高端的防入侵系统以千兆速率移动流量,并防止企业受到攻击,但它们可能不能同时做到这两点。在对六家供应商的顶级IPS系统的实验室测试中,我们遇到了性能和安全性之间的许多权衡。
IPS覆盖的缺点
6款产品评论:Ambiron|Demarc|Fortinet|非功能性需求|TippingPoint|顶层
我们是如何测试IPS系统的
网络世界测试档案有个足球雷竞技app
订阅网络产品测试结果通讯
我们测试的一些设备提供了行速率吞吐量和令人印象深刻的低延迟,但也在这些高速率下泄漏了利用流量。对于其他设备,我们看到速率下降到零,因为IPS系统努力抵御攻击。
在我们最初的测试中,所有的IPS系统都漏掉了至少一种我们预期它们会很容易捕获的漏洞变体——一种会导致脆弱的漏洞思科路由器和交换机重新启动。虽然大多数供应商在我们的第二轮或第三轮测试中(3Com的TippingPoint 5000E第一次就发现了除了最晦涩的版本之外的所有版本),我们惊讶地发现如此多的供应商没有发现这个简单的、广为人知的、具有潜在破坏性的攻击有人能阻止这一行为吗?)。
这些问题使得这次评选出获胜者变得困难NetResults图形,下文)。如果高性能是选择一个ip的最重要标准,那么TippingPoint 5000E和Top Layer Networks的IPS 5500是明显的领先者。它们是测试台上最快的机箱,发送吞吐量和延迟结果在以太网交换机中比在IPS系统中更常见。
![]() |
| 产品 |
ipangel - 2500 |
Sentarus网络安全传感器 |
fortigate - 3600 |
智能传感器ES1000 |
TippingPoint 5000 e |
IPS 5500 - 1000 |
| 供应商 |
Ambiron网络 |
Demarc威胁保护解决方案 |
Fortinet |
非功能性需求的安全 |
TippingPoint |
上层网络 |
| 价格 |
100000美元 |
传感器37000美元;Sentarus威胁保护系统管理应用程序起价25美元每个节点。 |
30000美元 |
智能传感器ES1000, 7.5万美元;管理平台,1万美元。 |
TippingPoint 5000 e, 170000美元;安全管理系统,1万美元。 |
80000美元。 |
| 优点 |
在最后的测试中阻止所有攻击;创新的、基于漏洞的配置系统。 |
在最后的测试中阻止所有攻击;供应商为开源Snort社区提供签名;最快开发Cisco缺少的SNMP签名;精心设计的仪表板提供即时状态。 |
在最后的测试中阻止了所有的攻击。 |
在最后的测试中阻止所有攻击;非常细粒度地控制流量检测和响应。 |
最快的执行良好(非利用)流量;故障开启和故障关闭模式的选择;整体管理界面优秀。 |
强有力的执行者与一个或两个端口对;良好的反拒绝服务保护功能;基于利率的管理工具是最好的。 |
| 缺点 |
适度的性能,从beta硬件和驱动程序;最初未发现Cisco SNMP漏洞;弱的取证和报警能力。 |
相对温和的表演者;寻找签名是困难的;综合取证分析工具;弱IPS配置,取证和报告。 |
本测试端口密度低于其他产品;一些软件版本泛滥的利用流量(固定在最终版本提供的供应商);最初未发现Cisco SNMP漏洞;将IPS集成到UTM防火墙中缺乏特性和可管理性。 |
相对温和的性能;最初未发现Cisco SNMP漏洞;复杂的界面不适合普通用户。 |
重负荷下转发利用流量;超载时禁用日志记录。 |
转发了一些利用流量(可能是因为供应商配置错误);最初未发现Cisco SNMP漏洞;弱取证能力。 |
|
![]() |
一个端口对配置 |
分解 |
顶层 |
Ambiron网络 |
TippingPoint |
Fortinet |
Demarc |
非功能性需求 |
| 基线转发率10% |
5 |
1.25 |
5 |
2.5 |
5 |
3.75 |
| 攻击转发率15% |
5 |
5 |
4.25 |
4 |
3.25 |
1 |
| 基线延迟15% |
3.25 |
3.75 |
3.5 |
4 |
3.5 |
5 |
| 延迟受到攻击15% |
5 |
5 |
3.25 |
3.5 |
1.5 |
1 |
| 保护免受攻击25% |
3. |
4 |
3. |
4 |
4 |
4 |
| 可用性20% |
3.5 |
2.8 |
4.1 |
2 |
2.7 |
3.9 |
| 总分 |
3.94 |
3.75 |
3.72 |
3.38 |
3.28 |
3.21 |
|
两个端口对配置 |
| 分解 |
顶层 |
TippingPoint |
Ambiron网络 |
非功能性需求 |
Demarc |
| 基线转发率10% |
5 |
5 |
1 |
1 |
2 |
| 攻击转发率15% |
4 |
3.75 |
1 |
1 |
1 |
| 基线延迟15% |
2.75 |
5 |
2.75 |
4.25 |
3.5 |
| 延迟受到攻击15% |
5 |
2 |
5 |
1 |
1.5 |
| 保护免受攻击25% |
3. |
3. |
4 |
4 |
4 |
| 可用性20% |
3.5 |
4.1 |
2.8 |
3.9 |
2.7 |
| 总分 |
3.71 |
3.68 |
2.97 |
2.82 |
2.64 |
|
四个端口对配置 |
| 分解 |
TippingPoint |
Ambiron网络 |
非功能性需求 |
Demarc |
| 基线转发率10% |
2.5 |
1 |
1 |
1 |
| 攻击转发率15% |
2.75 |
1.5 |
1 |
1 |
| 基线延迟15% |
5 |
4.5 |
4.75 |
2.5 |
| 延迟受到攻击15% |
3.25 |
4 |
1 |
2.5 |
| 保护免受攻击25% |
3. |
4 |
4 |
4 |
| 可用性20% |
4.1 |
2.8 |
3.9 |
2.7 |
| 总分 |
3.47 |
3.16 |
2.89 |
2.54 |
得分的关键:5:异常;4:很好;3.:平均;2:低于平均水平;1:不合格或不可用 |
|
|
ip可用性是一个混合包
防止入侵系统最重要的特征是它是否完成了你购买它的工作。也就是说,它还需要是可用的,因为它在日常任务中支持网络管理器,而这些任务与在企业设置中使用IPS密切相关。在对IPS产品进行性能测试后,我们将其带回测试实验室,从另一个完全不同的角度来看待它们:可用性。
明确的赢家在可用性方面是3 com的TippingPoint的安全管理系统用于驱动TippingPoint 5000 e,产品在我们设定的每一个任务表现高于平均水平。荣誉奖去非功能性需求的安全Sentivist管理平台用于控制Sentivist盒和上层网络的ip 5500,是任何试图管理一个IPS产品将很容易找到满足他们的需求,用最少的浪费精力。
对于可用性测试的完整讨论,看> >。
当然,性能并不是这些产品的唯一标准。5000E泄漏了少量的攻击流量,不仅在最初的测试中,而且在随后的两次重新测试中也是如此。两周前,TippingPoint针对这个行为发布了一个补丁。5000E还在一些测试中禁用了日志记录。这并不一定是件坏事(事实上,TippingPoint说客户更喜欢没有日志记录的选项,而不是完全关闭),但是在同一测试中的其他设备仍然以较慢的速度进行日志记录。
IPS 5500在涉及TCP流量的测试中得分很高,但是它也泄漏了少量的利用流量。顶层将此归因于错误配置防火墙这个测试的策略。
Demarc和NFR Security的IPS系统使用的传感器硬件来自同一家第三方供应商Bivio Networks。在某些测试中,两个IPS系统相对适中的性能可能是由传感器硬件上的配置设置造成的,这是两个供应商在我们结束测试后才发现的。从好的方面来说,两个IPS系统都在我们最后一轮测试中停止了所有攻击。
Ambiron TrustWave和Demarc围绕开源Snort引擎构建了他们的ipangle -2500和Sentarus IPS软件。它们之间的性能差异可以归因于各自供应商所做的软件和驱动程序决策。
在基线测试中,Fortinet的FortiGate-3600仅在涉及良性流量的情况下取得了不错的结果,但随着攻击率的提高,转发率下降,响应时间增加。
我们应该注意,这是对IPS性能的测试,而不是对安全性的测试。这是对IPS性能的测试,不是安全。我们没有衡量一个ip能抵御多少不同的攻击,也没有衡量它能抵御多少攻击。我们并不是说ip速度快,就很安全。
即便如此,安全问题仍不断出现。如前所述,任何通过初始测试的设备都会遗漏至少一个漏洞,禁用日志记录和/或进入“fail open”模式,在这种模式下,所有流量(好的和坏的)都会被转发。
这对生产网络上的IPS系统有严重的影响。在现实世界中,再测试是不可能的;攻击者不做预约。此外,我们使用的漏洞数量少得可笑——总共只有3个——并且提供的速率从不超过每个系统最大每秒包容量的16%。安全问题的出现让我们感到意外。
这三个漏洞都是众所周知的:SQL Slammer、诙谐蠕虫和Cisco的畸形SNMP漏洞。我们选择这三个是因为它们都被广泛宣传,它们已经有一段时间了,而且它们是基于用户数据报协议(UDP),允许我们使用Spirent ThreatEx漏洞评估工具详细控制攻击率。
我们测试的IPS传感器在其他网络设备之间排成一条线,在两个或两个以上的网络设备之间架桥和监控通信千兆以太网港口。考虑到它们的内嵌布局,以高速率监控流量的能力——甚至与行速率一样快——是至关重要的。因此,我们将测试设计为确定吞吐量、延迟和HTTP响应时间。我们使用TCP和UDP测试流量,发现IPS系统处理这两种协议的方式有显著差异(参见我们是如何测试IPS系统的)。
供应商提交了带有不同端口密度的IPS系统。FortiGate-3600只有一对千兆以太网接口,而IPS 5500有两对。Ambiron TrustWave、Demarc、NFR和TippingPoint的IPS系统提供四对端口。为了确保对所有产品进行逐个比较,我们测试了三次,尽可能使用1对、2对和4对端口。
一个端口对组成
我们的单端口对测试是所有供应商能够参与的唯一的测试。
在基线TCP性能测试(良性流量,没有攻击),Demarc, TippingPoint和顶层设备移动流量为959Mbps,接近最大可能速率约965Mbps(见链接到IPS酷刑测试,场景1,下面)。由于1500个用户同时竞争带宽和确保用户之间公平的TCP的内置速率控制,这几乎和TCP流量一样接近。
| IPS酷刑测试:场景1供应商提交了具有不同端口密度的IPSs。为了确保对所有产品进行逐个比较,我们测试了三次,尽可能使用1对、2对和4对端口。如果在特定的测试场景中没有列出供应商的结果,那是因为供应商没有提供该配置。因为TCP占Internet主干流量的95%,所以我们在测试中强调了攻击TCP流量的影响。但是,我们也对纯用户数据报协议(UDP)流量进行了测试,因为该协议用于VoIP、流媒体、即时消息传递和对等应用程序。红色脚注表示存在与该结果相关的安全问题。蓝色脚注表示存在与该结果相关的日志问题。 |
| 场景1:在所有供应商之间使用一个端口对进行测试 |
| 吞吐量(Mbps) |
完美的设备 |
Ambiron网络 |
Demarc |
Fortinet |
非功能性需求 |
TippingPoint |
顶层 |
| TCP基线 |
965 |
672 |
959 |
937 |
382 |
959 |
959 |
| TCP + 1%攻击 |
965 |
929 |
924 |
928 |
358 |
959 |
959年[1] |
| TCP + 4%攻击 |
965 |
929 |
799 |
821 |
308 |
959 [2] |
954年[3] |
| TCP + 16%攻击 |
965 |
868 |
216 |
453 |
158 |
317年[4] |
911年[5] |
| UDP基线,64字节帧 |
1524年 |
41 |
144 |
127 |
1223年 |
1235年 |
624 |
| UDP基线,512字节帧 |
1925年 |
301 |
1925年 |
1005年 |
1925年 |
1925年 |
1925年 |
| UDP基线,1518字节帧 |
1974年 |
628 |
1960年 |
1974年 |
1974年 |
1974年 |
1974年 |
| 延迟(毫秒) |
完美的设备 |
Ambiron网络 |
Demarc |
Fortinet |
非功能性需求 |
TippingPoint |
顶层 |
| TCP基线 |
N/A |
372.11 |
430.50 |
326.43 |
144.05 |
399.50 |
447.02 |
| TCP + 1%的攻击流量 |
N/A |
262.50 |
397.68 |
326.68 |
158.30 |
398.05 |
418.25 [1] |
| TCP + 4%的攻击流量 |
N/A |
252.82 |
409.05 |
1272 .95 |
192.52 |
393.16 [2] |
368.25 [3] |
| TCP + 16%的攻击流量 |
N/A |
325.70 |
15607 .59 |
2865 .32 |
11522 .86点 |
8170 .68点[4] |
375.61 [5] |
| UDP基线 |
N/A |
0.14 |
1.50 |
0.43 |
0.08 |
0.07 |
1.46 |
| UDP + 1%攻击流量 |
N/A |
0.12 |
259.12 |
17.36 |
7.59 |
1.40 |
5.34 [6] |
| UDP + 4%攻击流量 |
N/A |
0.12 |
404.65 |
4.31 |
6.85 |
11.53 [7] |
8.43 [8] |
| UDP + 16%的攻击流量 |
N/A |
0.15 |
648.71 |
12.96 |
6.45 |
13.54 [9] |
5.55 [10] |
| 脚注:[1]转发了86次机智的壮举;[2]转发1 Cisco恶意SNMP漏洞;[3]转发了362个机智的壮举;[4]转发1个Cisco漏洞,禁用登录10分钟;[5]转发了370次机智的攻击;[6]转发了280个机智的壮举;[7]禁用登录10分钟;[8]转发了322个机智的利用,错误地标记了一些利用作为SYN洪水,尽管纯UDP负载;[9]禁用登录10分钟;[10]转发了159个机智的攻击,错误地将一些攻击标记为SYN泛滥,尽管是纯UDP负载。 |
|
当我们提供利用流量时,情况就完全不同了,因为大多数系统都急剧减速。唯一的例外是ipAngel,它在严重攻击下移动流量的速率等于或优于基线测试中的速率。所有其他的在严重的攻击下减慢-更糟的是,一些转发利用流量。
IPS 5500以我们使用的三种攻击率(TCP包每秒攻击率的1%、4%和16%)泄露了少量诙谐的蠕虫流量。供应商指责其防火墙策略的错误配置(供应商为此项目配置了设备安全性)。Top Layer表示,在启用默认防火墙策略的情况下,它的设备可以阻止针对任何未被供应商机智签名覆盖的端口的攻击。
TippingPoint 5000E以设备最大转发率的4%和16%泄漏了少量畸形的Cisco SNMP流量,即使在我们应用了第二次和第三次签名更新之后也是如此。
