入侵防御系统：最佳解决方案还是集成解决方案

我也说几句2011年12月18日 15:34分         作者：网界网 佚名      来源：博客

美国《网络世界》网站对入侵防御系统(IPS) 是采用最佳的产品还是集成的解决方案展这个老问题开了争论。持最佳产品观点的人认为，安全是一个需要尽可能的最佳点的地方。但是，集成的解决方案提供商认为，日益发展的威胁需要全面的观点。这个观点要考虑更多的因素才能实现。下面是正反两方的观点。读者可以判断谁的观点正确。

观点1.需要最佳产品

Sourcefire创始人和首席技术官马丁·勒施(Martin Roesch)

Sourcefire创始人和首席技术官马丁·勒施(Martin Roesch)撰文指出，10多年以来，我们一直听说有关“X安全技术”如何消失在“Y设备”中的事情，因为购买者喜欢融合。但是，尽管有预言者的担保，有一个事实是不变的 -- 对于最佳的入侵防御系统仍有大量的和日益增长的需求。

勒施说，我还告诉你们一个秘密：你们可以在一个集成的解决方案中有最佳的入侵防御系统。然而，首先，让我们谈谈为什么最佳的入侵防御系统比仅为一个融合的解决方案的一部分开发的入侵防御系统更好。

为什么?因为最佳解决方案可提供高可靠性产品。这包括：

·保护：能够以高度的准确性检测到所有的攻击，同时让攻击很难避开检测。

·性能：认真地设计设备以便以最大的性能提供最大的能力。

·灵活性：设备把重点放在做好几件事上并且要非常灵活。一个很好的例子是我们Sourcefire公司的下一代入侵防御系统。可以肯定地说，这是同类产品中最好的可配置的解决方案。

·研究：一个专门的研究团队提供持续不断的更新(入侵探测系统/入侵防御系统、杀毒软件、安全漏洞管理等)支持这个系统。这个团队负责开发内容和实施最初的研究以便保持高级的能力。

当你查看Sourcefire提供的解决方案的时候，你能够看到所有这些起作用的概念。在最新一轮NSS测试中，可以看到Sourcefire的入侵防御系统解决方案提供最佳的检测能力、防躲避能力、安全漏洞覆盖范围以及任何入侵防御系统的性能。不仅如此，我们继续研究新的检测方法并且利用一切机会扩展基础的Snort(嗅探)引擎功能以保持我们在这个行业的领先地位。

集成的解决方案有它们工作所依据的一套不同的参数。集成的系统采用类似入侵防御系统的功能，其目标一般不是提供最佳的入侵防御系统，而是提供一个 “足够好”的功能以及其它一些核心功能并且以较低的成本提供许多功能。这个理由是，如果安全能够让人们在“一个屋檐下”轻松地获得和管理，我们将看到更多地应用扩展的功能，从而实现更好的安全。

这在逻辑上是有意义的。经验表明，你可以集成商品功能并且不牺牲太多的功能。遗憾的是，当随意通过糟糕的连接技术进行集成或者如果要求一个设备集成太多的功能的话，这个模式就垮掉了。

一般来说，一个设备的功能越多，它就需要更大的计算能力。当设备不可避免地超过负荷并且影响网络性能的时候，要解决的第一件事情就是这个解决方案提供的保护质量。用户很快失去他们购买这个解决方案的最初的理由。

统一威胁管理(UTM)工具在这方面是最糟糕的。安全领域太频繁地从“保护我们避开我们面临的危险”的模式转向“保护我们避开互联网上的10大威胁和不影响任何事情”的模式。

一些厂商试图通过制造客户化的硬件和芯片来解决这个问题。他们要以勉强接受的性能增加大量的检测功能。但是，这样做通常要付出保护质量和灵活性下降的代价。

综上所述，最佳的技术可以是一个集成的解决方案的一部分并且能够发挥很好的功能，但是，它要使用与上述完全不同的观点来建造。Sourcefire建造下一代防火墙的方法是以有效的和强有力的方法把经过证明的最佳技术集中在一起，同时不牺牲检测质量、性能或者灵活性。

我们认为，这种不牺牲产品质量的解决这个问题的方法是建造安全平台的一个新的模式。这个平台能够运行单独的最佳技术，或者作为一个集成的解决方案针对目前的威胁以后可用的最佳保护。