破解IPS迷雾

破解四   研究“IPS摆位方案”
        有意思的是，随着IPS产品越来越成熟，性能越来越强大，有种呼声认为，IPS完全可以代替边界防火墙的位置，部署在出口路由器与防火墙之间，作为企业的第一道安全屏障。
从各大安全BBS的反馈看，有关此类问题的争论越演越烈，以至于国外权威的网络与安全测试机构NSS也在报告中对此问题进行了专题讨论。为此，笔者认为有必要与国内用户进行一些经验分享。
以北京大学的IPS部署为例。北大采用了将IPS部署在出口路由器和防火墙之间的策略，其主要目的是为了实现校园网的网络架构防护。
由于校园网的特点，校内路由器、交换机、DNS服务器以及防火墙都是有可能被攻击的网络设备，如果这些网络设备被攻击导致停机，那么所有关键应用也会随之停止。而利用IPS实现网络架构防护机制，则以一系列的网络漏洞过滤器为基础，用来保护网络设备免于遭受攻击。
在此模式中，IPS也必须提供异常流量统计机制的过滤器。这些过滤机制可以调整与学习IPS所在的特别环境中“正常流量”的模式。一旦正常流量被设定为基准，这些过滤机制将依据可调整的门限阀值来侦测统计异常的网络流量。对于超过“基准线”的正常网络流量，可以针对其通信协议或应用程序特性来进行警示、限制流量或阻绝流量等行动。
如此一来，IPS可以预防DDoS、未知的蠕虫、异常的应用程序流量与其他零时差闪电攻击所造成的网络断线或阻塞。此外，一些Hi-End级IPS厂家还可以依据应用程序的种类、通信协议与IP进行最合适网络流量分配。
NSS的报告更加细致，将IPS从传统的主机型（HIPS）和网络型（NIPS），进一步拓展出抗攻击型（Attack Mitigator）。与NIPS以内容为基础（Content-Based）不同，抗攻击型IPS以速率为基础（Rate-Based），将此种IPS部署在防火墙之前，为的就是快速终结DoS与DDoS攻击。
McAfee安全顾问陈纲表示，将IPS摆放在防火墙之前，主要还是出于防火墙被流量攻瘫的担忧，毕竟大多数情况下，一旦防火墙被流量冲死，就会造成网络的暂时中断。
用户应该了解的是，这样做也是有条件的：第一，用户的边界防火墙预留性能有限。根据经验，确实有少部分用户采购过自身设计优秀、且拥有大量CPU资源和内存空间的Hi-End级防火墙，对于这类用户，IPS放在哪里并无关系。
第二，用户采购的IPS产品除了有强大的吞吐能力外，产品架构、CPU资源、内存空间也都要有独到的设计。
第三，即便是再强大的设备，如果遇到集群僵尸网络攻击，一般也很难突破500万条的抵抗极限。