4.2 UTM中的入侵防御功能与专业IPS的关系
在UTM设备出现的时候,也出现了入侵防御系统(IPS)这种设备形态。那么,UTM设备中的入侵防御功能与专门的入侵防御之间是什么关系呢?
4.2.1 从位置看区别
具备入侵防御功能的设备通常部署在两个位置:服务器前或网络出口。UTM设备部署在网络出口位置,其入侵防御功能通常是防御木马、蠕虫、网络滥用及针对常见操作系统底层的溢出攻击。而专业的IPS设备通常部署在服务器前,主要是保护Web业务、数据库业务等,重点是针对SQL注入、跨站脚本攻击、应用层DDoS攻击等威胁进行防御。从部署位置上可以看出,UTM中的入侵防御功能与专业的IPS设备是相互补充的。
4.2.2 从保护对象看区别
UTM部署在网络出口位置,保护目标是网络,网络是主机、服务器、网络设备的动态集合,这个保护目标并不明确;因此,UTM的入侵防御功能主要针对普适的、面向基础操作系统或软件的攻击进行检测和防御。而专业的IPS设备部署在服务器前,主要是保护Web业务、数据库业务等,保护对象非常明确,这类IPS设备的发展重点就是解决用户的业务安全,包括针对SQL注入、跨站脚本攻击、应用层DDoS攻击等威胁进行防御。也就是说,由于UTM设备的保护对象不明确,因此其入侵防御功能面向系统安全(防御溢出攻击)及连接安全(阻断木马连接);而专业的IPS设备由于保护对象非常明确,因此主要面向业务安全(We b业务、数据库业务等)。
4.2.3 从发展趋势看区别
对于UTM设备,目前业界已经有了较为明确、公认的定义,而IPS产品的定义则很不统一。部分设备商的IPS实际上更接近于UTM,除了入侵防御功能,还具备防火墙、VPN甚至防病毒的功能,这部分IPS设备会逐步过渡到UTM市场中,趋于融合,最终形成规模较大的UTM市场。而另外一些设备商,特别是技术实力较为领先的厂商,则认为IPS应该专精于业务安全,致力于深入的入侵研究,研发专业化的IPS设备,不追求大而全。从长远来看,IPS设备会逐渐聚焦Web业务安全,与UTM中的入侵防御功能有明显的区别,走向不同的位置,实现不同的价值。