网络业历史上最热闹的50大争论(1)(2)

安全类争论

IDS vs. IPS

Gartner曾预言，入侵检测系统(IDS)在2005年就会死亡。

4年前，Gartner宣称，消极监控恶意流量的IDS会在2005年“死亡”，并将会被主动禁止恶意流量的入侵防御系统(IPS)扫地出门。这立刻引发了一场大辩论。

Gartner声称，购买IDS来监控不请自来的流量是对时间和金钱的浪费，并敦促企业管理者开始购买联机IPS产品，加固企业平台，以阻挡主要来自互联网的恶意攻击流量。但是，在用联机IPS阻挡不良流量的同时，也有可能会错误地把好的流量拒之门外，IDS的支持者们批评道。

2003年时，IPS产品还刚刚起步，业界对其防御的准确性也深表怀疑。而IDS的质量人们已经熟知。不过，IDS也存在这样那样的缺陷，有时候还会生成虚假的防御信息，而绝大多数人并不真正知道该拿监控过程中产生的海量信息怎么办。

那么，Gartner凭什么说IDS将亡呢？

“我觉得支持这一结论的逻辑是相当错误的，他们的建议也很难理解。”这是当时Sourcefire的CTO、IDS的开发者Martin Roesch的回应。但他同时也补充说：“说句公道话，Gartner的担心还是有些事实基础的。毫无疑问，IDS还必须不断地改进，才有可能完全发挥其潜力。”

今天，这个问题仍然是个有争议的问题。而市场上的IPS产品(一般需要依赖IDS的侦测技术来标记出现的问题)也倾向于在混合模式下工作，管理者既可以大胆地禁止恶意流量，也可以进行被动检测，或者两者同时进行，这要依系统的配置而定。安全厂商一直不肯透露他们的IDS和IPS产量的数字，但是根据IDC的估计，IPS产品从2005年开始超越了IDS。一些独立机构所做的连续测试也有助于我们了解IPS的优势和缺陷。

《Network World》去年做过的产品测试就发现，有些IPS产品在高速时并没有低速时那么准确。

IPSec vs. SSL VPN

在VPN上，IPSec是先到者，但SSL以其简单易用的优势正准备变天。

上世纪90年代，当IP VPN一出现时，IPSec便很快确立了自己作为在不安全的IP网络(主要是互联网)上提供安全网络层连接标准的地位。

其诉求很明确：与购买专线、帧中继或MPLS服务相比较，它所提供的互联网上的WAN连接显然要廉价得多。

但是IPSec实施起来很复杂。彼此相连的站点越多，需要定义和维护的安全链接或隧道就越多。如果将IPSec用于远程接入，还必须在每台远程终端上安装专用的客户端软件。

然后，SSL VPN进入市场，提供互联网上的应用层安全接入，可以充分利用大多数浏览器的通用功能。这意味着远程接入VPN时就不再需要分发和维护客户端软件了。

SSL的局限性在于，浏览器只能访问基于Web的应用。不过这一问题已得到了解决。比如把非Web应用Web化、推送Java或Active X SSL VPN给远程终端等。

结果是，SSL VPN在远程接入方面取得重大进展，似乎有望最终将IPSec排挤出局。

不过IPSec仍然是站点到站点VPN连接的首选方案，因为在站点到站点的连接中，无论哪种技术都需要通过网关，IPSec在这方面做得很好，而很多SSL厂商甚至不提供站点到站点的连接。

边界安全 vs.内部安全

互联网防火墙正在遭遇尖锐的问题。

上世纪80年代末，当企业急切地想要将自己挂在互联网上时，带有一种常识般的惶恐和敬畏，因为它们知道，一场与公众之间史无前例的互动正在发轫。在这片充满危险的海滩上，作为企业要塞守护者的堡垒式防火墙出现了，这还得感谢像Marcus Ranum和Bill Cheswick等技术创新者的努力。早期的商用防火墙，包括DEC的SEAL在内，对企业来说意味着它们可以把自己包裹的很严实了。

边界防火墙逐渐成了一种固定配置，而在这条边界上，安全专家们则忙于制定复杂的安全规则，决定哪些流量可出可进。然而20年后，互联网防火墙和类似的边界防御手段却遭遇到了一个尖锐的问题，因为越来越多的安全经理们在一个很简单的点上产生了疑惑：边界已经消失。

电子商务与合作伙伴的协作；企业人员使用的移动笔记本和PDA等手持设备，都需要从外部访问企业的内部系统。这种突如其来的需求正如英国的化工巨头ICI的首席信息安全官Paul Simmonds所言，导致了“破坏性的变化”。

“企业的安全边界正在消失。”Simmonds说。Simmonds是Jericho论坛的积极支持者，而该论坛是由企业的信息安全经理人在2004年初创建的，旨在推动解决企业安全的有创意的方法，以便适应企业今天所处的多变的业务环境。“我们在Jericho论坛所做的事情不是个别的解决方案，而是一个单一的体系架构。我们称之为面向协作的体系架构。”

Jericho论坛目前有45家企业会员，大多数都是欧洲的大企业，但最近已有更多的美国企业加入进来。

Jericho论坛关注的话题之一就是“去边界化”，但该组织并没有刻意地鼓吹要抛弃边界防火墙，只是批评防火墙已成为电子商务的障碍。而这种批评常常会招来强烈的反对，认为该组织的观点方向是错误的、误入歧途的或者说是幼稚的。

防火墙传奇的缔造者、AT&T研究院的技术大腕Cheswick也承认，他正在考虑这样一个世界，在其中，企业的安全并不依赖于边界防御。但是去年夏天在纽约召开的Jericho论坛会议上，他在主题演讲中却说，“既然我们无法阻挡DDoS攻击，所以我们可能仍需要一个带围墙的园子。”

无论如何，Jericho论坛的成员都在努力说服企业和厂商要超越构筑边界的设备之外去想问题。Simmonds说：“对于大多数企业来说，去边界化不过是一个正在发生的事实而已，而无论你是否喜欢。” 

立即发布漏洞警报 vs. 发布补丁后再披露漏洞

关于如何发布安全漏洞信息才是负责任的做法的争论变得越来越复杂了。

在获知某软件上存在一个可能被利用的安全漏洞而当时还没有开发出相应的补丁来修复它时，是立即发布漏洞警报安全些还是等补丁开发出来之后再发布警报安全些？

这种争议自从软件问世的时候就开始了。有的人认为应该在获知软件安全漏洞的第一时间就发布警报，有的人则认为应该等相关厂商开发出相应补丁之后再发布警报，并且他们认为后一种做法是一种更负责任的做法。

关于这个争议的前提是黑客们还不知道相关的漏洞。如果黑客们早就知道的话，那么所谓的负责任的做法就只是将“好人”们蒙在鼓里了。这就是双方提出的强有力的论据，关于这方面的争议在上个世纪九十年代变得更激烈。当时微软Windows系统已经得到电脑和服务器的普遍应用，连黑客菜鸟们也能够利用自动化攻击工具通过网络轻而易举地对大批电脑发动攻击。

同时，安全研究公司们也在快马加鞭，许多新成立的公司比如电子眼数字安全公司在Windows系统中发现了越来越多的漏洞，它们当时都赞成完全披露漏洞的细节。后来，当名为Code Red的计算机蠕虫在2001年利用了Microsoft ISS网络服务器中一个未修复的漏洞发起攻击并席卷整个互联网时，软件漏洞开始对全世界的家庭用户造成实实在在的影响。

虽然微软公司在一个月之前就发布了服务器补丁，如果用户安装了那个补丁就可以避免受到Code Red蠕虫的攻击，但是指责电子眼公司披露了过多Windows系统漏洞信息的声音还是变得更加尖锐。

为了在这场争论中找到一个平衡，微软公司和业界其他公司成立了一个名为互联网安全组织的机构，提出了负责任地披露软件漏洞的指导方针。互联网安全组织在2004年将其最新指导方针修改为发现某软件中存在漏洞的人应该只和相关软件厂商秘密交换漏洞信息，并且最少留下30天的时间让相关软件厂商去改正问题。

但是从那之后，关于这个问题的争论变得更加复杂，因为整个软件行业在最近几年得到飞速发展，市场上已经开始出现将漏洞信息直接出售给安全公司，然后再将漏洞资料卖给用户的现象。

曾经支持互联网安全组织指导方针的一些人认为，那个指导方针已经被遗弃了，而且只对保护软件厂商有用。Terri Forslof曾经在微软公司安全反应中心工作过并协助制定了互联网安全组织指导方针，但是后来他加入了一家从事漏洞研究成果销售的安全公司，他说：“互联网安全组织制定指导方针是一项勇敢的尝试，但是最终互联网安全组织变成站在厂商的角度行事。”

当然，也有人强烈地发表了不同意见，声称在漏洞研究界负责任的发布漏洞信息应该是首先将信息提交给相关软件厂商，而不应卖给软件用户。IBM公司互联网安全系统分公司负责X-Force研发的主管Kris Lamb说：“那些人出售漏洞信息的做法让世界变得更不安全了。”