千兆IDS的“真假之辨”

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

        在實(shí)際復(fù)雜的網(wǎng)絡(luò)應(yīng)用環(huán)境中，用戶應(yīng)當(dāng)盯住一些“真實(shí)”的，有實(shí)際使用價(jià)值的技術(shù)，而不是那些“虛假”的，更多只有標(biāo)示意義的性能指標(biāo)。 

        就像高速的交通工具，往往會(huì)帶有更大的安全隱患一樣，在網(wǎng)絡(luò)環(huán)境中，帶寬和速度通常對(duì)安全有著難以預(yù)料的影響。
        以入侵檢測(cè)系統(tǒng)為例，這種產(chǎn)品作為保障網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)和主流產(chǎn)品，已經(jīng)得到了用戶的廣泛認(rèn)可，并在網(wǎng)絡(luò)安全市場(chǎng)上占據(jù)著較大的份額，產(chǎn)品也正在日趨成熟。但是，隨著網(wǎng)絡(luò)帶寬不斷增加，網(wǎng)絡(luò)環(huán)境越來(lái)越復(fù)雜，用戶的需求變得越來(lái)越多樣化。在這種情況下，傳統(tǒng)的入侵檢測(cè)技術(shù)逐漸暴露出發(fā)展的瓶頸，而這也帶來(lái)了在復(fù)雜高速的網(wǎng)絡(luò)實(shí)際應(yīng)用環(huán)境中，千兆IDS的“真假之辨”。
        在進(jìn)一步探討之前，我們首先要明確一點(diǎn)，什么才是IDS產(chǎn)品真正要面對(duì)的千兆網(wǎng)絡(luò)環(huán)境。由于IDS產(chǎn)品不同于一般的網(wǎng)關(guān)型產(chǎn)品，它采用旁路的方式部署在用戶的網(wǎng)絡(luò)環(huán)境中，檢測(cè)被保護(hù)網(wǎng)絡(luò)的所有上行和下行數(shù)據(jù)，而其中最典型也是最普遍的方式就是采用交換機(jī)鏡像。由于鏡像端口被鏡像過(guò)來(lái)的網(wǎng)絡(luò)數(shù)據(jù)是被保護(hù)網(wǎng)絡(luò)的雙向數(shù)據(jù)，千兆網(wǎng)絡(luò)的上行數(shù)據(jù)和下行數(shù)據(jù)都可以達(dá)到1000Mb。但是對(duì)于IDS而言，只要上行或下行數(shù)據(jù)分別達(dá)到500Mb時(shí)，鏡像端口的網(wǎng)絡(luò)流量就達(dá)到了千兆限速，由于業(yè)界宣傳的千兆IDS產(chǎn)品都是采用單網(wǎng)卡單獨(dú)工作，這勢(shì)必就造成宣傳的千兆IDS只能部署在500Mb以下的網(wǎng)絡(luò)環(huán)境中。
        由于普通千兆IDS產(chǎn)品的監(jiān)聽(tīng)端口使用千兆網(wǎng)卡。這就造成即使用戶使用萬(wàn)兆交換機(jī)，交換機(jī)鏡像端口發(fā)送的大于千兆的網(wǎng)絡(luò)數(shù)據(jù)也會(huì)被IDS監(jiān)聽(tīng)網(wǎng)卡所丟失。
        什么才是解決以上問(wèn)題的最佳答案呢？在天融信新推出的網(wǎng)絡(luò)衛(wèi)士入侵檢測(cè)系統(tǒng)中，記者看到了另一條獨(dú)辟蹊徑的思路，那就是采用“雙網(wǎng)卡分流重組技術(shù)”，記者特別向天融信的技術(shù)人員請(qǐng)教了這種技術(shù)思路的實(shí)現(xiàn)原理。
        其實(shí)說(shuō)起來(lái)并不復(fù)雜，通過(guò)設(shè)置，使用兩塊單獨(dú)的網(wǎng)卡分別監(jiān)聽(tīng)兩個(gè)物理連接的數(shù)據(jù)，并且在進(jìn)行數(shù)據(jù)分析時(shí)不會(huì)考慮捕獲數(shù)據(jù)的網(wǎng)卡個(gè)數(shù)，也就是說(shuō)不管需要處理的數(shù)據(jù)是通過(guò)幾塊網(wǎng)卡捕獲的，只要經(jīng)過(guò)適當(dāng)?shù)呐渲茫@些網(wǎng)卡都會(huì)協(xié)同工作，對(duì)捕獲的數(shù)據(jù)統(tǒng)一進(jìn)行處理，在保證了會(huì)話完整性的同時(shí)，也提高了產(chǎn)品的性能。這樣就可以通過(guò)設(shè)置交換機(jī)分別鏡像上行和下行網(wǎng)絡(luò)數(shù)據(jù)到IDS協(xié)同工作的兩個(gè)監(jiān)聽(tīng)口上來(lái)解決這個(gè)真千兆網(wǎng)絡(luò)環(huán)境的難題。
        此外，在應(yīng)用成本上，我們也注意到復(fù)雜的網(wǎng)絡(luò)應(yīng)用環(huán)境帶來(lái)的新問(wèn)題。比如，有的用戶網(wǎng)絡(luò)流量很小，但是有多個(gè)網(wǎng)段需要進(jìn)行保護(hù)，而且每個(gè)網(wǎng)段的側(cè)重點(diǎn)都不相同，檢測(cè)的內(nèi)容和響應(yīng)方式也會(huì)有所區(qū)別。傳統(tǒng)的IDS產(chǎn)品一個(gè)引擎不能滿足用戶的這種需求，除非為每個(gè)需要保護(hù)的網(wǎng)段都單獨(dú)購(gòu)買一個(gè)引擎，但很顯然，這增加了用戶的投資。
        相對(duì)于傳統(tǒng)IDS產(chǎn)品只有“引擎”的概念，即一個(gè)引擎就是一個(gè)檢測(cè)/響應(yīng)單元，網(wǎng)絡(luò)衛(wèi)士IDS產(chǎn)品則引入了“探頭”的概念。在一個(gè)引擎上可以配置多個(gè)探頭（最多4個(gè)，與硬件配置相關(guān)），每個(gè)探頭是一個(gè)獨(dú)立的檢測(cè)/響應(yīng)單元，工作是完全獨(dú)立的，有自己獨(dú)立的數(shù)據(jù)緩沖區(qū)，可以設(shè)置單獨(dú)的檢測(cè)策略，由獨(dú)立的進(jìn)程進(jìn)行處理。換句話說(shuō)，這種“虛擬引擎技術(shù)”，可以讓用戶花一臺(tái)IDS的錢，做幾臺(tái)IDS的事。 (CCW)