下载后可任意编辑入侵检测系统与入侵防备系统的区别 -09-04 15:38:12 作者: 未知 来源: CNET 中国关键字: 入侵防备系统 入侵检测系统 IPS 特征匹配 IDS 攻击 安全策略 用户 网络 部署 1. 入侵检测系统(IDS) IDS 是英文”Intrusion Detection Systems”的缩写, 中文意思是”入侵检测系统”。专业上讲就是依照一定的安全策略, 对网络、 系统的运行状况进行监视, 尽可能发现各种攻击企图、 攻击行为或者攻击结果, 以保证网络系统资源的机密性、 完整性和可用性。 我们做一个比方——假如防火墙是一幢大厦的门锁, 那么IDS 就是这幢大厦里的监视系统。一旦小偷进入了大厦, 或内部人员有越界行为, 只有实时监视系统才能发现情况并发出警告。 下载后可任意编辑 与防火墙不同的是, IDS 入侵检测系统是一个旁路监听设备, 没有也不需要跨接在任何链路上, 无须网络流量流经它便能够工作。因此, 对 IDS 的部署的唯一要求是: IDS 应当挂接在所有所关注的流量都必须流经的链路上。在这里, ”所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、 监视的网络报文。 IDS 在交换式网络中的位置一般选择为: 尽可能靠近攻击源、 尽可能靠近受保护资源。 这些位置一般是: 服务器区域的交换机上; Internet 接入路由器之后的第一台交换机上; 重点保护网段的局域网交换机上。 2. 入侵防备系统(IPS) IPS 是英文”Intrusion Prevention System”的缩写, 中文意思是入侵防备系统。 随着网络攻击技术的不断提高和网络安全漏洞的不断发现, 传统防火墙技术加传统 IDS 的技术, 已经无法应对一些安全威胁。在这种情况下, IPS 技术应运而生, IPS 技术能够深度感知并检测流经的数据流量, 对恶意报文进行丢弃以阻断攻击, 对滥用报文进行限流以保护网络带宽资源。下载后可任意编辑 对于部署在数据转发路径上的 IPS, 能够根据预先设定的安全策略, 对流经的每个报文进行深度检测( 协议分析跟踪、 特征匹配、 流量统计分析、 事件关联分析等) , 假如一旦发现隐藏于其中网络攻击, 能够根据该攻击的威胁级别立即实行抵御措施, 这些措施包括( 根据处理力度) : 向管理中心告警; 丢弃该报文; 切断此次应用会话; 切断此次 TCP 连接。 进行了以上分析以后, 我们能够得出结论, 办公网中, 至少需要在以下区域部署 IPS, 即办公网与外部网络的连接部位( 入口/出口) ; 重要服务器...
