Proventia

從入侵偵測邁向整合型安全裝置

ISS今年有兩則重要的新聞，一則是1月15日，收購收購內容過濾公司Cobion，另一則是在1月23日，ISS宣布中止與Nokia的合作關係，也就是說，未來Nokia的裝置將不再搭售ISS的RealSecure入侵偵測系統。這兩則新聞看似沒什麼關係，實則是為Proventia鋪路。3大系列：A、G及M

Proventia目前有A系列、G系列及M系列。

A系列是專為RealSecure Network Protection所設計，市場定位是入侵偵測系統，也就是說，只要RealSecure具備的功能，Proventia A系列通通都有，包括動態切斷攻擊者的網路連線、自動下載X-Press Update等功能，管理者並可由SiteProtector中央控管所有的Proventia A系列產品。A系列能夠辨識95種以上通信協定及1700種攻擊，有Proventia A201、Proventia A604及Proventia A1204/1204F等4款產品，效能從200Mbps到1200Mbps，最多可同時監控4個網段。

G系列的市場定位是入侵預防，所以功能不僅只是A系列的偵測，還必須能夠阻擋惡意的流量，包括P2P、遠端桌面及惡意攻擊。在建置的初期，可以先將Proventia G建置在防火牆前後，學習哪些封包是該擋下，哪些應該通過，加上預設的政策是由X-Force所設計，相信可以滿足大多數企業的需求。

如同其他的IPS產品，Proventia G提供3種安裝模式，在Inline Prevention模式，Proventia G會檢查所有進來的流量，並自動阻擋惡意的攻擊，例如木馬和後門；在Inline Simulation模式，系統則只會偵測，但不進行阻擋，就如同IDS；在Passive Monitoring模式，既不會偵測惡意的流量，也不會執行阻擋動作。管理者可以透過SiteProtector直接切換所要的模式。G系列能夠辨識100種以上通訊協定及超過2500種攻擊，有Proventia G100及Proventia G200等2款產品。

M系列的定位是整合型安全裝置，包含防火牆、VPN、防毒、IPS、內容過濾、反垃圾郵件及弱點掃描等功能，ISS收購Cobion就是為了取得內容過濾和反垃圾郵件的技術，目前M系列提供前4種功能，預計在今年第二季會推出更完備的產品。

為了提高Proventia M的效能，ISS研發出Proventia 統合保護架構（Proventia Unified Protection Architecture）及同步深層流量檢視（Sychronous Deep Traffic Inspection）技術。Proventia 統合保護架構將多個安全技術整合至單一引擎，封包只需拆解一次，減少檢查時間；當開啟多項安全功能時，如防火牆、IPS及防毒等功能，同步深層流量檢視則讓所有的工作都是同步進行，包括流量分析、惡意行為阻攔、封包重組、日誌記錄，以保障系統效能。

A系列和G系列能夠偵測多種蠕蟲攻擊行為，進行記錄、通報與反制，相同時，M系列預設能阻攔常見的180種攻擊，如Slammer、Blaster及CodeRed等，而且本身具備病毒掃描引擎（Sophos的掃毒引擎及病毒碼），能夠掃描HTTP、FTP及SMTP等協定。M系列目前有Proventia M30及Proventia M50等2款產品。解決安裝問題，X-Force強力支援

Proventia不需安裝，只要經過簡單的設定就能上線，而且Proventia是由單一廠商提供支援，並非由多家廠商提供軟硬體，優點是系統整合性較佳，產品出問題，馬上就知道要找誰。

提到ISS，就一定少不了X-Force，因為所有的ISS產品都是以X-Force的研究為基礎。根據統計，從1998年到2003年，有56%的高風險漏洞是由X-Force所發現，而這些漏洞都會在第一時間，透過下載X-Press Update傳遞到每臺裝置內。

SiteProtector是ISS的集中控管平臺，能夠管理、分析及監控所有RealSecure產品線（Network Sensor、Internet Scanner、Desktop Protector），也能夠監控Proventia產品線，並對入侵事件進行交叉分析。Proventia　M系列額外提供專屬的Light Weight Management Interface（LMI）管理系統，不必再透過SiteProtector控管。

在認證方面，A系列和G系列通過NSS Group及OSEC認證對IDS/IPS的認證，M系列通過ICSA的防火牆認證，ISS並保證Proventia的頻寬，例如Proventia A201一定能夠達到200Mbps。以入侵偵測的優勢打天下

繼「ERP已死」、「防火牆已死」後，去年也有人喊出IDS將死，IPS將成主流，事實是否真的如此？鈺松國際行銷經理曾于洲表示，由於IPS要更改原先的網路架構，而且存在一定的風險，所以大型企業仍偏好選用IDS，不用變更既有的網路設定，安裝和設定步驟也都很簡易。另外，由於臺灣選擇ISS RealSecure搭配Nokia裝置的企業並不多，所以影響並不大。RealSecure Network Sensor尚可搭配Crossbeam、SECUi.COM及Sun等硬體裝置。

目前各家資訊安全廠商都在談整合，有的是整合多品牌的產品，也有的是整合自家的產品，雖然目的（滿足企業所有需求）相同，但方向卻各有差異，不過，每家廠商都從最拿手的點切入這塊市場，例如防火牆廠商會從防火牆切入，而ISS則是從入侵偵測這個點踏入，再擴大到入侵預防及整合型安全裝置，憑藉他們在IDS/IPS方面的優勢，相信可以闖出一片天。文⊙陳世煌