内容摘要:如今的入侵检测系统(IDS)实现的是被动监视功能,而入侵保护系统(IPS)能够进行实时监控,具备智能处理功能,可以主动阻截和转发数据包。Gartner也预测,将来的市场属于IPS。现在,市场人员也纷纷拾起IPS这个时髦词汇并为之奔走。就像当年的VPN大潮,每个与virtualization或privacy相关的产品都打上VPN的标签。如今,各式各样的IPS产品开始涌向市场。
IPS性能测试待完善
对于任何一种网络产品,我们不可能不关心它的性能,IPS也如此。问题在于我们如何科学地评价它的性能。在没有拿出合理的测试方案前,对IPS产品进行性能的评比很可能是不公平的。
如今的入侵检测系统(IDS)实现的是被动监视功能,而入侵保护系统(IPS)能够进行实时监控,具备智能处理功能,可以主动阻截和转发数据包。Gartner也预测,将来的市场属于IPS。现在,市场人员也纷纷拾起IPS这个时髦词汇并为之奔走。就像当年的VPN大潮,每个与virtualization或privacy相关的产品都打上VPN的标签。如今,各式各样的IPS产品开始涌向市场。
前一段时间,美国《Network World》对市场上的11款IPS产品进行了评测。但并没有对各个产品的性能进行测试,这种做法引起了我们的注意。我们将他们针对这一问题的解释翻译出来,希望对您有所启发。
先来看看他们是如何测试这些IPS产品的。
如何测试?
测试者将参测IPS设备分别放到位于不同城市的真实的网络环境中。选择的受保护系统是惠普的ProLiant DL330服务器,运行未加补丁的Unix和Windows操作系统,还有一台运行V11.3版IOS的Cisco路由器。这些设备都被放入洛杉矶和圣荷塞的数据中心。每个受保护系统都有一个IPS设备加以保护,并与数据中心中的其他流量共存。
接下来,他们设置了各个IPS设备的功能。测试者的原则是尽可能多地使用这些设备的功能,从而为系统提供最优的保护。尝试使用设备每一种特性,比如扫描和签名等。此外,测试者还定义了自己的白名单和黑名单地址及服务,并将其置入每一台设备,还开启设备的阻断功能(如果该产品支持这一功能的话)。
当那些不可避免的攻击真正出现时,测试者对报警和监视机制进行了分析。观察这些产品能够监测到哪些流量,它们在阻断数据流时表现出的能力和灵活性是怎样的,以及它们的管理系统如何支持各种真实的网络拓扑。
责编:豆豆技术应用