Check Point为我们阐释IPS的嬗变

在信息科技领域,很多概念或准则说就容易,而且大家都会十分认同,例如"统一管理比一盘散沙好"、"要尽量降低方案的TCO, 但不能影响性能表现",但做起来绝不容易,原因十居其九是不能跨越科技难度的关卡,网络安全领域中的入侵防御系统(IPS)就是一个典型例子。

Check Point 软件技术有限公司总经理刘伟表示,过往IPS被定义为,专用于网络进行入侵攻击防护的专用硬件防护设备。多年来,作为存在的核心网络执行节点,IPS的功能特性相对于响应报警,更倾向于对事件的判决处理。

显而易见,采用独立IPS设备的"单打独斗"模式有其先天缺点,例如购置及管理成本高,此外,IPS与防火墙的工作有部分重叠,导致效率下降 – 两者都是要监视来自互联网的数据流,结果是防火墙监测某个数据流后,IPS会再做一次,这自然会影响系统的表现。

既然如此,过往企业为何还是要选择"单打独斗"的IPS运作模式?主因是相对而言,IPS是一种新兴的安全技术,有些企业觉得它的发展还没有完全成熟,所以用"试水"的单个部署模式较有保障。此外,市场上固然有些厂家标榜整合IPS 方案,但企业担心这和防火墙一并使用会大幅度拖慢系统的性能。初期的集成IPS系统不少都缺乏强大性能和安全性的。大部分IPS系统也没有完全发挥其潜力。这些系统通过旁路部署,更多地被用作入侵检测系统,仅记录攻击,不提供主动防御。这种方式不仅无法提供网络保护,还会降低IPS的价值和投资回报。说到底就是整合IPS的技术底气还没有令市场信服。现在,由于IPS已成为IT安全性"例行任务"的基本组成部分,下一代IPS需要为用户提供经济高效的高级选项。

刘伟表示,近年IPS的技术发展已经登上新的台阶,整合IPS的优点已经和以前不可同日而语,例如Check Point 研发 的IPS刀片,其中一个突破点就是把IPS部署的模式从过往的实际设备保护层转为软件保护层,因而使得统一管理及维护工作变得更有效率,此外,它在安全保护、系统表现及拥有总成本方面取得非常理想的平衡,令企业能全面掌握整合IPS提供的优势。

Check Point IPS软件刀片以突破性的总拥有成本为客户带来行业领先的性能和整体安全性。作为Check Point灵活的可扩展软件刀片架构的组成部分,IPS 软件刀片以高达15 Gbps的IPS和防火墙综合吞吐量为Check Point安全网关增加了全面集成的入侵防御功能。IPS软件刀片结合了集成解决方案的部署和管理优势以及超过专用IPS 系统的性能,其总成本远远低于传统的IPS 解决方案。

可能有些用户不愿采用集成IPS,觉得将IPS集成到防火墙会削弱性能。Check Point的集成IPS解决方案通过行业领先技术,能够提供突破性的性能。其开放性能平台采用SecureXL TM、CoreXL TM和 Cluster XL三项加速技术来支撑 IPS软件刀片。这些技术共同提供高达15 Gbps的IPS和防火墙综合吞吐量。而且,集成解决方案对防火墙和IPS 功能的流量均只检查一次,从而最大限度地减少了对流量检测两次所带来的负面影响。此外,IPS软件刀片使管理员可以根据网关的CPU和内存使用情况来配置性能阈值。如果超过阈值上限,IPS刀片将自动停止运行。当资源降至阈值下限以下时,IPS刀片恢复运行,从而保证防火墙吞吐量和当前的网络操作。因此用户永远无需担心IPS软件刀片会明显拖累防火墙性能。

当然,并不是说独立的IPS设备没有用武之地。例如,在没有部署防火墙时,或者部分流量不在防火墙执行范围之内,以及IPS和防火墙功能分属于不同的网络安全组别时,独立的IPS设备都是必需的。