撥開迷霧 看專家析IDS、IPS和UTM的區別

在許多人看來,入侵檢測和入侵防禦沒什麼區別,很多做入侵檢測的廠商同時也做入侵防禦,甚至連它們的縮寫“IDS”和“IPS”都這麼的相像.那麼這兩款產品有區別嗎？區別在哪？入侵防禦和UTM之間該如何選擇？未來它們將會如何發展,本文將就這幾個問題做一一分析.

用戶選擇之惑

從出現先後順序來看,入侵檢測無疑是前輩：甚至最早的入侵防禦產品就是在入侵檢測產品的基礎上改造而成.

顧名思義,入侵檢測產品就是對入侵行為進行檢查的產品,那為什麼要檢測入侵呢？大家都知道,入侵檢測技術起源於審計,是由於需要/想知道網路里到底發生過什麼事情,畢竟網路世界不像真實世界這樣可視化.

而和入侵檢測有著共同基礎的入侵防禦產品則不然,它的重點是防護,看上去更像我們熟悉的防火牆產品.當然,入侵防禦也有和傳統防火牆不一樣的地方：防火牆的規則是允許具備某些特徵的數據包通過,比如TCP 80埠的數據包,在Web服務跟前,就是被允許通過的；而入侵防禦的規則剛好相反,不允許具備某些特徵的數據包通過,某一個數據包攜帶的數據被認定為溢出攻擊,就將被拒絕通過.當然,還有一種說法就是,防火牆關注的是會話層以下的網路數據,而入侵防禦則關注會話層-應用層的數據.有一定技術基礎的朋友一定能很快看出上面的問題,“且慢,這根本就不是問題,我完全可以做到只讓那些符合某些規則（防火牆規則）,又不具備某些特徵（入侵特徵）的數據通過”.“至於防火牆不關注會話層以上的數據,這就更簡單了,不論以前是由於什麼原因不關注,現在開始也分析好了,只要性能能跟上,技術上沒有困難”.

沒錯,正是上面提到的所謂區別在硬體技術和檢測技術的發展面前都已經不是問題了,才會是的UTM這一概念獲得人們的認可：我們喜歡防火牆式的一勞永逸,我們需要入侵防禦的應用層威脅防護,於是我們把這兩個功能在一個硬體上實現了.一些安全廠商/用戶並不能區別單獨的入侵防禦產品和UTM產品中的入侵防禦之間的區別,於是就陷入了一個誤區：我應該選擇入侵防禦還是UTM？如果入侵防禦可以在UTM中實現,是不是以後就沒有單獨的入侵防禦產品了？

入侵防禦還是UTM？

這其實不能算是問題,UTM剛出現時很少有人選擇,原因很簡單：性能.有些號稱UTM的設備在打開入侵防禦功能后性能衰減嚴重,這是的UTM並未像想象中那樣獲得開門紅.但摩爾定律的力量是強大的,隨著硬體技術的發展,在效率不降低的情況下在一個盒子里完成多項工作,已經成為現實.

這是不是就意味著UTM可以全面取代入侵防禦產品呢？我們應當還記得前面提到的：防火牆是配置允許規則,規則外禁止,而入侵防禦是配置禁止規則,規則外允許.相信很多人都會聽說過這麼一個功能：bypass,就是在串列設備遇到軟體/硬體問題時,強制進入直通狀態,以避免網路斷開的一種技術.這個技術只在入侵防禦產品中有應用,而不出現於防火牆產品中,這是為什麼呢？誠然,在防火牆處於非透明模式下,bypass也無法保障通訊的通暢：比如說NAT模式下,防火牆內外網路不在一個網段,即使物理上強制直通,也會由於找不到路由而無法通訊.（說到這裡筆者就要插一句了,曾見到有些入侵防禦的技術要求中一方面要求提供路由接入模式,一方面又要求支持bypass,簡直就是不知所云）.但是最根本的原因還在於防火牆與入侵防禦兩種截然不同的數據處理流程：防火牆是只允許那些被允許的數據進入,即使在自身出現問題的情況下,也不能讓未受允許的數據進入,防火牆不可能有bypass功能.而入侵防禦剛好相反,其目標是保護後端的設備不受威脅行為的影響提供正常的服務,如果自身出現問題了,寧願切換為通路,也不影響後端業務的運營,,bypass設備是必須的.

這裡需要補充一點,有些朋友看到上面的描述,可能會對入侵防禦的“寬宏大量”表示不理解：bypass后就變成無防護狀態了,太可怕了.其實,一般來說,入侵防禦產品的bypass都是與其watchdog技術相結合的,watchdog保障了故障進程能自動恢復,真正處在bypass無防護狀態下的時間並不長,一次bypass切換（防護——無防護——再次開始防護）可以在數秒鐘內完成,並不會因此而是的網路長時間失去保護.

可以看出,入侵防禦產品的未來之路就是保護後端服務不受威脅影響而能正常開展業務.UTM類產品可以有入侵防禦的模塊,但由於結合了防火牆、AV等其它功能,是的其關注的目標必定是批量化的攔截,無暇專註於後端服務.入侵防禦和UTM相比,可以用一個生活中的小例子來呼應：入侵防禦就是個人保鏢,而UTM就是小區保安,兩者都是保護目標的安全,但由於受保護目標不同（保鏢的目標聚焦,而保安的目標不聚焦）是的這兩種類似的職業都有單獨存在的必要.

到底需要入侵防禦還是UTM？取決於保護的目標主體.如果用以保護整個網路,那麼應當選擇UTM,除了入侵防禦之外,還可依據用戶需求提供防病毒、VPN等網關級安全應用.如果用以保護某一台或多台伺服器（群）,那麼就應當選擇入侵防禦.當然這是有前提的,那就是入侵防禦產品需要對伺服器防護有相應針對性的特性,比如啟明星辰公司的天清入侵防禦產品,就專註發掘了Web服務防護功能.

再看入侵檢測產品,與入侵防禦產品作為控制工具相對的,入侵檢測產品給使用者提供了一個可視化的平台,通過這個平台,用戶可以清楚地了解網路里到底發生了什麼事情,當然,結論的產生還是需要加入大量的人工分析.比如,網路嗅探,入侵防禦或者類似的控制工具,所關注的只是“禁止這一行為”,但嗅探可能來自於內部員工的正常網路檢查行為,這就需要一個界面來告訴使用者,嗅探行為是誰幹的、是否違規等等,而這就是入侵檢測產品的作用所在.當你需要了解網路安全狀況的時候,購買入侵檢測產品將會是一個合適的選擇.

即使有了基於前文的認知,但當前還有這樣的言論出現：入侵檢測能做的事,入侵防禦都可以做,入侵防禦是入侵檢測的升級/換代產品.

前文提到,入侵檢測所關注的是可視化,對入侵檢測來說,最重要的是 “呈現”.“呈現”主要取決於兩點,一是呈現的內容,二是呈現的效果.呈現的內容表現在,事件是否更新及時,數據是否抓取完全.和入侵防禦不一樣,入侵檢測產品是旁路部署甚至多點部署的,對整個網路進行監視.呈現的效果表現在是否能方便地從產品界面上獲得有效信息,以便對接下來的工作進行指導：禁止或允許某些安全規則,評價某個區域的安全建設效果等.

而入侵防禦則更關注“防護”,準確而及時的防護,其關注重點並不是全局信息（而只是關鍵伺服器群）,也不關注信息分析.這導致了入侵檢測和入侵防禦在面對事件時的不同態度：入侵檢測關注可疑事件,即使不能判斷為具體的攻擊行為,也要進行記錄和分析備案；而入侵防禦關注的都是明確的事件,是威脅就堅決予以阻斷,不能認定為威脅則予以放行.而在用戶交互界面層面,也有不同的態度：入侵檢測關注信息展現,以圖表呈現全面的信息以協助分析；入侵防禦則不需要關注信息之間的關聯,事件對入侵防禦而言只是一個阻斷報告的數據來源.

,在選擇入侵檢測產品的時候,需要關注如下因素：它是否能保障“呈現”無障礙,是否提供了一些新的特性可以方便地看到想看的信息,使用者是否可以快速利用它“呈現”的內容做出相應的決策判斷.

當然,作為安全廠商,所需要做的就是,當開發入侵檢測產品的時候,任何功能特性,都應當圍繞“呈現”這個詞來做,用戶需要一個可視化平台.只有“呈現”,才是入侵檢測的精髓,是入侵檢測依然存在,不被其它產品取代的根本.