msn: [email protected]
来源:http://yfydz.cublog.cn
IPS(Intrusion Protect System,入侵保护系统)和UTM(Unified Threat Management,统一威胁管理)是这两年来安全界的新名词,似乎再提防火墙、IDS什么的已经过时了,似乎有了IPS、UTM之后原来防火墙、 IDS的常见问题就都解决了,象防火墙的内容级检测,IDS的误报、漏报等,可实际情况是这样么? IPS和UTM的基本思想都差不多,更主要的是对网络数据包的内容部分进行更多的检测来保证安全,UTM相对来说可能针对的处理对象更广泛一些,但本质两者我看是没什么太大区别。现在防火墙都能做到对内容级数据进行检测,如果现在的防火墙不能对内容进行检测,估计这种防火墙也没有什么市场的;说IDS误报、漏报率高,可是IPS/UTM所用的判断规则也是以IDS规则基础发展来的上,如果说IPS/UTM用的规则就能完全消除误报漏报率,将这些规则应用到IDS上不也就能消除误报漏报么?所以仅仅从功能来说,IPS、UTM所能作的,防火墙和IDS都能作到,IPS、UTM所炒的并不是什么新技术。 IPS/UTM所强调的更多的是内容级的检测处理,所以如果还是普通X86架构的设备,所有处理都由中央CPU来处理,在十/百兆级别或许还能跟得上(可能百兆都有点悬),但到千兆级别那肯定是力不从心了,所以通常的解决方式是用专用硬件来进行实现内容级检测,只有这点可能才是IPS、UTM的特殊之处,也就是说,对于x86架构,作防火墙、IDS也许属于凑合能用,但对IPS、UTM远远不够,所以如果市场上某种IPS、UTM是x86架构的,完全可以B4它;只有确实是在硬件级别进行的数据检测的IPS、UTM才是合格的,所以说功能不是制造IPS、UTM的门槛,硬件才是真正门槛,对于国内厂商,缺的就是硬件方面的技术能力,因为所需硬件不是其自己能设计生产的,而且即使是目前国内比较热的NP平台,作内容级处理也不是很合适,如 Intel的NP系统IXP2400,微引擎只能作简单的查表,所有内容处理还得传到Xscale进行处理,而Xscale处理能力比P4都差很多,只相当于一个普通P3而已,所以其实际本质还是只适合作路由器,不适合作防火墙,更不适合作IPS、UTM,所以还是需要找另外一种硬件平台。 结论: IPS/UTM就是防火墙+IDS,本质功能上并没有能超出防火墙和IDS的新的特点,只不过是硬件上的要求更高一些,但同样的硬件也可以用来制作高端防火墙和IDS,所以IPS、UTM只是防火墙和IDS的一种表现形式,但本质还是相同的,炒这个概念还是新瓶装旧酒而已。