為企業網路部署第二道安全防線，你考慮好了嗎？

一道防火牆防線之不足
我們知道，防火牆是通過執行由網管人員設定之預先定義的原則，作為決定允許或拒絕流量的標準。策略則是由各種準則，包括每個通訊的來源、目的地和協定的「接受」和「拒絕」等規則共同組成。多數防火牆都支援一定數量的應用協定，如SMTP、FTP、HTTP和DNS，以便在將不安全流量拒於門外的同時，確保不致破壞了企業原有的網際網路應用。 但是，對於攻擊者而言，濫用合法流量攻擊企業網路的手段不勝枚舉。實際上，上述標準協定本身存在的種種漏洞，已使得防火牆無法探知其合法性。因此，對於防火牆認為「合法」的流量，其中可能包含令企業網路處於危險境地的潛在威脅。如果一個特洛伊木馬病毒隱藏在看似合法的SMTP流量中，並且隨時準備對企業關鍵資料發起攻擊，那後果將不堪設想。單從目前防火牆功能性來說，它還不能保護企業網路免受所有這些威脅的攻擊。因此，我們需要對網路建構多層次的防護體系，以確保關鍵資產不受損害。
更多層次的防護
為了建立更多層次的安全防護，企業需要部署適當的解決方案，防止隱藏在網路流量中所有類型攻擊的入侵。一般做法如下，但成效則各有不同：
增加人力資源
增加人力配置以處理來自眾多網路設備的大量記錄，並將資訊串聯以辨認出潛在攻擊，並逐一清查，以便執行適當回應。
部署簡單的流量監控設備
對網路流量進行掃描，並將可疑流量報告給網管人員。這種方法同樣需要大量的人力資源，以便調查由可疑網路封包所觸發的每個警訊的真實性、確定警訊的相關性，然後通過手動方式執行回應，從入侵攻擊中修復。
部署入侵偵測與防護設備
這種設備不僅能監控網路流量，還能檢測出嵌在流量中的攻擊，並在檢測過程中主動丟棄惡意封包或連接，使攻擊永遠不能達成目標，從而達到保護網路之目的。
由於企業知識產權和業務關鍵資料是最怕受到攻擊的，因此瞭解和選擇適合企業特定需求的解決方案具有戰略意義。企業可考慮選擇入侵偵測與防護方案，做為第二層的安全保護。

選擇入侵偵測與防護系統的六項準則
資訊安全系統能夠保護企業免受重大安全威脅和財務損失，然而，企業的生存更加重要。企業在選擇和部署網路安全解決方案時，必然要考慮成本效益的因素，因此找出一個利益的平衡點尤為重要。為有效評估一個入侵偵測與防護系統，我們首先將評估標準劃分為六個面向，並解釋每個面向對解決方案整體性能的影響。
一、針對各種類型的網路攻擊提供全面保護
對於任何安全系統而言，一個由入侵偵測與防護系統提供的全面保護應該要能準確地識別威脅並有效確保網路安全。但是，許多產品在這方面先天不足。網路流量固有的複雜性，包括網路層的大量協定 (IP、TCP、UDP、ICMP等) 和應用層的大量協定 (HTTP、FTP、SMTP、DNS、POP3、IMAP等)，這些都為攻擊者提供了無數可供利用的漏洞。除了這種固有的複雜性外，攻擊者還可以採取不同的形式和手段，並隨意選擇攻擊時間進行攻擊。如果系統不支援其中的一種協定或攻擊類型，它就會忽略並遺漏攻擊，從而使企業網路及其寶貴的企業資料處於失去保護的狀態。為了對付攻擊者，安全設備必須能夠處理並保護所有類型的流量和潛在攻擊。
二、確保高度的準確性
準確性是高質量、高效率入侵偵測與防護系統的關鍵。要實現高度的準確性，系統必須能夠跟蹤所有網路通訊、理解每個通訊的意圖，然後以攻擊企圖的準確證據為基礎做出安全決策。如果系統準確性不夠，就可能偵測不到攻擊，而合法流量也可能會被當作攻擊行為而發出警訊。攻擊未被檢測出來是最危險的情況，因為這意味著網路非常易於受到攻擊，而且網管人員必須從一開始就推斷發生了什麼狀況。如果誤報數量令網管人員應接不暇，甚至超過了真實數量，那將會更加不利。因為我們不得不浪費寶貴的時間找出誤報，同時網管員對系統的信任度也會隨之下降。系統應該非常可靠，並且要能夠準確偵測出網路中的所有攻擊。
三、提供高效能的流量處理能力
高效能的資料處理能力是一個成功的入侵偵測與防護系統所應具備的另一要素。它將確保系統的所有功能都能發揮得淋漓盡致。系統必須迅速處理流量、立即做出安全決策，並及時向網管人員提交該資訊，從而確保隨時都能得到系統的即時狀況。防護系統如果動作遲緩，跟不上網路通訊的速度，就有可能遺漏攻擊，增加了企業網路的危險性。另外，管理員還應能夠為設備選擇適當的性能級別，以滿足網路需求，並確保包括快速乙太網和千兆網段在內的高頻寬環境都能獲得保護。設備要以最佳方式運行，以便網管人員在任何時間都能明確瞭解網路上發生的情況。
四、毫無遲滯地阻止攻擊
入侵偵測與防護系統是否能阻止攻擊到達目標是其防護能力的評價基礎。如果一個入侵檢測系統需要其他系統才能阻止攻擊，難免會有通報後才處理的時間落差。但事實是：許多入侵檢測產品卻只能做到這樣，也就是說只能發送指令到防火牆甚至是攻擊目標本身，讓他們終止攻擊。因此這些防護機制可能是在攻擊已經到達目標之後才發揮作用，或是即使成功檢測到了攻擊，也需要網管人員手動調整才能執行阻止攻擊。種種其況可能延遲防護的執行。若能在檢測進行中主動阻止攻擊，並丟棄惡意封包，便可確保攻擊無法達成其目標，確保企業網路和關鍵資料萬無一失。
五、使用簡易性
入侵偵測與防護系統的易用性可以直接解釋為更高的可控性和安全性。如果系統使網管員能夠快速查看相關的關鍵資訊並做出相對應調整，網管人員就能確保網路不會受到最新威脅的攻擊，並且可以確保最新的安全政策有效。如果設備難以著手，網管人員就不得不花費額外時間查詢資訊，以便能夠做出相關回應。對於安全解決方案來說，重要的是除了能為最關鍵的事件類型提供快速的總結報告，並能迅速追溯原始資料以便進行分析個別事件。如果能夠以直觀的方式為網管人員提供細部化的控制層次，這不僅可以確保系統滿足公司特定的安全需求，還可以減少所需的時間和資源浪費。
六、簡單的安裝和維護
對於今天高度分散化的國際企業來說，入侵偵測防護產品在安裝與維護方面既要輕鬆簡單，又要能夠節約成本。企業不可能每次更改企業的安全政策，或者是檢測到新式攻擊後，花費大量時間和資源更新企業網路中的每一台設備。快速的系統安裝及安全政策定義，以及由中心站點便可輕鬆完成的全球化更新，都可以確保分散於世界各地的企業IT團隊能夠對系統和網路有一個全面、即時的掌握。 針對以上的六項準則，以下附表為企業採購時需考量的快速檢查清單，提供一個評估解決方案優劣的框架。評估人員可以根據這些問題選項條列各個安全解決方案的特徵和功能性，以便使企業能夠對這些產品進行比較，從而挑選出最能滿足企業需要的最佳方案。

(本文作者現職為 NetScreen亞太區高級市場總監)