主流网络产品入侵检测产品比较(6)

九、Network Ice公司的BlackIce Defender and Enterprise Icepac 1.0
    Network Ice公司的BlackIce Defender是将基于主机和基于网络的检测技术结合起来并用于Windows系统的产品。在安装BlackIce时，没有留下特别的印象：管理接口相当麻烦，配置选择也不是很多。然而BalckIce执行起来非常好，能够进行碎片重组。
BlackIce能够检测较多攻击并且当网络负载很饱和时仍然能够胜任。该公司声称提供了200多个攻击签名，BlackIce要比许多其他基于网络的入侵检测产品表现的好。
但BlackIce的报告机制还不太令人满意。基于Web的工具难于使用，通信未加密就通过HTTP在线路上进行传输，而RealSecure和Dragon对所有从传感器到控制台的通信都进行加密。
    BlackIce还提供一个被称为Black Track的服务，这对于一些企业是十分有用的，但它对于想隐蔽地进行入侵检测的用户来讲很不适用。Black Trace 通过发起NetBIOS和DNS反向查询来收集敌对主机信息。幸运的是，与NetProwler不一样，BlackIce允许用户自己禁止这些查询。
    BlackIce的一个有趣特性是它可以作为一个个人IDS和防火墙的组合方案。BlackIce能关闭它检测到产生敌意操作的所有网络。
那些想保证自己的移动用户安全的公司可能对BlackIce 特别感兴趣。它的个人防火墙特性可以允许网络管理员扩展一些更高级别的安全保护。而它的价格只有大约40美元，是相当物有所值的产品。
十、NFR公司的Intrusion Detection Appliance 4.0
    NFR是提出开放源代码概念的唯一IDS厂商，这是它能够不断普及的最重要原因。NFR通过NFR“研究版”免费发布它早期版本的源代码，尽管正式版与研究版相比进行了许多修改，但是后者仍然能提供一个完整的IDS方案。
    在IDA 4.0中，NFR已经解决了它在管理工具和签名设置方面的种种不足。程序采用一个基于Win32的GUI管理工具来取代原来基于Java的工具，因为基于Java的管理工具由于浏览器的Java实现不连续会经常崩溃。新的管理GUI为管理员提供了一个简单的方法来配置和监视部署的NFR传感器，但事件清除仍然是一件费力的事情。
    管理员只能得到单行的攻击描述，对攻击数据进行翻页操作非常麻烦。如果用户对常用攻击方式的表达不是很熟悉的话，就不得不经常需要参考手册的帮助。
    另一个问题是NFR一直缺乏一个可靠的签名集。虽然通过使用NFR内置的过滤脚本n-code，用户可以编写自己的签名，然而很少有哪一个公司有时间或资源这样做。为了帮助解决这个问题，NFR已经与L0pht Heavy Industries(www.l0pht.com)合作来产生攻击签名集。L0pht提供了300多个签名，并且还将提供另外数百个签名。不过这次我们只能测试其中的一小部分。这次测试的签名工作得很好，但是RealSecure和NetRanger有大得多的攻击签名集。只有NFR发布了完整的签名集以后，IDA才会成为一个真正强有力的产品。
    NFR是一个非常有用的网络监视和报告工具：除了入侵检测外，NFR还允许用户收集通过网络的Telnet、Ftp和Web数据。这个功能看似不起眼，但它对于那些想拥有这类集中化信息（尤其是当跨越多个平台时）的用户来讲却非常有用。