inwind

傳統的入侵檢測系統（IDS）只能被動地給管理員提供檢測報告，最終還必須通過人工來解決問題。雖然大部分IDS產品能夠在攻擊發生后與防火墻進行互動，但是這種互動只能夠對持續的低層次攻擊產生很好的阻止作用，在容易受到深層次攻擊的場合，用戶還是希望采用能夠對攻擊行為進行實時阻斷的產品，來提高信息系統的安全級別，因此入侵防護系統McAfee IntruShield應運而生。

體驗部署和配置

IntruShield 2600有別于基于通用平臺的產品，它采用NP（network processor）和ASIC(專用集成電路)混合的架構設計。因為需要實現實時阻斷，所以IntruShield 2600在進行協議重組的過程中需要比傳統IDS更強的處理能力。通用的硬件平臺在多端口的配置的情況下很難滿足實時阻斷的需求。NP加ASIC這種結構在高端的3層交換機和防火墻中被大量采用，能夠實現非常高的轉發率,可以幫助入侵防護設備進行實時阻斷。

靈活多樣的配置方式

這款產品配置了8個端口，在SPAN （Switched Port Analysis）模式工作時，全部可以用作檢測端口，即如果用戶只需要傳統的IDS功能，這款產品完全可以充當一個8口的IDS,不過在部署時需要考慮到吞吐量。IntruShield 2600的拿手好戲在于對入侵和非法的數據包進行阻斷，這是在In-line的模式下實現的，這個模式是把IPS作為一個以太網的橋接器，透明地連接到已有的網絡中，而不需要改動原有網絡的配置，對于一個復雜的網絡來說，這種設計可以減輕調試安裝設備對原有網絡的影響。在這種模式下，必須成對地配置端口。因此在只使用全部100M銅纜口時，這款產品幾乎可以達到100%的利用率，而在使用千兆光口時，這款產品就只能處理60%左右的網絡流量，對于一個正常設計的網絡來說，60%已經是很高的突發流量了。

即插即用的快速部署

這款產品的軟件和硬件的配合程度是非常高的。雖然各個管理服務器上都需要安裝多個服務程序，但是McAfee通過把這些服務打包，整合成安裝向導提供給了用戶。我們只需要點擊幾次“下一步”，并且設置好管理端口的IP地址，就能夠完成安裝。通過RS-232配置好控制網絡接口的IP地址后，我們就可以采用瀏覽器對設備進行管理了。

整個管理配置界面完全是由動態網頁和Java Applet組成，既能在管理服務器本機上進行管理，還可以在任意能夠訪問管理服務器的計算機上通過瀏覽器進行管理和配置。這樣可以把警告信息匯總到單個管理服務器上，然后在其他節點上進行分析或者報告。

高性能的安全屏障、檢測率測試

我們選擇了Blade測試工具進行模擬攻擊測試，選取50種典型攻擊樣例。通過模擬攻擊和被攻擊的環境，把IntruShield 2600設置為阻斷模式，通過比較發出的攻擊和從控制臺上觀察到的報警信息來確定設備檢測的正確性。Blade是目前可以模擬攻擊類型最多的安全測試工具。我們選擇的攻擊樣例也是按照最近比較盛行、危害比較大以及容易發生的原則來進行的。

測試結果非常令人振奮。在測試中，所有的攻擊都沒有被漏報。但是，在這樣的測試中，我們并不能確定攻擊是否真的被阻斷了，于是我們進行了下面的測試。

阻斷能力測試

我們找來了一個針對Windows NetBIOS缺陷的攻擊工具，這個缺陷存在于Windows 2000 SP3（包括SP3）以下的版本中。在沒有打開IntruShield 2600阻斷功能的情況下，僅打了SP2補丁的目標主機直接藍屏，在進行內存轉存以后自動啟動，而在開啟IntruShield 2600阻斷功能后再次發起攻擊，目標主機就會安然無恙，并且兩次攻擊在管理服務器上都有詳細的報告，這說明IntruShield 2600的阻斷能力非常出色。

大家可能已經發現了，我們所采用的攻擊類型并不是簡單的畸形IP包攻擊，而是在防火墻看來正確連接的情況下進行的高層次的操作，這些操作大多是利用系統或者應用本身的缺陷，制造異常操作來導致其無法正常工作，尤其是一些七層攻擊，如果只采用IDS和防火墻互動的方法來阻止攻擊，很可能讓攻擊得逞，因此需要在攻擊進行中立即阻斷。在阻斷模式下，IntruShield 2600除了要重組協議進行判斷外，還需要放行正確的數據，因此面臨著嚴峻的性能考驗。

吞吐能力測試

為了考驗NP/ASIC架構的性能，我們創建了一個穩定的背景流，然后模擬攻擊。通過觀察在處于標稱吞吐量邊緣的IntruShield 2600對攻擊的報告情況來確定這款產品的實際吞吐性能。

我們采用思博倫通信的Avalanche和Reflector，制造了一個約等于600Mbps的HTTP流量，然后依然沿用功能驗證中的攻擊檢測方法對 IntruShield 2600進行了測試。在標稱的600Mbps吞吐量下，IntruShield 2600居然能一個不漏地檢測到攻擊，這一測試結果一方面肯定了這種基于NP和ASIC混合平臺的優勢，另一方面，也說明了這款產品在標稱的吞吐量下，還保留了一部分處理能力，用于應付突發的流量對系統正常運作帶來的影響。

測試總結

由于采用了NP/ASIC架構，在進行大數據量的協議分析時，這款產品表現出了非常強的吞吐性能，使得阻斷攻擊這一獨特的功能沒有受到任何影響。因為這款產品主要聚焦在4到7層的攻擊類型，在測試中，我們并沒有看到太多基于一些3層以下的入侵檢測和阻斷手段。不過，在后來我們采用Nessus端口掃描工具進行變形逃逸測試時，發現這款產品對于SynScan等掃描入侵手段能夠進行檢測，但是需要配合防火墻來更徹底地杜絕這類攻擊。由此證實了我們的推斷，單一的 SynScan或者Flood攻擊對于系統是沒有攻擊性的，并且由于這類攻擊非常簡單，不需要IPS進行復雜的協議分析，只需要在偵測出攻擊后，通過和防火墻聯動，由防火墻就能進行處理。

通過對IntruShield 2600進行測試，我們發現：IPS是對IDS的增強和延伸，能夠彌補和防火墻之間的空白，而不是簡單地對防火墻和IDS進行融合的結果。

IntruShield 2600

產品亮點
● 在１Ｕ厚度實現２個千兆光口，６個銅纜百兆端口的入侵阻斷系統，所有端口可以靈活配置，完全邏輯隔離。
● 能夠快速進行安裝部署，支持分布式部署管理。
● 完善的檢測引擎，沒有漏報一個測試樣例中的攻擊。
● 高性能的吞吐能力，能夠在高達600Mbps的HTTP背景流下正常工作。
(e129)