企业入侵防护的十种极佳方法

在保护企业至关重要的服务器不受攻击方面，IT和网络安全经理面临着众多的挑战。缺少专用的安全资源和越来越先进的攻击方式是最令人头疼的两个问题。尽管在过去，入侵检测系统（IDS）是一种受到企业欢迎的解决方案，它还是不足以阻断当今互联网中不断发展的攻击。入侵检测系统的一个主要问题是它不会主动在攻击发生前阻断它们。同时，许多入侵检测系统基于签名，所以它们不能检测到新的攻击或老式攻击的变形，它们也不能对加密流量中的攻击进行检测。

那么，企业还有什么选择呢？入侵防护系统是企业安全的下一步合理步骤。它不仅可进行检测，还能在攻击造成损坏前阻断它们，从而将入侵检测系统提升到一个新水平。这两种技术间的区别是企业管理人员已经非常熟悉的：入侵防护阻断了红色代码、尼姆达和SQL Slammer，而入侵检测系统用户在这每一次攻击后都需花费数百万美元进行清毒工作。

目前市场上有许多种产品和工具在使用“防护”的名称。真正的入侵防护解决方案可使您不必进行分析即可采取措施保护系统；同时，它可防止攻击对您的操作系统、应用程序和数据造成损坏。通过使用一种系统来主动预防攻击，最后采取措施阻断此攻击的间断。同时，对于安装软件补丁以在操作系统和应用程序中堵塞漏洞，并阻断类似蠕虫病毒和缓冲区溢出等攻击方面，入侵防护可帮助企业更好地控制这一高成本和费时的过程。美国网络联盟作为入侵防护解决方案的领先供应商，率先打起了入侵防护的旗帜。美国网络联盟认为，一个理想的入侵防护解决方案应该包括以下特点：

● 主动、实时预防攻击。真正的解决方案应该提供对攻击的实时预防和分析。它应该在任何未授权活动开始前找出攻击，并防止它进入重要的服务器资源。

● 补丁等待保护。补丁管理是一个复杂的过程。在补丁被开发和安装之间，聪明的黑客会对服务器和重要数据造成破坏，优秀的入侵防护解决方案可为系统管理员提供补丁等待期内的保护和足够的时间，以测试并安装补丁。

● 保护每个重要的服务器。服务器中有最敏感的企业数据，是大多数黑客攻击的主要目标。所以，拥有专门为服务器保护订制的入侵防护解决方案十分重要。目前，市场上有许多解决方案在为服务器和桌面机使用同样的保护方法，并想成为“最完美”的保护方法。其结果就是不能恰当保护敏感的系统和数据的拙劣技术。

● 签名和行为规则。检测入侵极有效的方法是采取混合方式，即整合针对具体攻击的签名和行为规则的力量。这一混合方式可提供已知和未知攻击保护，而同时将误报率保持在最低，从而无须做出任何损失性让步。这两种技术都不能互相替代：行为规则可保护服务器不受新式和以前未知的攻击。但行为规则方式的覆盖十分有限，许多攻击都没有包括在其中，且会产生更多的误报。为获得全面的取证能力，探测攻击就必须使用签名方式，因此，安全经理能够了解攻击他们系统的攻击的类型。

● 层。强大的安全都是基于深度防御的概念：拥有几层保护。应该具有冗余机制，因此，当攻击通过一层阻挡时，总有其它的阻挡在等待它们。

● 多种环境同时保护。使用不同电脑环境的企业需要确保选择的入侵防护在所有重要的服务器中保持一致。它也可进行连贯、可靠的跨平台保护。

● 可管理性。理想的入侵防护解决方案可使安全设置和政策被各种应用程序、用户组和代理程序利用，从而降低安装并维护大型安全产品的成本。

● 可升级。企业级入侵防护解决方案必须可升级，以满足企业不断发展的需求，而同时保持最高水平的安全。可升级性体现在可支持众多受保护的服务器、支持大流量和支持分散型安全管理，以满足大型分散式企业的需求。

● 低总体拥有成本。您所投资的系统最好能降低监控和管理全部服务器安全的成本。要确保您所考虑的系统可向您证明能够降低花费在清毒、补丁和监控等上的时间。

● 经验证的预防技术。要小心使用“预防”这一词，但实际上是基于检测的产品、或披着新包装的桌面机解决方案。要调查您所要选择的解决方案是否在与你们类似的环境中经过充分测试、使用并在受到持续不断地维护，这一点很重要。阅读一下他们的案例说明、询问问题、作比较。

McAfee IntruShield是美国网络联盟McAfee入侵防护解决方案中的网络入侵防护专家，具有高度自动、易于管理且有很大的灵活性，可分阶段实施安装，从而避免当今原有入侵检测系统不可避免的误报，可使客户能够制定正确的政策以在他们独特的IT基础架构中阻断攻击。IntruShield速度超群，甚至在千兆网络中也可非常快速地扫描流量并评估威胁等级。它可应用于关键核心资源边缘或在核心之前。IntruShield可同时满足安全及网络管理员的需求，因为它可阻断范围极广的网络攻击，而同时造成的网络等待时间却小于1毫秒。

(责任编辑：赵纪雷)