传统的入侵检测系统（IDS）只能被动地给管理员提供检测报告，最终还必须通过人工来解决问题。虽然大部分IDS产品能够在攻击发生后与防火墙进行互动，但是这种互动只能够对持续的低层次攻击产生很好的阻止作用，在容易受到深层次攻击的场合，用户还是希望采用能够对攻击行为进行实时阻断的产品，来提高信息系统的安全级别，因此入侵防护系统McAfee IntruShield应运而生。

体验部署和配置

IntruShield 2600有别于基于通用平台的产品，它采用NP（network processor）和ASIC(专用集成电路)混合的架构设计。因为需要实现实时阻断，所以IntruShield 2600在进行协议重组的过程中需要比传统IDS更强的处理能力。通用的硬件平台在多端口的配置的情况下很难满足实时阻断的需求。NP加ASIC这种结构在高端的3层交换机和防火墙中被大量采用，能够实现非常高的转发率,可以帮助入侵防护设备进行实时阻断。

灵活多样的配置方式

这款产品配置了8个端口，在SPAN （Switched Port Analysis）模式工作时，全部可以用作检测端口，即如果用户只需要传统的IDS功能，这款产品完全可以充当一个8口的IDS,不过在部署时需要考虑到吞吐量。IntruShield 2600的拿手好戏在于对入侵和非法的数据包进行阻断，这是在In-line的模式下实现的，这个模式是把IPS作为一个以太网的桥接器，透明地连接到已有的网络中，而不需要改动原有网络的配置，对于一个复杂的网络来说，这种设计可以减轻调试安装设备对原有网络的影响。在这种模式下，必须成对地配置端口。因此在只使用全部100M铜缆口时，这款产品几乎可以达到100%的利用率，而在使用千兆光口时，这款产品就只能处理60%左右的网络流量，对于一个正常设计的网络来说，60%已经是很高的突发流量了。

即插即用的快速部署

这款产品的软件和硬件的配合程度是非常高的。虽然各个管理服务器上都需要安装多个服务程序，但是McAfee通过把这些服务打包，整合成安装向导提供给了用户。我们只需要点击几次“下一步”，并且设置好管理端口的IP地址，就能够完成安装。通过RS-232配置好控制网络接口的IP地址后，我们就可以采用浏览器对设备进行管理了。

整个管理配置界面完全是由动态网页和Java Applet组成，既能在管理服务器本机上进行管理，还可以在任意能够访问管理服务器的计算机上通过浏览器进行管理和配置。这样可以把警告信息汇总到单个管理服务器上，然后在其他节点上进行分析或者报告。

高性能的安全屏障、检测率测试

我们选择了Blade测试工具进行模拟攻击测试，选取50种典型攻击样例。通过模拟攻击和被攻击的环境，把IntruShield 2600设置为阻断模式，通过比较发出的攻击和从控制台上观察到的报警信息来确定设备检测的正确性。Blade是目前可以模拟攻击类型最多的安全测试工具。我们选择的攻击样例也是按照最近比较盛行、危害比较大以及容易发生的原则来进行的。

测试结果非常令人振奋。在测试中，所有的攻击都没有被漏报。但是，在这样的测试中，我们并不能确定攻击是否真的被阻断了，于是我们进行了下面的测试。

阻断能力测试

我们找来了一个针对Windows NetBIOS缺陷的攻击工具，这个缺陷存在于Windows 2000 SP3（包括SP3）以下的版本中。在没有打开IntruShield 2600阻断功能的情况下，仅打了SP2补丁的目标主机直接蓝屏，在进行内存转存以后自动启动，而在开启IntruShield 2600阻断功能后再次发起攻击，目标主机就会安然无恙，并且两次攻击在管理服务器上都有详细的报告，这说明IntruShield 2600的阻断能力非常出色。

大家可能已经发现了，我们所采用的攻击类型并不是简单的畸形IP包攻击，而是在防火墙看来正确连接的情况下进行的高层次的操作，这些操作大多是利用系统或者应用本身的缺陷，制造异常操作来导致其无法正常工作，尤其是一些七层攻击，如果只采用IDS和防火墙互动的方法来阻止攻击，很可能让攻击得逞，因此需要在攻击进行中立即阻断。在阻断模式下，IntruShield 2600除了要重组协议进行判断外，还需要放行正确的数据，因此面临着严峻的性能考验。

吞吐能力测试

为了考验NP/ASIC架构的性能，我们创建了一个稳定的背景流，然后模拟攻击。通过观察在处于标称吞吐量边缘的IntruShield 2600对攻击的报告情况来确定这款产品的实际吞吐性能。

我们采用思博伦通信的Avalanche和Reflector，制造了一个约等于600Mbps的HTTP流量，然后依然沿用功能验证中的攻击检测方法对 IntruShield 2600进行了测试。在标称的600Mbps吞吐量下，IntruShield 2600居然能一个不漏地检测到攻击，这一测试结果一方面肯定了这种基于NP和ASIC混合平台的优势，另一方面，也说明了这款产品在标称的吞吐量下，还保留了一部分处理能力，用于应付突发的流量对系统正常运作带来的影响。

测试总结

由于采用了NP/ASIC架构，在进行大数据量的协议分析时，这款产品表现出了非常强的吞吐性能，使得阻断攻击这一独特的功能没有受到任何影响。因为这款产品主要聚焦在4到7层的攻击类型，在测试中，我们并没有看到太多基于一些3层以下的入侵检测和阻断手段。不过，在后来我们采用Nessus端口扫描工具进行变形逃逸测试时，发现这款产品对于SynScan等扫描入侵手段能够进行检测，但是需要配合防火墙来更彻底地杜绝这类攻击。由此证实了我们的推断，单一的 SynScan或者Flood攻击对于系统是没有攻击性的，并且由于这类攻击非常简单，不需要IPS进行复杂的协议分析，只需要在侦测出攻击后，通过和防火墙联动，由防火墙就能进行处理。

通过对IntruShield 2600进行测试，我们发现：IPS是对IDS的增强和延伸，能够弥补和防火墙之间的空白，而不是简单地对防火墙和IDS进行融合的结果。

IntruShield 2600

产品亮点
● 在１Ｕ厚度实现２个千兆光口，６个铜缆百兆端口的入侵阻断系统，所有端口可以灵活配置，完全逻辑隔离。
● 能够快速进行安装部署，支持分布式部署管理。
● 完善的检测引擎，没有漏报一个测试样例中的攻击。
● 高性能的吞吐能力，能够在高达600Mbps的HTTP背景流下正常工作。
(e129)

Fried 说："你可以利用互联网建立很棒的小巧产品，你可以获得1 百万或者50万用户。"
企业家和投资者们说，一系列技术的变化令非常专门的产品生存下来变为一种可能。大多数的变革是那些正在不断发展普及的主机式应用，或者服务式的软件。
 
网络字处理器公司Upstartle 的创始人们，最开始考虑开发针对企业内部网的协同与文件管理软件，但他们最终放弃了这个主意，而决定将注意力集中在互联网上的字处理器上。

Writely 公司的创始人之一的Claudia Carpenter 说："过去，你不得不做一种巨大的事情－象套件一类的东西。现在，似乎你能够做一些轻量级的东西。" 由于互联网已经成为一种应用平台，Writely 能够将他的字处理器服务与其它网络服务连接起来，比如网络日志或者照片分享网站。现在，很多网站不断的公布它们的应用程序接口（API ），这让用户及开发者们能够在不同的主机式服务之间分享信息。

另外一个重要的技术进步就是AJAX（异步JavaScript+XML）的兴起。这是一种创建交互式图形用户界面（GUI ）及网页的开发技术，它能够自动的刷新网络服务器上的数据。利用AJAX，程序员门能够开发出桌面应用程序的主机式版本，比如文件和照片发布，AJAX可以给用户提供和在PC上类似的用户体验。

除了将注意力集中在专门的产品上，和以往相比，这些新创公司能够用很少的资金实现腾飞。
自由提供的开源软件正在增长，功能强大的硬件服务器价格变得越来越低。而在5 年之前，新创业的公司可能需要花费成千上万美元去购买这些硬件设备。

运营成本也变得相当的低。以37Signals 为例，这家公司没有花钱在市场营销上，他们采用了网上的营销手段，比如网络日志的口碑宣传。这家7 人公司没有销售人员。

纽约天使投资公司的董事David Rose说："我们看到的Web2.0是一场软件公司发生深刻变革的运动。" Rose表示，现在的网络企业家可以在短短的一年时间内，仅仅用50万美元的资金即可实现从概念到功能性产品的转变。他说："要是放在过去，得花数年时间，上百万美元，以及多次的计划修改才会等到第一个产品出笼。"

RDF 风险基金的主任Richard Forman认为，基于网络的软件模式可以同时辐射个人与企业两个市场。 他说："Web 2.0 的迷人之处在于它是一种双管齐下的模式。一方面，你拥有用户提交的内容，这对网络来讲是一种巨大的机会，另外一方面，你拥有针对协同性工作以及应用服务提供商的网络服务，它将给企业世界产生真实的影响。"

现在，Salesforce.com，NetSuite和SAP 都在鼓吹，企业客户正希望放弃那些大型的软件项目，而选用主机式服务。即使微软这个软件世界的君王也已经发出过类似的感言。

进入Web 2.0 世界的低门槛使得那些新奇主意可以轻易的转化为新创企业。一些分析师说，也许这个门槛太低了。 许多的Web 2.0 网络应用可以由几个人，相对较少的创业投资和时间来完成。但是，与此同时，投资者们认为，这些服务很容易被复制。另外，一些Web 2.0 公司的业务模式没有经过完全测试，比如Writely 就仍处于测试当中，公司仍然在评估几种不同的收入模式，比如客户注册和广告模式。（编辑：孙莹）

Small is beautiful for Web 2.0 start-ups