入侵检测产品比较(2)

　　10.NFR公司的Intrusion Detection Appliance 4.0

　　NFR是提出开放源代码概念的唯一IDS厂商，这是它能够不断普及的最重要原因。NFR通过NFR“研究版”免费发布它早期版本的源代码，尽管正式版与研究版相比进行了许多修改，但是后者仍然能提供一个完整的IDS方案。

　　在IDA 4.0中，NFR已经解决了它在管理工具和签名设置方面的种种不足。程序采用一个基于Win32的GUI管理工具来取代原来基于Java的工具，因为基于Java的管理工具由于浏览器的Java实现不连续会经常崩溃。新的管理GUI为管理员提供了一个简单的方法来配置和监视部署的NFR传感器，但事件清除仍然是一件费力的事情。

　　管理员只能得到单行的攻击描述，对攻击数据进行翻页操作非常麻烦。如果用户对常用攻击方式的表达不是很熟悉的话，就不得不经常需要参考手册的帮助。

　　另一个问题是NFR一直缺乏一个可靠的签名集。虽然通过使用NFR内置的过滤脚本n-code，用户可以编写自己的签名，然而很少有哪一个公司有时间或资源这样做。为了帮助解决这个问题，NFR已经与L0pht Heavy Industries(www.l0pht.com)合作来产生攻击签名集。L0pht提供了300多个签名，并且还将提供另外数百个签名。不过这次我们只能测试其中的一小部分。这次测试的签名工作得很好，但是RealSecure和NetRanger有大得多的攻击签名集。只有NFR发布了完整的签名集以后，IDA才会成为一个真正强有力的产品。

　　NFR是一个非常有用的网络监视和报告工具：除了入侵检测外，NFR还允许用户收集通过网络的Telnet、Ftp和Web数据。这个功能看似不起眼，但它对于那些想拥有这类集中化信息（尤其是当跨越多个平台时）的用户来讲却非常有用。