ISS Guard NIDP 100

防火牆和入侵偵測系統就像網路安全的左右門神，一個負責查驗身分過濾人員，另一個檢查是否夾帶危禁品，只是要請兩個人，不但人事成本高，管理也繁雜。市場上出現一種新趨勢，將兩者合而為一，既有防火牆的即時防禦功能，又具備入侵偵測系統檢測封包的能力，它就叫做IDP（Intrusion Detection & Prevention，入侵檢測和防禦）。IDP是主動防禦的智慧型安全產品，也有人將這類產品稱做IPS（Intrusion Prevention System，入侵防禦系統）。本土化設計，符合臺灣企業需求

雖然ISS是以入侵偵測和弱點評估等軟體起家，但我們在ISS的網站上也可以看到Proventia硬體裝置（Appliance）解決方案，搭載的RealSecure Guard軟體。RealSecure Guard（原名BlackICE Guard）採用Network ICE開發的BlackICE技術，當封包流經RealSecure Guard時，系統會利用通訊協定分析技術（Protocol Analysis）判斷是否為非法入侵或攻擊，或依據防火牆的設定隔離網路，如果檢測結果是非法入侵，系統會自動阻擋該攻擊。

只是Proventia並不會引進臺灣，因為沒有經過適當的調校，中文作業系統和中文編碼都很容易造成入侵偵測系統的誤判與誤報，加上客製化、中文報表和硬體維護等問題，鈺松國際選擇與本土廠商合作，自行設計符合臺灣本土需求的IDP產品。

ISS Guard NIDP 100（簡稱Guard）是鈺松國際推出的第一款閘道型入侵防護系統，提供主動式入侵防護功能，自動阻擋嚴重的網路攻擊，丟棄符合攻擊特徵的惡意封包。我們看到產品名稱包含ISS標誌，也就代表產品經過ISS原廠認證，Guard表示搭載RealSecure Guard，NIDP是網路型入侵防禦系統，100則表示在100Mbps的網路頻寬滿載狀況下，依然能夠進行分析與過濾。硬體設備則由國內工業電腦大廠設計與生產，除了能應付各種惡劣環境外，也特別加強系統散熱與穩定性。

Guard提供通訊協定分析與攻擊特徵比對等2種檢測方式，兩者相輔相成，可提高檢測準確率，降低誤判和誤報。目前Guard可針對60種以上的通訊協定進行解碼及分析，包括HTTP、FTP或SMTP的每個封包或Session都會被仔細分析檢查，攻擊特徵約有1300多種。

當封包通過時，系統會分析這些封包的虛擬複製版本，封包本身並不會被修改，如果封包沒問題，就會丟掉分析過的封包副本，讓原始的封包通行；如果封包具有攻擊行為，但沒有立即的危險，系統會先向控制臺提出警告，並紀錄到日誌記錄檔中；如果封包具有攻擊行為且具威脅性，則會依設定的規立即阻斷。
3年產品保固，瞄準中小企業

已經建置防毒系統、防火牆和入侵偵測系統後，網路系統就已經很安全，還需要入侵防禦系統嗎？首先要澄清的觀念是沒有百分百的安全，因為駭客技術一直都在進步，每天都有新的漏洞被發現，而且防火牆無法防止來自內部的攻擊，駭客更可以偽造資料繞過防火牆的阻隔，讓許多防火牆形同虛設。入侵偵測系統雖然可以彌補防火牆的不足，即時監控網路狀態，卻也不是全然沒有問題，例如網路型入侵偵測系統的漏報率和誤報率就偏高，需要專業的安全人員維護與管理。

每個企業都有自己的安全政策，有的公司適合由安全專家進行分析後，再執行監控和處理等動作，但有的公司希望擁有更快、更自動的防護功能，更有效利用有限的資源，那麼ISS Guard NIDP 100就是合適的產品。鈺松國際第5事業處產品經理冼柏齡表示，Guard內建多種政策，有立即危險、確定要阻擋下來的封包，例如CodeRed和Nimda，Guard就會自動阻擋，使用者不必花費大量時間去監控畫面，管理上會更加輕鬆。但在擋與不擋之間仍存有灰色地帶，就要靠使用者自行判斷與設定。

鈺松國際提供3年產品保固，包括零件更換及軟體升級更新，以及上班時間免付費專線和翌日到府現場維修等服務。冼柏齡表示，大部分的安全產品都只有一年產品保固，之後就要付費維修，若企業組織擴編，產品性能往往不敷需求，只能再次採購，鈺松希望降低企業的採購成本，滿足企業3年的需求，硬體故障也會直接更換新機，管理者只要備分重要設定檔及事件記錄檔，匯入後就可立即使用。
1U機架型設計，內建中文操作介面及報表

軟體入侵偵測系統需要再另外購買專用的伺服器，經過安裝設定後才能使用，ISS Guard NIDP 100是軟硬體整合式平臺，軟體都已經安裝完成，使用者只要接上網路線就可以使用，不用變更網路架構或其他網路設備（交換器、路由器）的設定，1U機架型設計可輕易安置於19吋機架上。

Guard除了放置在網路閘道入口，企業可依需求部署，控管內部的重要伺服器網段，或防護單一重要主機。Guard前方面板有5個LED燈號，分別代表網路、Bypass、電源及硬碟運作狀態，使用者可直接透過燈號檢視系統運作狀況。為了提高系統的穩定度，所以後方面板的Bypass模組接線方式較複雜，還好使用手冊有完整的說明，實際安裝應該也會有技術人員在旁協助。

RealSecure Guard（BlackICE Guard）的操作介面簡單易懂，系統將攻擊事件依嚴重性區分成4種等級（危急、嚴重、可疑、注意），並以不同的顏色區分，以利使用者做出最適當的處置動作。在RealSecure Guard的防火牆設定中，也有4種保護等級（Paranoid、Nervous、Cautious、Trusting）可供設定，預設為Trusting等級，並沒有任何阻隔限制，Paranoid則會阻擋所有未經要求而傳送的封包。

之前有提到，入侵防禦系統在擋與不擋之間存有灰色地帶，該忽略那些事件、信任那些IP位址，都要由使用者自行判斷與設定。另外，鈺松國際的免付費專線也是不錯的服務，讓使用者可以得到專家的協助。Guard提供中文管理工具和報表軟體，方便使用者分類、搜尋和檢視事項，並可產生中文報表。系統內建15種圖形化報表，使用者可利用32個不同欄位，自行客製化所需報表。

ISS Guard NIDP 100內建RealSecure Guard 3.1版，ISS在4月21日釋出3.6版，經過我們實際測試，升級後系統運作正常，但鈺松國際仍在進行中文介面與報表的測試，建議執行更新動作前，先詢問相關的技術人員。
Bypass模組讓網路不中斷

若是遭受拒絕服務攻擊而失效時，Guard與入侵偵測有相同的反應，封包不經檢測就直接通過，但是，即使遭遇停電或硬體故障，Guard也不會像防火牆造成網路中斷，因為系統內建「Bypass模組」，無論是軟體或硬體發生問題，網路流量會直接從被保護的網段傳送到外部網段，不會經過檢測機制，確保網路暢通不中斷。

雖然Guard具備防火牆功能，但硬體本身的效能有限，若企業考量到整體網路效能，建議由防火牆負責簡單的存取控管，讓Guard專心分折網路流量內容，例如企業不允許FTP傳輸，就可以用防火牆阻隔21埠，至於開放服務的80埠則由Guard分析網路封包。當然，如果不想要有太多的設備，也可以只裝一個Guard，既能有防火牆的過濾功能，又有分析流量內容的檢測功能。文⊙陳世煌