测试结果表明:IPS安全性能有所提高

根据独立安全测试公司——NSS实验室一份最新发布的报告指出,网络入侵防御系统的安全性能得到明显改善,不过有些技术仍然不过关。

总部位于芝加哥的NSS实验室表示,使用默认策略设置的网络安全技术的有效性从2009年以来平均提高62%。但去年性能和吞吐量下降了,一个供应商称其只实现了3%的吞吐量。一些供应商没有一定的测试,从而在防御方面留下了漏洞。

“一般来说,你拥有的签名和规则越多,安全性越高,但性能会下降,”NSS实验室的总裁Rick Moy说道,“在分析针对这些问题的解决方案时我们必须考虑以上问题。”

据该公司的第四季度网络入侵防御系统(IPS)对照组试验报告(Comparative Group Test Report),通过调整大多数系统的一个重要部分,一些供应商的默认策略设置的效率降低了31%。该公司表示,两家厂商的反逃避测试失败了,相比于2009年有一半的厂商使用模糊处理技术(obfuscation techniques)逃避检测的检测漏洞试验失败,这已经有所提高了。

当终端用户浏览一个恶意网站或者成为驾车袭击的受害者时,许多独立的IPS设备正在受到的不断上升的客户端攻击。

“发生改变的是,客户端受到的来自远程外部攻击变得越来越难以检测,因此需要使用该设备的更多资源,”Moy说道。

该公司测试的网络IPS技术来自Check Point,思科,Endace, Fortinet,IBM,Juniper,McAfee,绿盟科技,Palo Alto Networks,Sourcefire以及Stonesoft公司。NSS实验室表示,测试是独立进行的,不由任何供应商支付。产品与1170种当今的企业级攻击较量。产品的测试分为使用厂商默认设置以及“推荐”设置,然后再由产品供应商代表作调整后再测试。

NSS实验室不会将全部的结果发布。Moy表示,在只使用默认设置的测试中McAfee的M800 IPS设备具有最高的整体阻击率,随后是Checkpoint的Power-1设备。当加入微调(tuning,一个对于提高系统性能非常关键的程序)后,Sourcefire的3D 4500和CheckPoint的Power-1设备拥有最高的可实现阻击率。

微调(Tuning)对企业来说是个非常重要的问题,因为某些政策规则可能会导致误报和有效交通阻塞,Moy说道。同时,因为网络安全专业人员经常不得不每个月进行一次设备微调(device tuning),所以它的成本很高。

“它不是一个‘一次设置,终身无忧’的设备,”Moy说道,“当新的IPS出现时,你必须测试以确保它不会阻止合法的流量进入你的网络,尤其是一些自定义的应用程序。”