中的攻擊檢測方法對 IntruShield 2600進行了測試。在標稱的600Mbps吞吐量下，IntruShield 2600居然能一個不漏地檢測到攻擊，這一測試結(jié)果一方面肯定了這種基于NP和ASIC混合平臺的優(yōu)勢，另一方面，也說明了這款產(chǎn)品在標稱的吞吐量下，還保留了一部分處理能力，用于應(yīng)付突發(fā)的流量對系統(tǒng)正常運作帶來的影響。

測試總結(jié)

由于采用了NP/ASIC架構(gòu)，在進行大數(shù)據(jù)量的協(xié)議分析時，這款產(chǎn)品表現(xiàn)出了非常強的吞吐性能，使得阻斷攻擊這一獨特的功能沒有受到任何影響。因為這款產(chǎn)品主要聚焦在4到7層的攻擊類型，在測試中，我們并沒有看到太多基于一些3層以下的入侵檢測和阻斷手段。不過，在后來我們采用Nessus端口掃描工具進行變形逃逸測試時，發(fā)現(xiàn)這款產(chǎn)品對于SynScan等掃描入侵手段能夠進行檢測，但是需要配合防火墻來更徹底地杜絕這類攻擊。由此證實了我們的推斷，單一的 SynScan或者Flood攻擊對于系統(tǒng)是沒有攻擊性的，并且由于這類攻擊非常簡單，不需要IPS進行復(fù)雜的協(xié)議分析，只需要在偵測出攻擊后，通過和防火墻聯(lián)動，由防火墻就能進行處理。

通過對IntruShield 2600進行測試，我們發(fā)現(xiàn)：IPS是對IDS的增強和延伸，能夠彌補和防火墻之間的空白，而不是簡單地對防火墻和IDS進行融合的結(jié)果。

IntruShield 2600

產(chǎn)品亮點
● 在１Ｕ厚度實現(xiàn)２個千兆光口，６個銅纜百兆端口的入侵阻斷系統(tǒng)，所有端口可以靈活配置，完全邏輯隔離。
● 能夠快速進行安裝部署，支持分布式部署管理。
● 完善的檢測引擎，沒有漏報一個測試樣例中的攻擊。
● 高性能的吞吐能力，能夠在高達600Mbps的HTTP背景流下正常工作。
(e129)