2005年秋,由全球多家系统软件公司进行的一项联合调查表明,超过66%的企业用户认为,“系统渗透”将会成为威胁企业IT安全的首要元凶。
破解一 诠释IPS“性能”
说到性能,目前为止还没有一个简单的量化指标。从国内外大量第三方评测机构的报告分析,吞吐率与延时可以作为简单的参数。但业内人士认为,这必须结合用户的具体需要来看,否则很难讲其意义有多大。
因为不同厂家IPS支持的协议数量、默认功能开启程度、检测精细度、承受攻击的时间等指标差异极大,获取性能指标的前提条件有很大不同,如果单独依据厂家提供的DataSheet,对于用户的选择是很难有帮助的。
根据经验,业内众多Hi-End级IPS厂家(笔者借用了音响发烧友的术语),其产品都要支持:HTTP、DNS、FTP、DoS、ICMP、RPC、SSH、Mail、Telnet、Backdoors、Finger、False negatives、Database、Reconnaissance等攻击方式以及企业四大协议(HTTP、FTP、SMTP、POP3)以外的新应用,如MSN等。
国内用户还必须了解,IPS的性能评估数据不能是在“裸奔”或仅打开少量过滤器的前提下取得的,也不能是单纯的测试流量,如单纯的UDP流量或单一的包长度。用户应当结合自身情况判断: 如企业部署了VoIP的应用,那就必须去评价它的时延抖动问题,而且要在语音数据流中混杂一般数据模拟实际情况。
有条件的用户,也可以查阅第三方报告,分析IPS在负载情况下的效能参数,像对随机端口发送的UDP流量、考虑和不考虑处理延时情况下的HTTP最大压力流量等。(《网络世界》报社稍候将会为读者奉上国内最权威的IPS横向评测报告)
目前,一些国内用户已经开始选购前的自行测试。以北京大学与TippingPoint的合作为例,该校信息中心正在结合校内的流量情况进行实地检测。据悉,当前北大校园网骨干流量为800Mbps,而且其中的混合协议流庞大,对于类似应用,通常的做法是采用校内真实流量预测或者用“72%的HTTP + 20%的FTP + 4%的UDP”流量模型评估。
也有专家指出,国内用户不要过度迷信数值,而要分清自身应用的特征。因为很多Hi-End级IPS厂家,可以提供在64/256/350/440/540/1514字节(根据应用与压力不同)条件下,实现250/500/750/1Gbps的线性吞吐与极低延时。但如果用户只有一个100Mbps骨干带宽出口,且近期不会升级网络带宽,就没必要刻意要求1Gbps数据传输时的性能指标。
高性能自然是好事,但这多伴随着高成本。特别是大部分用户在日常应用中,遇到如此五花八门数据包的情况极为少见,普通情况是:对于纯HTTP协议,一般每秒最多100条TCP连接、每秒25位新用户,平均包长1000字节,每秒最多110000个包;对于混合协议,一般是540字节HTTP与256字节UDP,每秒最多550条TCP连接,平均包长900字节,每秒最多130000个包,最多11000条开放连接。
另外,关于IPS自身设计与性能的关系,在此也有必要澄清一下。目前IPS设计主要分为FPGA(现场可编程门阵列)与X86(CPU加交换板)两种架构(包含NP)。其实这两种架构并非彼此独立,在一些Hi-End级IPS产品中,这些芯片都是存在的。
TippingPoint网络技术顾问李臻认为,从芯片本身分析,FPGA这种封装方式具有灵活、可编程的优势,而McAfee安全顾问陈纲更直接称其为一种廉价高效的专业芯片。一些大厂用其对进入数据包进行特征匹配,在这种工作上,FPGA区别于传统X86架构的顺序工作方式,性能是有很大提升的。
不过Juniper大中华区新兴技术经理吴若松表示,并非所有采用FPGA的IPS产品,性能都会优于使用X86架构的产品,或者说用户应该关注,满足充分的安全防御前提下的性能可用。
这就像音响发烧界的一个经典案例:普通立体声音箱采用左右两分频技术,但很多Hi-End级音箱为了获得更加纯净的声音表现,往往会采用多分频技术(三、四分频),但有些Hi-End级厂家,如丹拿音箱,由于自身的设计特点和结构的特殊性,只需要进行两分频就可以获得比其他厂家更加优秀的声音。
所以说,采用FPGA可以带来性能优势,但前提是自身的设计适合FPGA架构;同理,一些采用X86架构的Hi-End级IPS厂家,只要是自身设计独到,同样可以获得优秀的性能。Juniper大中华区新兴技术经理吴若松认为,用户对于产品架构差异与性能之间的关系,确实不用过于敏感,从目前市场情况看,只要是负责任的厂家的产品,都可以满足要求。