论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 45 篇帖子 ]  前往页数 上一页  1, 2, 3  下一页
作者 内容
 文章标题 : How we tested IPS systems
帖子发表于 : 2007-04-13 09:20 
离线
初级用户

注册: 2004-02-17 16:51
最近: 2013-05-22 17:36
拥有: 430.00 安全币

奖励: 0 安全币
在线: 2261 点
帖子: 58
How we tested IPS systems

Clear Choice Tests By David Newman, Joel Snyder, Network World, 09/11/06

To test IPS performance, we constructed a test bed that offered traffic at multigigabit rates (see diagram). Two Spirent ThreatEx 2500 appliances offered various exploits, while two Spirent Avalanche 2500 and two Spirent Reflector 2500 appliances offered a combination of benign Web, e-mail, FTP, and DNS traffic.

All IPS systems operated in simple layer-2 bridging mode and thus were transparent to other nodes on the network. The only IP addressing used by the IPS systems was for out-of-band management ports on the sensor and/or on a separate management station.

To force traffic through an IPS, we set up untagged virtual LANs on two switches, and we attached all unprotected-side ports into one switch and all protected-side ports into the other. Because the IPS was the only bridging device on the test bed, it was the only path available between the unprotected and protected sides. Many IPS systems offered multiple pairs of bridge ports; for these, we configured multiple sets of VLANs on either switch.

Our performance tests measured the effects on benign traffic through each IPS while it also dealt with various exploits.

Using Spirent Avalanche traffic generators, we began with a baseline test involving a mix of TCP traffic types (along with a small amount of UDP-based DNS traffic) and measured forwarding rate and HTTP page response time. The TCP tests involved 1,500 concurrent users all asking for a mix of HTTP, FTP, SMTP, POP3 and a small amount of DNS over UDP.

Page 2 of 2

We then repeated the test using attack traffic from the Spirent ThreatEx appliances, offered at 1, 4 and 16% of the average packet rate from the baseline test. An ideal device shouldn’t have varied at all from the baseline; it should have dropped all attack traffic while forwarding benign traffic at the same rate as in the baseline.

For UDP testing, we used a Spirent SmartBits running TRT Interactive to generate 64-, 512- and 1,518-byte frames, the minimum, average and maximum lengths found in Ethernet. For each frame length, we determined throughput and average latency in a baseline test. As in the TCP tests, we then repeated the tests with varying levels of attack traffic.

Because UDP doesn’t control its own rate the way TCP does, we reduced the offered load for UDP by the rate of attack traffic to avoid any oversubscription. For example, if the UDP throughput was 100 packets per second (pps), and we attacked at 1%, we’d reduce the offered load to 99 pps. As in the TCP tests, we combined benign UDP traffic with exploits offered at 1, 4 and 16% of the UDP throughput rate


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Can anyone stop the Cisco exploit?
帖子发表于 : 2007-04-13 09:21 
离线
初级用户

注册: 2004-02-17 16:51
最近: 2013-05-22 17:36
拥有: 430.00 安全币

奖励: 0 安全币
在线: 2261 点
帖子: 58
Can anyone stop the Cisco exploit?
SNMP issue gives IPS vendors tested the most headaches.

Clear Choice Tests By David Newman, Joel Snyder, Network World, 09/11/06

Of the three chosen exploits, the one involving SNMP gave our IPS vendors the most trouble, though we ran into problems with all three of them on some devices.

The SNMP exploit is a simple one. Many versions of Cisco IOS, from 12.0 through 12.3, will reboot when a valid SNMP message, such as a GET or SET, is sent to a destination port expecting an unsolicited message, such as a TRAP.

For example, a GET query normally goes to UDP destination port 161. If an attacker instead sends a perfectly well-formed SNMP query to port 162 (the TRAP port), vulnerable versions of IOS will reboot. Because reboot time on some devices runs into the minutes, even an attack at a very low rate could keep a vulnerable router, switch or access point off the network.

Cisco announced and patched the vulnerability in May 2004. Considering the exploit’s age and high profile, we expected all IPS systems to detect and block it without incident. To make sure that our ThreatEx tool was firing a valid attack, we tracked down a vulnerable version of IOS, loaded it up on a Cisco router and proceeded to crash it repeatedly.

Only the TippingPoint 5000E spotted the exploit in initial testing. The other five all missed it. In several cases, vendors asked us for a traffic capture, so they could write a signature.

Page 2 of 3

Even the 5000E missed one highly improbable variation of the exploit during initial testing. IOS listens for unsolicited messages on UDP port 162 and on one random port in the range of 49152 to 59152. The TippingPoint device blocks solicited messages sent to either of these ports.

But if the randomly chosen port is in use, IOS instead listens on a port in the range of 59153 to 65535. Initially, the TippingPoint device did not spot exploits offered to a port in this second high-numbered range. Note that the probability of this vulnerability occurring is extremely low.

TippingPoint wrote a new signature to cover this remote possibility, but it had the effect of forwarding a small number of Cisco exploits when offered concurrently with benign TCP traffic – even when offered to port 162 (an exploit that TippingPoint previously blocked). TippingPoint gave us a second updated signature, but the problem persisted. TippingPoint was unable to replicate the leakage in its own testing.

As we started heating up the technical-support lines for all the other vendors, the patched signatures showed up fast and furious. Some vendors rapidly developed a comprehensive signature that blocked any form of the exploit. Other vendors, reacting to our test, rushed the job and wrote signatures that were so vague as to virtually guarantee false positives and negatives.

What was interesting to us was how poorly the signature-writing process worked. Demarc delivered a signature for its Snort-based system, and to its credit, also contributed the signature to the open source bleedingsnort.org signature repository. Demarc’s first attempt covered only port 162, but it quickly added signatures to cover exploits offered to high-number ports. Demarc did a great job, even though it took them a few tries to get it right, compared to Ambiron TrustWave’s ipAngel, another Snort derivative.

Page 3 of 3

When ipAngel initially missed the Cisco exploit, Ambiron TrustWave delivered a signature that blocked the specific variant of the Cisco SNMP exploit we used in testing, but the signature likely would lead to false positives in a production setting. The ipAngel signature checks for any SNMP traffic sent to UDP destination ports 162 or 49152-65535. That enabled the device to pass our performance test, but the signature also would generate false positives on any legitimate SNMP TRAP. The company says it has written a more narrowly defined signature since we completed testing.We also discovered the drawbacks in combining IPS technology into UTM firewalls, a difficult design to get right. Fortinet’s FortiGate initially forwarded all exploit traffic, not just the Cisco SNMP attack. This was because of a UDP learning issue in the FortiGate UTM box, in which it would broadcast all traffic for which it had not yet seen destination MAC addresses. In this regard, FortiGate worked like an Ethernet bridge, not a security appliance. Fortinet corrected that behavior with new firmware, but the IPS still forwarded all exploits when we attacked at 16% of the system’s capacity. It also forwarded the Cisco exploit at any offered rate when we used a high-numbered destination port. It took another new firmware release to shut out the exploits for good.

NFR developed an effective signature after we sent its engineers a capture of the exploit traffic we used when the NFR Sentivist missed the exploit on the first try.

Top Layer’s IPS 5500 initially forwarded Cisco exploit traffic. After we supplied the traffic capture, Top Layer supplied a pattern-matching signature that we found easy to evade. First, it detected only an SNMP GET message and not other solicited message types such as GETNEXT that also would cause reboots. Second, it covered only queries exactly 28 bytes long, when in practice SNMP message length is variable. Third, the signature covered only exploits sent to destination port 162 and not high-numbered ports.

Top Layer supplied additional signatures to cover the first two issues. As for listening on high-number ports, the company disagreed that an IPS would need to block these. Company engineers stated that firewall policies and/or router access-control lists should be sufficient to block this traffic.

That’s a disingenuous argument, in our opinion. If firewalls were always perfectly configured, and if hosts were always fully patched, the need for signature-based IPS would disappear. Because we were testing IPS systems on their ability to do their jobs, it didn’t seem relevant that most enterprises would have intended to block SNMP, Witty and SQL Slammer at their external firewall. More important, the Witty and SQL Slammer worms became notorious because people didn’t have firewalls in place and properly configured.

These results don’t mean that IPS systems aren’t useful at increasing the security of enterprise networks. What they do say, though, is that an IPS can only be one component in a defense-in-depth security strategy, and that it’s much better to eliminate the vulnerabilities in your network by patching software and firmware than it is to depend on the IPS to provide protection.


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-13 09:32 
离线
新手

注册: 2007-04-12 11:19
最近: 2007-04-13 12:15
拥有: 63.00 安全币

奖励: 0 安全币
在线: 31 点
帖子: 3
我想需要说明一点的是,我是一个用户,关心的只是这个东西在我这里运行的基本情况。
因为我要购买这个东西,就需要找产品来测试。至于他们在哪个层次,不是我关心的问题。只是听别人说的话,每个厂商都会夸自己的东西而去贬低别人的。
作为政府机关的一个内部网络,百兆的产品我觉得已经够用了。
也许从技术的层面说,很多东西都存在问题,
但我也一直认为安全就是一个靠嘴巴吹出来的东西,想吹多大就吹多大。
你告诉我这里有漏洞,那里有漏洞,
没错,这些问题可能我都存在,那么会造成什么样的结果?或者给我带来些什么损失?不是每个用户都相同的!
我所遇到的安全厂商,每个都在我这里推自己的产品,没有几个是真正考虑了我的实际需求,都在想把方案做得多么的大,尽可能往里面多塞点东西。
而对我来说,只要能让我的网络稳定的运行,看到一个正常的到网关的PING值,网内每台机器都能正常的使用,就是一个有用的东西。
没有哪个网管有精力每天去分析那些日志,看哪里有问题,哪里出了误报。
研发有技术,运维有技术,真正有技术的,懂技术的,有多少会在一个用户哪里当个小小的网管?


--------本帖迄今已累计获得29安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-14 21:33 
离线
初级用户

注册: 2006-03-04 16:09
最近: 2012-01-31 23:07
拥有: 374.10 安全币

奖励: 2 安全币
在线: 1398 点
帖子: 54
grantming 写道:
国内现在的差距主要在硬件上,软件包括规则这东西至少是平手甚至是超过国外的。认真去看看Network World 2006年9月份的测试报告,你就知道IPS这东西现在没有一家敢说自己比别人牛多少,感觉你只是说国外东西好,那么好在哪些地方呢?是否能够详细说明一下具体的指标呢,我们承认和国外有差距,那差距在什么地方呢。一味贬低国内的产品不得不让我怀疑你的动机,国内产品有国内产品的优势。不想说太多,看看国外的测试报告吧,尤其要认真看看其中图片。中文链接是http://newtest.cnw.cn/test/testdoc/yejie/htm2006/20061010_17620.htm
英文的好像要注册才能看,就给搬过来了。
天融信没有IPS,你的消息也太不灵通了吧,都搞了快大半年了,所以开始让我怀疑你是不是搞安全的,公开发布消息都有一周了。http://www.topsec.com.cn/news/show.asp?NewsID=565

我不能苟同你的观点!在我看来现在的更大的差距往往在软件签名上!!
不管是前年的WMF还是三月底开始的ANI的0day响应还是国内的反应都比国外的慢好多。
看看绿盟这几天升级的签名库里新添加的是什么?
引用:
50171 股票行情分析操作软件证券之星用户登录
50172 股票行情分析操作软件同花顺用户登录
50173 股票行情分析操作软件钱龙旗舰用户登录
50174 股票行情分析操作软件大智慧用户登录
50175 股票行情分析操作软件龙卷风用户登录
50176 股票行情分析操作软件分析家用户登录
50177 股票行情分析操作软件中国银河证券海王星用户登录
50178 股票行情分析操作软件大策略下载股票信息
50179 股票行情分析操作软件盘口王用户登录

这样的签名库的增量真的能起到质变么?

硬件的差距,我到是觉得我们有实力能在短期能赶上。国内有很多很好的半导体公司。在这方面已经有很成熟的量产产品了。

至于国内的几家“新”出的硬件产品。目前还都是韩国货OEM......
TopSec的情报目前不明朗,不方便多说。

至于你举的NetworkWorld的测试,你可以在以下链接下载PDF版本

http://www.spirentcom.com/documents/atp ... e-1530.pdf

我并不认为这个测试有多少的可信度!这个测试还是存在型号等级不统一。并不能说明怎么样的问题。
文中提到的Tippingpoint的问题,我在以前的实际测试中也遇到过;原厂的工程师也没很好的回答。

IPS这东西还是放在实际环境中跑一段时间看看比较好。测试环境不能模拟实际环境中可能会出现的一些问题。


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-15 15:59 
离线
初级用户

注册: 2004-02-17 16:51
最近: 2013-05-22 17:36
拥有: 430.00 安全币

奖励: 0 安全币
在线: 2261 点
帖子: 58
从规则这块来说的,国内的水平应该和国外的差距不大,你可以去找懂行的朋友去问问。很多国外写规则的人都是从国内搞过去的,从漏洞研究方面来讲,应该是没有什么差距的。从响应的速度来看,的确是国内落后于国外,规则这东西就要从两个方面看,出来的快的那其质量保证就会成问题,如果要保证质量的话,那么速度必然要受到影响;微软的补丁都不能很好的解决速度和质量的问题,每个公司都有一个利弊权衡的做法。

更新什么样的规则,其实是和用户需求有一定关系的,比如用户想控制IM、P2P的客户端程序,那么你就要增加这样的规则;用户需求决定你的规则导向,现在股票这么热,所以用户想控制大家炒股,所以出这样的规则是正常的,这也是用户需求的体现。


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-15 22:43 
离线
新手

注册: 2007-04-12 11:19
最近: 2007-04-13 12:15
拥有: 63.00 安全币

奖励: 0 安全币
在线: 31 点
帖子: 3
我的观念是,技术是为应用服务的。
再简单的东西,只要有使用价值,就是好东西。

3EYES说的那几条股票规则,我给你说个在我们单位会体现的实际应用:
单位有很多人上班的时候炒股,
当有这些规则的时候,你可以知道是谁在什么时候登陆了什么软件。
当然,这对于我们这些维护网络的人来说,作用并不怎么大。
不过试想,哪天领导把你叫去,在谈话中随意说道:你最近工作不是很忙嘛,上午还用同花顺软件炒了两个小时的股吧。
这感觉就不一样了。

同样在销售一件产品的时候,也许用户本身觉得这是一个好东西,而并不在乎很多在协议层的东西。就这样被销售忽略掉了。
一个产品在推的时候,用户并不想知道它有多么强大,得过多少奖,想明白的只是你的东西放我这里,可以给我带来些什么好处,起到什么作用。

也许这不是什么了不起的技术,但这是一个很好的卖点!
那么大一篇的英文测试文档,在你推一个产品的时候,没有任何帮助。
因为每个厂商推自己东西的时候,都是避重就轻的。

也许今天你花了一大堆口舌给自己的东西说了一长篇好话。
但是明天就被另一个公司的人贬低得体无完肤!


--------本帖迄今已累计获得16安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-16 23:43 
离线
初级用户

注册: 2006-03-04 16:09
最近: 2012-01-31 23:07
拥有: 374.10 安全币

奖励: 2 安全币
在线: 1398 点
帖子: 54
grantming 写道:
从规则这块来说的,国内的水平应该和国外的差距不大,你可以去找懂行的朋友去问问。很多国外写规则的人都是从国内搞过去的,从漏洞研究方面来讲,应该是没有什么差距的。从响应的速度来看,的确是国内落后于国外,规则这东西就要从两个方面看,出来的快的那其质量保证就会成问题,如果要保证质量的话,那么速度必然要受到影响;微软的补丁都不能很好的解决速度和质量的问题,每个公司都有一个利弊权衡的做法。

更新什么样的规则,其实是和用户需求有一定关系的,比如用户想控制IM、P2P的客户端程序,那么你就要增加这样的规则;用户需求决定你的规则导向,现在股票这么热,所以用户想控制大家炒股,所以出这样的规则是正常的,这也是用户需求的体现。


别为反应慢找什么托辞,在我看来IPS的签名更新就和病毒库的更新一样,这个跟骂国外杀毒软件更新国内木马库慢的时候一样。在行为判断无法完全保护的时候(现在来看技术还不成熟,有误报。),更新签名库是最行之有效的方法!
现在打M$ DNS Server的Exploit已经在milw0rm上公布了!请问作为国内领先技术的代表们,更新签名在哪里?Zero-Day的防御从何谈起?

别说什么找懂行的朋友问问,你懂么?!哼~~~
国内确实有很多高手被招到McAfee、Symantec去。milw0rm上也有很多Exploit是国人写的!
但这并不足以说明目前国内外IPS产品上的没有整体差距

在IPS的选择和应用上,我依然建议先明确自己的需求,然后一定要在实际环境中使用中评估。

能发现股票软件、QQ号码这些噱头,我不认为是产品的亮点。上网行为管理本身就不是IPS该管的事。当然如果厂方能够根据客户需求提供定制化签名开发的服务也是不错的。


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-17 08:57 
离线
初级用户

注册: 2004-02-17 16:51
最近: 2013-05-22 17:36
拥有: 430.00 安全币

奖励: 0 安全币
在线: 2261 点
帖子: 58
3eyes 写道:
grantming 写道:
从规则这块来说的,国内的水平应该和国外的差距不大,你可以去找懂行的朋友去问问。很多国外写规则的人都是从国内搞过去的,从漏洞研究方面来讲,应该是没有什么差距的。从响应的速度来看,的确是国内落后于国外,规则这东西就要从两个方面看,出来的快的那其质量保证就会成问题,如果要保证质量的话,那么速度必然要受到影响;微软的补丁都不能很好的解决速度和质量的问题,每个公司都有一个利弊权衡的做法。

更新什么样的规则,其实是和用户需求有一定关系的,比如用户想控制IM、P2P的客户端程序,那么你就要增加这样的规则;用户需求决定你的规则导向,现在股票这么热,所以用户想控制大家炒股,所以出这样的规则是正常的,这也是用户需求的体现。


别为反应慢找什么托辞,在我看来IPS的签名更新就和病毒库的更新一样,这个跟骂国外杀毒软件更新国内木马库慢的时候一样。在行为判断无法完全保护的时候(现在来看技术还不成熟,有误报。),更新签名库是最行之有效的方法!
现在打M$ DNS Server的Exploit已经在milw0rm上公布了!请问作为国内领先技术的代表们,更新签名在哪里?Zero-Day的防御从何谈起?

别说什么找懂行的朋友问问,你懂么?!哼~~~
国内确实有很多高手被招到McAfee、Symantec去。milw0rm上也有很多Exploit是国人写的!
但这并不足以说明目前国内外IPS产品上的没有整体差距

在IPS的选择和应用上,我依然建议先明确自己的需求,然后一定要在实际环境中使用中评估。

能发现股票软件、QQ号码这些噱头,我不认为是产品的亮点。上网行为管理本身就不是IPS该管的事。当然如果厂方能够根据客户需求提供定制化签名开发的服务也是不错的。


整体上的差距在哪里呢?这里整体应该也主要是硬件的吧,争论也没有什么意思。国内搞硬件防火墙都这么多年了,有哪个厂商真“硬”起来了呢?

上网行为管理那应该是什么管呢?Agent,你不觉得用户主机上的Agent太多了么,病毒一个、主机防火墙一个、主机IPS一个、主机行为审计一个……,用户的资源都浪费了。还希望你能给指出一条比较好的出路。还希望你能给指出一条比较好的出路。

绿盟好像在IPS功能中没有写防止0day攻击吧

本身规则这东西就存在很多不足之处,一种攻击可能有多个变种,我修改一下攻击程序,有哪家敢拍胸脯说我的IPS(所有的IPS包括国内外的)能检测所有的攻击呢?Mcafee敢么?TP敢么?ISS敢么?


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-17 11:14 
离线
超级用户

注册: 2005-12-15 22:42
最近: 2014-04-29 17:30
拥有: 6,980.30 安全币

奖励: 1533 安全币
在线: 10399 点
帖子: 567
我们很多时候都是以一个技术人员、开发人员的角度出发看问题,而从一个用户的角度看,哪应该是如何呢?

我们所有的技术产品,其实就是为了用户业务的正常、稳定、高效地运转。如果使用了一种新技术、新产品,但是没有达到用户的阀值之上,可能就是一块鸡肋了。所谓的阀值,其实也是一个很虚的东西,如果说市侩点,我想大概可以定性为:技术和产品推广者对用户的引导,导致用户独立地对此技术和产品产生的一个期望值。

由此引到安全技术和产品,对于用户来说,他会有个原则性要求:任何引入到环境中的技术与产品,不能对原有业务的正常运行产生影响。转到专业性描述就是:不能增加新的瓶颈、新的隐患。我宁可该出问题的时候出问题,也不愿意出问题是由于引入了新的技术和产品。举个例子来说:以前我在机子安装了一款国产的防火墙,有一天突然发现机子运转很慢,原来是该防火墙发现了攻击,正用99%的CPU来处理它!我什么事情都干不了了,kill掉它,照干工作,没有任何不适的感觉。

成熟业务网络中对于安全产品的部署,还有一个原则就是,分工明确,各司其职。大家先算算价钱就知道,同样处理性能下,价格IPS+FW<UTM。何况还不算部署风险。

IPS作为串接在网络中的设备,我觉得首先要考虑的是要考虑出现产品故障时的自我旁路功能和策略打开时的转发性能。在这两个前提下,再去谈签名啊、0-DAY啊之类的东西。而用户则更为现实的考虑,在一定预算范围内,哪个产品最为合适。所以产品自身市场定位也是很重要,鸡和鸭都是家禽,但可比的地方也不多哦。

象我们单位,我不会去在意什么0-DAY之类的,毕竟我的网络是和互联网严格隔离的,我不会花一大把钱去争取提前几天的时间。我更关注的是网内视频、P2P的流量不要干扰到单位不定时的视频会议。单位内不要出现肉鸡,避免内部资料泄漏。如果不是网太大,情况复杂不好管理,我甚至也可以通过行政管理达到一样的效果。曾经因为P2P的事情,在单位大会上谈了几句,揪了几个典型,总共花了2两唾沫不到,就省下了10几万的设备,呵呵

所谓安全,三分技术,七分管理。只不过一般公司没法让用户听他们忽悠来赚到十分的钱,那就只好靠技术和产品来赚三分的钱了


--------本帖迄今已累计获得22安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-18 10:43 
离线
超级用户

注册: 2003-12-17 16:05
最近: 2014-05-20 18:03
拥有: 2,751.30 安全币

奖励: 487 安全币
在线: 5011 点
帖子: 320
楼主用数据说话,值得学习。

我们承认国内IT落后于国外若干年,安全也是,但由于安全的特殊性,国内自主安全产品是大有机会的,而且我们也看到了一些优秀的国内安全产品和国外产品差距确实不大,IPS就是一个例子,产品最早出现也就是五,六年,国外领先的在于硬件平台,软件如规则库确实谈不上多领先,相反,对国产木马,病毒和国产应用如QQ的处理方面,并不如国内安全产品处理得好。


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-19 14:56 
离线
新手

注册: 2006-09-09 23:33
最近: 2009-09-07 15:49
拥有: 185.00 安全币

奖励: 0 安全币
在线: 578 点
帖子: 15
楼主的钻研精神值得钦佩,但说法就有点偏激了。首先试问哪个品牌的产品宣传没有夸大?包括业界很牛的华为、思科,就更不用说国内厂商了,至少我测试了绿盟后,整体来讲可用性还是可以的(不过测的是5.5,没用过5.0),感觉达到其宣传的七成吧,比起其它国内品牌UTM、IPS的夸大已经算非常实在了(有些品牌用起来实在是吐血……)。

从国内做安全产品的厂家来讲,很多是为了丰富自己的产品线从别家OEM或者挖一些人搞个东西就算是自己的,根本不会进行技术积累和长期研究,只要关系好主打产品推进去后其它产品就硬塞,美其名曰整体解决方案。我想只要在单位里做网管做技术的都会碰到很多。

所以我选择国内安全产品主要考虑1、主流品牌(安全行业变动快,小品牌无法保证产品成熟度和后续服务)2、是这个品牌的主打产品(以国内厂商目前的实力能做好两个产品已经很不错了),尽量不买OEM的产品。3、要做产品测试,眼见为实4、参考或了解考察产品案例,碰到不少买了但从来不用的5、感觉过于夸大其词,能治百病的最好远离。

呵呵,当然最无奈但最重要的就是领导的想法,这个就不是我所能考虑的了。


--------本帖迄今已累计获得14安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2007-04-20 10:51 
离线
新手

注册: 2006-01-23 16:58
最近: 2012-12-12 10:06
拥有: 64.50 安全币

奖励: 0 安全币
在线: 917 点
帖子: 16
不要人云亦云,1.找到自己需求2.综合测试,比较3.根据事实客观的分析
任何产品都不可能满足所有不同需求,微软一样,sun一样,cisco也一样


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 支持楼主
帖子发表于 : 2008-01-02 11:27 
离线
新手

注册: 2007-12-12 09:22
最近: 2010-06-23 11:24
拥有: 23.60 安全币

奖励: 0 安全币
在线: 181 点
帖子: 9
原来一直认为绿盟是一个实实在在的技术公司。原来也是忽悠人的东西。

绿盟IPS==垃圾


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-01-07 11:47 
离线
初级用户

注册: 2007-12-28 14:58
最近: 2010-04-30 18:13
拥有: 51.00 安全币

奖励: 2 安全币
在线: 318 点
帖子: 44
既然是和互联网严格分开的,何来肉鸡,何来P2P?

Simba 写道:
我们很多时候都是以一个技术人员、开发人员的角度出发看问题,而从一个用户的角度看,哪应该是如何呢?

我们所有的技术产品,其实就是为了用户业务的正常、稳定、高效地运转。如果使用了一种新技术、新产品,但是没有达到用户的阀值之上,可能就是一块鸡肋了。所谓的阀值,其实也是一个很虚的东西,如果说市侩点,我想大概可以定性为:技术和产品推广者对用户的引导,导致用户独立地对此技术和产品产生的一个期望值。

由此引到安全技术和产品,对于用户来说,他会有个原则性要求:任何引入到环境中的技术与产品,不能对原有业务的正常运行产生影响。转到专业性描述就是:不能增加新的瓶颈、新的隐患。我宁可该出问题的时候出问题,也不愿意出问题是由于引入了新的技术和产品。举个例子来说:以前我在机子安装了一款国产的防火墙,有一天突然发现机子运转很慢,原来是该防火墙发现了攻击,正用99%的CPU来处理它!我什么事情都干不了了,kill掉它,照干工作,没有任何不适的感觉。

成熟业务网络中对于安全产品的部署,还有一个原则就是,分工明确,各司其职。大家先算算价钱就知道,同样处理性能下,价格IPS+FW<UTM。何况还不算部署风险。

IPS作为串接在网络中的设备,我觉得首先要考虑的是要考虑出现产品故障时的自我旁路功能和策略打开时的转发性能。在这两个前提下,再去谈签名啊、0-DAY啊之类的东西。而用户则更为现实的考虑,在一定预算范围内,哪个产品最为合适。所以产品自身市场定位也是很重要,鸡和鸭都是家禽,但可比的地方也不多哦。

象我们单位,我不会去在意什么0-DAY之类的,毕竟我的网络是和互联网严格隔离的,我不会花一大把钱去争取提前几天的时间。我更关注的是网内视频、P2P的流量不要干扰到单位不定时的视频会议。单位内不要出现肉鸡,避免内部资料泄漏。如果不是网太大,情况复杂不好管理,我甚至也可以通过行政管理达到一样的效果。曾经因为P2P的事情,在单位大会上谈了几句,揪了几个典型,总共花了2两唾沫不到,就省下了10几万的设备,呵呵

所谓安全,三分技术,七分管理。只不过一般公司没法让用户听他们忽悠来赚到十分的钱,那就只好靠技术和产品来赚三分的钱了


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : UTM与IPS!
帖子发表于 : 2008-01-22 14:21 
离线
初级用户

注册: 2007-12-14 22:30
最近: 2010-07-13 14:50
拥有: 220.10 安全币

奖励: 0 安全币
在线: 468 点
帖子: 34
地址: 合肥
  楼上各位的发言各有道理,但基于我对各厂商的产品的了解,比如H3C主推的IPS:TIPPING POINT和联想网YU的UTM产品来说,其主要的区别有:1、含不含有防火墙功能?(TP不含,UTM含)2、开启防病毒功能后性能所受影响程度;3、网络层的检测级别;4、应用的网络位置等。
  自我感觉,选择一个具体的产品,最好能先期进行测试,首先确定你最想实现的功能,然后再考虑性价比。不能实现你前期期望的,都不需要考虑了。


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 45 篇帖子 ]  前往页数 上一页  1, 2, 3  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012