詳解入侵檢測、入侵防御

在許多人看來，入侵檢測和入侵防御沒什麼區別，很多做入侵檢測的廠商同時也做入侵防御，甚至連它們的縮寫“IDS”和“IPS”都這麼的相像。那麼這兩款產品有區別嗎？區別在哪？入侵防御和UTM之間該如何選擇？未來它們將會如何發展，本文將就這幾個問題做一一分析。

用戶選擇之惑

從出現先後順序來看，入侵檢測無疑是前輩：甚至最早的入侵防御產品就是在入侵檢測產品的基礎上改造而成。

顧名思義，入侵檢測產品就是對入侵行為進行檢查的產品，那為什麼要檢測入侵呢？大家都知道，入侵檢測技術起源於審計，是由於需要/想知道網絡裡到底發生過什麼事情，畢竟網絡世界不像真實世界這樣可視化。

而和入侵檢測有著共同基礎的入侵防御產品則不然，它的重點是防護，看上去更像我們熟悉的防火牆產品。當然，入侵防御也有和傳統防火牆不一樣的地方： 防火牆的規則是允許具備某些特征的數據包通過，比如TCP 80端口的數據包，在Web服務跟前，就是被允許通過的；而入侵防御的規則剛好相反，不允許具備某些特征的數據包通過，某一個數據包攜帶的數據被認定為溢 出攻擊，就將被拒絕通過。當然，還有一種說法就是，防火牆關注的是會話層以下的網絡數據，而入侵防御則關注會話層-應用層的數據。有一定技術基礎的朋友一 定能很快看出上面的問題，“且慢，這根本就不是問題，我完全可以做到只讓那些符合某些規則（防火牆規則），又不具備某些特征（入侵特征）的數據通過”。 “至於防火牆不關注會話層以上的數據，這就更簡單了，不論以前是由於什麼原因不關注，現在開始也分析好了，只要性能能跟上，技術上沒有困難”。

沒錯，正是上面提到的所謂區別在硬件技術和檢測技術的發展面前都已經不是問題了，所以才會使得UTM這一概念獲得人們的認可：我們喜歡防火牆式的一 勞永逸，我們需要入侵防御的應用層威脅防護，於是我們把這兩個功能在一個硬件上實現了。一些安全廠商/用戶並不能區別單獨的入侵防御產品和UTM產品中的 入侵防御之間的區別，於是就陷入了一個誤區：我應該選擇入侵防御還是UTM？如果入侵防御可以在UTM中實現，是不是以後就沒有單獨的入侵防御產品了？

入侵防御還是UTM？

這其實不能算是問題，UTM剛出現時很少有人選擇，原因很簡單：性能。有些號稱UTM的設備在打開入侵防御功能後性能衰減嚴重，這使得UTM並未像 想象中那樣獲得開門紅。但摩爾定律的力量是強大的，隨著硬件技術的發展，在效率不降低的情況下在一個盒子裡完成多項工作，已經成為現實。

這是不是就意味著UTM可以全面取代入侵防御產品呢？我們應當還記得前面提到的：防火牆是配置允許規則，規則外禁止，而入侵防御是配置禁止規則，規 則外允許。相信很多人都會聽說過這麼一個功能：bypass，就是在串行設備遇到軟件/硬件問題時，強制進入直通狀態，以避免網絡斷開的一種技術。這個技 術只在入侵防御產品中有應用，而不出現於防火牆產品中，這是為什麼呢？誠然，在防火牆處於非透明模式下，bypass也無法保障通訊的通暢：比如說NAT 模式下，防火牆內外網絡不在一個網段，即使物理上強制直通，也會由於找不到路由而無法通訊。（說到這裡筆者就要插一句了，曾見到有些入侵防御的技術要求中 一方面要求提供路由接入模式，一方面又要求支持bypass，簡直就是不知所雲）。但是最根本的原因還在於防火牆與入侵防御兩種截然不同的數據處理流程： 防火牆是只允許那些被允許的數據進入，即使在自身出現問題的情況下，也不能讓未受允許的數據進入，所以防火牆不可能有bypass功能。而入侵防御剛好相 反，其目標是保護後端的設備不受威脅行為的影響提供正常的服務，如果自身出現問題了，寧願切換為通路，也不影響後端業務的運營，所以，bypass設備是 必須的。

這裡需要補充一點，有些朋友看到上面的描述，可能會對入侵防御的“寬宏大量”表示不理解：bypass後就變成無防護狀態了，太可怕了。其實，一般 來說，入侵防御產品的bypass都是與其watchdog技術相結合的，watchdog保障了故障進程能自動恢復，所以真正處在bypass無防護狀 態下的時間並不長，一次bypass切換（防護——無防護——再次開始防護）可以在數秒鐘內完成，並不會因此而使得網絡長時間失去保護。

可以看出，入侵防御產品的未來之路就是保護後端服務不受威脅影響而能正常開展業務。UTM類產品可以有入侵防御的模塊，但由於結合了防火牆、AV等 其它功能，使得其關注的目標必定是批量化的攔截，無暇專注於後端服務。入侵防御和UTM相比，可以用一個生活中的小例子來呼應：入侵防御就是個人保镖，而 UTM就是小區保安，兩者都是保護目標的安全，但由於受保護目標不同（保镖的目標聚焦，而保安的目標不聚焦）使得這兩種類似的職業都有單獨存在的必要。