千兆IDS的“真假之辨”

申请免费试用、咨询电话：400-8352-114

        在实际复杂的网络应用环境中，用户应当盯住一些“真实”的，有实际使用价值的技术，而不是那些“虚假”的，更多只有标示意义的性能指标。 

        就像高速的交通工具，往往会带有更大的安全隐患一样，在网络环境中，带宽和速度通常对安全有着难以预料的影响。
        以入侵检测系统为例，这种产品作为保障网络安全的关键技术和主流产品，已经得到了用户的广泛认可，并在网络安全市场上占据着较大的份额，产品也正在日趋成熟。但是，随着网络带宽不断增加，网络环境越来越复杂，用户的需求变得越来越多样化。在这种情况下，传统的入侵检测技术逐渐暴露出发展的瓶颈，而这也带来了在复杂高速的网络实际应用环境中，千兆IDS的“真假之辨”。
        在进一步探讨之前，我们首先要明确一点，什么才是IDS产品真正要面对的千兆网络环境。由于IDS产品不同于一般的网关型产品，它采用旁路的方式部署在用户的网络环境中，检测被保护网络的所有上行和下行数据，而其中最典型也是最普遍的方式就是采用交换机镜像。由于镜像端口被镜像过来的网络数据是被保护网络的双向数据，千兆网络的上行数据和下行数据都可以达到1000Mb。但是对于IDS而言，只要上行或下行数据分别达到500Mb时，镜像端口的网络流量就达到了千兆限速，由于业界宣传的千兆IDS产品都是采用单网卡单独工作，这势必就造成宣传的千兆IDS只能部署在500Mb以下的网络环境中。
        由于普通千兆IDS产品的监听端口使用千兆网卡。这就造成即使用户使用万兆交换机，交换机镜像端口发送的大于千兆的网络数据也会被IDS监听网卡所丢失。
        什么才是解决以上问题的最佳答案呢？在天融信新推出的网络卫士入侵检测系统中，记者看到了另一条独辟蹊径的思路，那就是采用“双网卡分流重组技术”，记者特别向天融信的技术人员请教了这种技术思路的实现原理。
        其实说起来并不复杂，通过设置，使用两块单独的网卡分别监听两个物理连接的数据，并且在进行数据分析时不会考虑捕获数据的网卡个数，也就是说不管需要处理的数据是通过几块网卡捕获的，只要经过适当的配置，这些网卡都会协同工作，对捕获的数据统一进行处理，在保证了会话完整性的同时，也提高了产品的性能。这样就可以通过设置交换机分别镜像上行和下行网络数据到IDS协同工作的两个监听口上来解决这个真千兆网络环境的难题。
        此外，在应用成本上，我们也注意到复杂的网络应用环境带来的新问题。比如，有的用户网络流量很小，但是有多个网段需要进行保护，而且每个网段的侧重点都不相同，检测的内容和响应方式也会有所区别。传统的IDS产品一个引擎不能满足用户的这种需求，除非为每个需要保护的网段都单独购买一个引擎，但很显然，这增加了用户的投资。
        相对于传统IDS产品只有“引擎”的概念，即一个引擎就是一个检测/响应单元，网络卫士IDS产品则引入了“探头”的概念。在一个引擎上可以配置多个探头（最多4个，与硬件配置相关），每个探头是一个独立的检测/响应单元，工作是完全独立的，有自己独立的数据缓冲区，可以设置单独的检测策略，由独立的进程进行处理。换句话说，这种“虚拟引擎技术”，可以让用户花一台IDS的钱，做几台IDS的事。 (CCW)