千兆IDS的“真假之辨”

申請免費試用、咨詢電話：400-8352-114

        在實際復雜的網(wǎng)絡應用環(huán)境中，用戶應當盯住一些“真實”的，有實際使用價值的技術，而不是那些“虛假”的，更多只有標示意義的性能指標。 

        就像高速的交通工具，往往會帶有更大的安全隱患一樣，在網(wǎng)絡環(huán)境中，帶寬和速度通常對安全有著難以預料的影響。
        以入侵檢測系統(tǒng)為例，這種產(chǎn)品作為保障網(wǎng)絡安全的關鍵技術和主流產(chǎn)品，已經(jīng)得到了用戶的廣泛認可，并在網(wǎng)絡安全市場上占據(jù)著較大的份額，產(chǎn)品也正在日趨成熟。但是，隨著網(wǎng)絡帶寬不斷增加，網(wǎng)絡環(huán)境越來越復雜，用戶的需求變得越來越多樣化。在這種情況下，傳統(tǒng)的入侵檢測技術逐漸暴露出發(fā)展的瓶頸，而這也帶來了在復雜高速的網(wǎng)絡實際應用環(huán)境中，千兆IDS的“真假之辨”。
        在進一步探討之前，我們首先要明確一點，什么才是IDS產(chǎn)品真正要面對的千兆網(wǎng)絡環(huán)境。由于IDS產(chǎn)品不同于一般的網(wǎng)關型產(chǎn)品，它采用旁路的方式部署在用戶的網(wǎng)絡環(huán)境中，檢測被保護網(wǎng)絡的所有上行和下行數(shù)據(jù)，而其中最典型也是最普遍的方式就是采用交換機鏡像。由于鏡像端口被鏡像過來的網(wǎng)絡數(shù)據(jù)是被保護網(wǎng)絡的雙向數(shù)據(jù)，千兆網(wǎng)絡的上行數(shù)據(jù)和下行數(shù)據(jù)都可以達到1000Mb。但是對于IDS而言，只要上行或下行數(shù)據(jù)分別達到500Mb時，鏡像端口的網(wǎng)絡流量就達到了千兆限速，由于業(yè)界宣傳的千兆IDS產(chǎn)品都是采用單網(wǎng)卡單獨工作，這勢必就造成宣傳的千兆IDS只能部署在500Mb以下的網(wǎng)絡環(huán)境中。
        由于普通千兆IDS產(chǎn)品的監(jiān)聽端口使用千兆網(wǎng)卡。這就造成即使用戶使用萬兆交換機，交換機鏡像端口發(fā)送的大于千兆的網(wǎng)絡數(shù)據(jù)也會被IDS監(jiān)聽網(wǎng)卡所丟失。
        什么才是解決以上問題的最佳答案呢？在天融信新推出的網(wǎng)絡衛(wèi)士入侵檢測系統(tǒng)中，記者看到了另一條獨辟蹊徑的思路，那就是采用“雙網(wǎng)卡分流重組技術”，記者特別向天融信的技術人員請教了這種技術思路的實現(xiàn)原理。
        其實說起來并不復雜，通過設置，使用兩塊單獨的網(wǎng)卡分別監(jiān)聽兩個物理連接的數(shù)據(jù)，并且在進行數(shù)據(jù)分析時不會考慮捕獲數(shù)據(jù)的網(wǎng)卡個數(shù)，也就是說不管需要處理的數(shù)據(jù)是通過幾塊網(wǎng)卡捕獲的，只要經(jīng)過適當?shù)呐渲?，這些網(wǎng)卡都會協(xié)同工作，對捕獲的數(shù)據(jù)統(tǒng)一進行處理，在保證了會話完整性的同時，也提高了產(chǎn)品的性能。這樣就可以通過設置交換機分別鏡像上行和下行網(wǎng)絡數(shù)據(jù)到IDS協(xié)同工作的兩個監(jiān)聽口上來解決這個真千兆網(wǎng)絡環(huán)境的難題。
        此外，在應用成本上，我們也注意到復雜的網(wǎng)絡應用環(huán)境帶來的新問題。比如，有的用戶網(wǎng)絡流量很小，但是有多個網(wǎng)段需要進行保護，而且每個網(wǎng)段的側重點都不相同，檢測的內(nèi)容和響應方式也會有所區(qū)別。傳統(tǒng)的IDS產(chǎn)品一個引擎不能滿足用戶的這種需求，除非為每個需要保護的網(wǎng)段都單獨購買一個引擎，但很顯然，這增加了用戶的投資。
        相對于傳統(tǒng)IDS產(chǎn)品只有“引擎”的概念，即一個引擎就是一個檢測/響應單元，網(wǎng)絡衛(wèi)士IDS產(chǎn)品則引入了“探頭”的概念。在一個引擎上可以配置多個探頭（最多4個，與硬件配置相關），每個探頭是一個獨立的檢測/響應單元，工作是完全獨立的，有自己獨立的數(shù)據(jù)緩沖區(qū)，可以設置單獨的檢測策略，由獨立的進程進行處理。換句話說，這種“虛擬引擎技術”，可以讓用戶花一臺IDS的錢，做幾臺IDS的事。 (CCW)