现在IDS有必要做么,是不是淘汰了?该做IPS?
IDS系统、网络漏洞扫描系统还有IPS系统哪家做的比较好?请了解的帮推荐,谢谢!
[ 本帖最后由 chinaunix_li 于 2007-4-6 10:28 编辑 ]
ayazero 回复于:2007-04-05 17:15:34
宁愿用IDS也不用IPS
lovgate 回复于:2007-04-05 17:37:39
楼上的兄弟为何这么说?
不妨说出来交流交流
黑胡子 回复于:2007-04-06 03:55:02
-_-;;;看了介绍好像ips更优秀啊 顶上去
[ 本帖最后由 黑胡子 于 2007-4-6 03:57 编辑 ]
chinaunix_li 回复于:2007-04-06 10:14:48
引用:原帖由 ayazero 于 2007-4-5 17:15 发表
宁愿用IDS也不用IPS
WHY?
听说IPS具备IDS和网络漏洞扫描两个功能。
不知道是否正确?
[ 本帖最后由 chinaunix_li 于 2007-4-6 10:18 编辑 ]
linkboy 回复于:2007-04-06 10:15:50
在特殊环境下坚决不串联设备
Tiger_cn 回复于:2007-04-06 11:29:58
对版主都是非常敬仰啊
caicai 回复于:2007-04-06 15:10:17
引用:原帖由 chinaunix_li 于 2007-4-6 10:14 发表
WHY?
听说IPS具备IDS和网络漏洞扫描两个功能。
不知道是否正确?
IPS系统有扫描功能?不会吧
green21cn 回复于:2007-04-10 09:51:43
IPS有多种工作模式,如果出现断电等异常状况,可以直接切换到bypass,楼上的担忧就不存在了。
小N哥哥 回复于:2007-04-10 20:09:44
感覺這些都是還是不是很適用
xuediao 回复于:2007-04-11 10:45:28
偶所在team就是搞IPS的。偶觉得现在IPS还是比较适用一些,现在好像国外的产品也多数倾向于搞这个。不过国内企业如华为现在也打算做做IDS。 所以嘛,IDS也不能算淘汰。呵呵。
pcbean 回复于:2007-04-11 15:05:19
bb 说的有一定道理....ids 跟 ips 的误报都看见了吧?...
想想..............
ayazero 回复于:2007-04-12 14:20:21
IPS如何实现IPS的功能?
作为一个串联设备,7层协议解包,payload和(>1000)条规则进行hash匹配,延迟能让客户端觉得可以接受,什么误报漏报也就别提了,就这样的设备能够一直工作我就挺怀疑的
我觉得以现在的并行处理能力无论是X86还是ASIC抑或是NP架构都难以达到,其实IPS就是个噱头
还有那个UTM,可能处理速度会比IPS好一点,但是我也极力不推荐
如果一定要买IPS,只推一个产品,ISS的($非常贵),其他的一律无视!如果这个东西上架后测试不行,那就把IPS这个名词直接划掉吧,就当没有这个东西好了
取而代之,解决问题的根源,客户端的问题应该在客户端解决,而不是一味着想着在GW处解决,
在GW仍采用传统的FW+并联IDS,内部可采用AD(域管理)+AV(防病毒、或HIPS企业版)+NAC(网络接入控制、身份认证)+WSUS(SMS)+终端管理(比AD强,钱多可以买)+(交换机)安全域划分+参考BS7799拟定管理制度……
有钱还可买个漏洞扫描(好听一点叫漏洞管理)
其实HIPS倒是可行的,把计算负载分散到终端,企业版就可以,当然上面的并非全要,终端管理是可选的
还有在当前的安全趋势下,想通过网关设备一劳永逸是根本不切实际的
最后,不要听那些厂商的人吓忽悠,80%以上的人根本不懂安全,说起来这个行业真可怜,对人的要求高了点
独孤九贱 回复于:2007-04-13 10:51:14
引用:原帖由 ayazero 于 2007-4-12 14:20 发表
IPS如何实现IPS的功能?
作为一个串联设备,7层协议解包,payload和(>1000)条规则进行hash匹配,延迟能让客户端觉得可以接受,什么误报漏报也就别提了,就这样的设备能够一直工作我就挺怀疑的
我觉得以 ...
楼上的实乃兄弟肺腑之言……
黑胡子 回复于:2007-04-14 05:16:04
斑竹终于给出回答了
真是牛啊
cisp 回复于:2007-04-14 16:03:08
UTM一般对于小用户比较合适,毕竟集成了那么多功能,蛋都放到一个篮子里,没精力看过来的话,很危险的。大中型网络里,对于安全都是分布式部署的,避免安全设备成为新的安全隐患。
至于IPS,国内的不敢用,原因就摆在那里,硬件研发的落后,我看过人家论坛上说的某个产品,不开策略100M吞吐,开了IPS功能,3M! 国外的,人家推荐的牌子倒是和斑竹的不一样,是TIPPOINT的,据说是拿到了NSS IPS系列的唯一金奖,不过价格也奇贵。我问过吞吐量在1G的,价格差不多要90W,400M的要60万。基本上属于普通人用不起的。事实上人家宣传的案例里好多都是跨国公司,微软,沃尔马之流的,呵呵
chinaunix_li 回复于:2007-04-14 21:52:04
谢谢以上热心朋友答复,使我有个大体了解。
wansion 回复于:2007-04-24 14:55:03
好久不谈技术了,我是觉得各取所需,考虑投入产出原则,IDS也好,IPS也好,甚或是IPs、UTM看企来的需求了,我所见过的企业,电信的,把FW的所有功能关掉,只用来作NAT的也有,因为NS的NAT功能太强了,ASIC厉害,也有的就是统一上一个UTM,在UTM里甚至要作垃圾邮件过滤,当然是对带宽和CPU资源的极大浪费,但他不看重稳定性,速度什么的,所以也是一种实现方法,另外现在基本上IDS和IPs是一体的,布署方式不同,名称也就不一样了,甚至于IPS、IDP、UTM我觉得也差不多是一会事,只是取了一个不一样我名字,功能销有差别而已,至于品牌,我素来不信评测,花钱搞出来的,自己也作过很多,只信口碑,推荐Netscreen,ISS(IBM),Checkpoint。
bati 回复于:2007-04-25 00:35:39
IPS?UTM?
统一真的好么?
从社会分工的角度来说,我们有刑警,片儿警,缉毒警,还有航空警察,交通警察等等,各自也有不同的管辖范围和职责没说警察包打天下吧。
安全我想也是这个道理,毕竟社会建制发展了这么多年,那么多社会学家,政治家等等,我想他们智力也不比现在搞安全的人低多少吧,为啥也没找到统一的方案呢?
IPS--->误报了怎么办?别说你的系统0误报,测试优化都会做。
UTM--->试试看功能全开是个啥结果,有人说这个给中小企业用的,我就不懂那么多厂商忽悠千兆、万兆产品个什么劲儿?
源方 回复于:2007-04-27 16:08:29
关键是ips国内做的都不太好。主要靠吹,呵呵
ids相对要成熟
benz-popor 回复于:2007-04-28 10:33:13
说的有道理,但有时还是要支持国产的
good白芷 回复于:2007-04-29 16:41:41
IPS这个东西,不管怎么吹得天花乱坠,总觉得就是个串连的ids而已。
退一万步讲,就算不考虑误报,不考虑7层解包带来的延迟,
ips比ids+fw能好到哪里?
但是价格么,就贵的不是一点两点啊
chinaunix_li 回复于:2007-04-29 17:03:31
谢谢以上热心朋友答复
FireR2 回复于:2007-05-07 20:20:25
做技术的话,从Firewall/IDS开始就完全可以了。
pcbean 回复于:2007-05-10 08:45:03
实际上线到你的网络测试 才能最终让你感觉这款产品是否合适你.是否合适这个网络.
所谓的争论在任何实际应用面前就是比较无力的
lovgate 回复于:2007-05-17 17:58:41
引用:原帖由 ayazero 于 2007-4-12 14:20 发表
IPS如何实现IPS的功能?
作为一个串联设备,7层协议解包,payload和(>1000)条规则进行hash匹配,延迟能让客户端觉得可以接受,什么误报漏报也就别提了,就这样的设备能够一直工作我就挺怀疑的
我觉得以 ...
兄弟你这样说是不是太过激了一点哟,ISS目前通过二项国际认证,ICSA与NSS.同时有这二个认证的目前全球有三家!broadweb tpprint iss这三家,broadweb是第一家通过这个认证的,这不是吹的,是可以查到的,目前我们开发二个IPS的蕊片,一颗我们自己在用,一颗卖给CISCO,所说的延时是小于或者等于30微秒,非常的小,根本不会让用户感到用这个设备会影响你现在的网络速度!误报。无可否认任何一台设备都有误报,但是我们的产品在全球销售,是经的起用户考验的,如果那位兄弟有兴趣或者有这需要,我们可以免费给您们测试!
我相信是金子放在哪儿都会发光
wuqing21nian 回复于:2007-05-25 23:50:32
有了IPS干吗还选IDS,除非运营商等超大流量的骨干网不能串联设备影响速度.
我们小区用的绿盟的IPS 型号600P,用上之后玩游戏变稳定了,征途等不会掉线了.哈哈
小区同时有3000台左右电脑上网.感觉IPS性能还是很好的.
bingosek 回复于:2007-05-26 15:26:27
我在项目设计上从来不考虑IPS,原因很简单,误动作怎么办?
就算IPS能够省一些人力工夫,但是误动作是把业务系统切断了怎么办?
我在标书上写上误动作的赔偿条款,那个厂商敢过来响应?
lovgate 回复于:2007-05-28 22:11:23
我想楼上的兄弟的担心应该是不必要的!要么就是连不通,要不就是连的通,不可能正在使用的时候突然把连接中断的,另外现在的IPS的延时速度已经非常低了,就拿我们的产品来讲,已经小于等于30微秒了,在电信方面我们也有客户,不会影响用户本来的网络速度!
ayazero 回复于:2007-05-29 09:17:48
除了核心R&D之外,销售和工程师说的话可以无视,那些数据仅仅是表面文章而已,就像现在液晶电视都标什么<8ms延迟之类的,其实哪有
shdnzwy 回复于:2007-05-30 12:07:57
学习了……顶顶……看不太明白……
heiheijian 回复于:2007-05-31 15:11:38
引用:原帖由 ayazero 于 2007-4-12 14:20 发表
IPS如何实现IPS的功能?
作为一个串联设备,7层协议解包,payload和(>1000)条规则进行hash匹配,延迟能让客户端觉得可以接受,什么误报漏报也就别提了,就这样的设备能够一直工作我就挺怀疑的
我觉得以 ...
我目前正在搞一个内网安全的方案,些信息太有价值了``
有机会指导下小弟```
duanjigang 回复于:2007-06-26 16:47:52
IDS又有几个能做好昵,现在又追求IPS了,好高骛远
|
