破解IPS迷雾

破解三    分析“集成安全网关”
        随着IPS的不断发展，一种融合了IPS、防火墙、VPN甚至是防病毒功能的产品逐渐流行，这就是所谓的集成安全网关，以Juniper ISG为例，将第四代安全ASIC和可插拔的安全模块结合在一起，而且每个模块都带有自己的处理容量和存储器，可以提供IDP（IDS+IPS）、防火墙和VPN功能。此外，像TippingPoint、Fortinet、Symantec也都有类似的产品。
Juniper大中华区新兴技术经理吴若松认为，此类产品对用户的诱惑很大，因为这种产品可以提供安全处理能力与网络分段特性，可以防止蠕虫、特洛伊木马、间谍软件和恶意软件等现有的和新出现的应用层威胁。同时，状态特征和协议异常检测等多种攻击检测机制，使IDP能够深入分析应用协议与上下文状态，以便有针对性地提供应用防护。
Radware资深工程师滕昕表示，一般集成化的产品网络性与易用性都非常优秀，大部分产品都考虑到了简化网络部署的需求，可以将IPS产品和操作系统无缝集成，并充分利用经过验证的互联网特性，如OSPF、BGP、RIPv2等动态路由，通过虚拟路由器实现多个路由域，以及实现NAT、路由、透明部署等功能项。
另外，此类产品一般都支持基于策略的管理，管理软件可以提供逐条规则的精细度与灵活性，企业的网络管理员可以根据各种规则和协议，部署串联或者监听模式。而基于角色的管理允许安全团队将管理权分配给适当人员，让一个团队负责管理IPS组件，而让其他团队负责管理防火墙、VPN等。一般这种管理采用图形化界面，可以快速地进行攻击和事故调查，以及审核与提交报告等工作。
从目前的使用上看，这种产品在新建企业和大型企业的分支机构使用较多，大多分为100Mbps或者1Gbps。
国内用户应当注意的是，选择此类产品一定要结合自身的应用。因为不同产品支持的特性不一样，以集成的防火墙功能为例，一些安全网关只是集成了精简版的防火墙，对于NAT或者动态端口功能并不支持。
因此，如果用户需要在防火墙上做NAT，或者希望采用VoIP实现语音传输，那么就不能选择此类产品。相反的，一些刚建立的企业机构，在内部应用不多的情况下，选用此种产品无疑是划算的。
根据IDC发布的案例，美国的一家财务公司，在全球有12个分支机构，原计划使用多台防火墙并搭配250个许可证的IDS。最终，该公司仅用了30个许可证的集成安全网管产品就实现了全球网络的入侵防护，而管理人员只需要3至4人，效率却提高了6倍以上。