漏洞过滤:虚拟软件修复包
漏洞过滤用来侦测和阻隔违反应用协议或满足某种情况比如触动了某个应用配置缺陷(比如,异常的缓冲溢出应用)。
创建漏洞过滤的难度体现在三方面。首先,过滤必须避免误报,因为阻隔合法的流量会造成拒绝式服务阻塞。第二,过滤必须能够抵抗隐蔽技术,因为一个漏过的攻击会对网络造成损害。第三,也是最重要的,侦测引擎必须有足够的能力来符合必要的测试标准,同时能嵌入式地工作在实际的网速和延迟中。TippingPoint威胁抑制引擎就是为了达到这些要求而设计的。
低效率、软件支持的引擎常常不得不事先就放弃准确的漏洞过滤以支持更简单的特定规则类别的过滤。更简单的过滤使引擎的工作性能负担降到最低,同时也增加了误报的可能性。从总体上来说,引擎效率越低,IPS过滤就越有可能在两种情况下只做到一件事情,即要在配置简单的过滤并达到令人可以接受的性能,或在假设过滤逻辑能被完全支持的情况下,配置精准的过滤但性能却令人无法接受两者中作出选择。有些厂商试图通过配置将引擎的计算能力推到极限的过滤逻辑,然后再通过对每个站点不同的IPS配置和调节来解决各个用户的性能问题,以此来避免这种选择。
为了一套IPS能提供更广阔的现实应用价值,而设备必须同时在各条战线上表现完好。也就是说,IPS必须配备高准确度的漏洞过滤,必须能够使完整的过滤集在高负荷的千兆网络下发挥效应(没有掉包现象),并且能够在无需管理者去执行那些单调的调节和配置任务的情况下完成有用的虚拟修补功能。
需要获得更多信息,请下载我们的白皮书:漏洞过滤科学:虚拟软件修复包.
