1. ***檢測系統(ids)
ids是英文「intrusion detection systems」的縮寫,中文意思是「***檢測系統」。專業上講就是依照一定的安全策略,對網路、系統的執行狀況進行監視,盡可能發現各種***企圖、***行為或者***結果,以保證網路系統資源的機密性、完整性和可用性。
我們做乙個比喻——假如防火牆是一幢大廈的門鎖,那麼ids就是這幢大廈裡的監視系統。一旦小偷進入了大廈,或內部人員有越界行為,只有實時監視系統才能發現情況並發出警告。
與防火牆不同的是,ids***檢測系統是乙個旁路監聽裝置,沒有也不需要跨接在任何鏈路上,無須網路流量流經它便可以工作。因此,對ids的部署的唯一要求是:ids應當掛接在所有所關注的流量都必須流經的鏈路上。在這裡,「所關注流量」指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。
ids在交換式網路中的位置一般選擇為:盡可能靠近***源、盡可能靠近受保護資源。
這些位置通常是:
伺服器區域的交換機上;
internet接入路由器之後的第一台交換機上;
重點保護網段的區域網交換機上。
2. ***防禦系統(ips)
ips是英文「intrusion prevention system」的縮寫,中文意思是***防禦系統。
隨著網路***技術的不斷提高和網路安全漏洞的不斷發現,傳統防火牆技術加傳統ids的技術,已經無法應對一些安全威脅。在這種情況下,ips技術應運而生,ips技術可以深度感知並檢測流經的資料流量,對惡意報文進行丟棄以阻斷***,對濫用報文進行限流以保護網路頻寬資源。
對於部署在資料**路徑上的ips,可以根據預先設定的安全策略,對流經的每個報文進行深度檢測(協議分析跟蹤、特徵匹配、流量統計分析、事件關聯分析等),如果一旦發現隱藏於其中網路***,可以根據該***的威脅級別立即採取抵禦措施,這些措施包括(按照處理力度):向管理中心告警;丟棄該報文;切斷此次應用會話;切斷此次tcp連線。
進行了以上分析以後,我們可以得出結論,辦公網中,至少需要在以下區域部署ips,即辦公網與外部網路的連線部位(入口/出口);重要伺服器集群前端;辦公網內部接入層。至於其它區域,可以根據實際情況與重要程度,酌情部署。
3. ips與ids的區別、選擇
ips對於初始者來說,是位於防火牆和網路的裝置之間的裝置。這樣,如果檢測到***,ips會在這種***擴散到網路的其它地方之前阻止這個惡意的通訊。而ids只是存在於你的網路之外起到報警的作用,而不是在你的網路前面起到防禦的作用。
ips檢測***的方法也與ids不同。一般來說,ips系統都依靠對資料報的檢測。ips將檢查入網的資料報,確定這種資料報的真正用途,然後決定是否允許這種資料報進入你的網路。
目前無論是從業於資訊保安行業的專業人士還是普通使用者,都認為***檢測系統和***防禦系統是兩類產品,並不存在***防禦系統要替代***檢測系統的可能。但由於***防禦產品的出現,給使用者帶來新的困惑:到底什麼情況下該選擇***檢測產品,什麼時候該選擇***防禦產品呢?
從產品價值角度講:***檢測系統注重的是網路安全狀況的監管。***防禦系統關注的是對***行為的控制。與防火牆類產品、***檢測產品可以實施的安全策略不同,***防禦系統可以實施深層防禦安全策略,即可以在應用層檢測出***並予以阻斷,這是防火牆所做不到的,當然也是***檢測產品所做不到的。
從產品應用角度來講:為了達到可以全面檢測網路安全狀況的目的,***檢測系統需要部署在網路內部的中心點,需要能夠觀察到所有網路資料。如果資訊系統中包含了多個邏輯隔離的子網,則需要在整個資訊系統中實施分布部署,即每子網部署乙個***檢測分析引擎,並統一進行引擎的策略管理以及事件分析,以達到掌控整個資訊系統安全狀況的目的。
而為了實現對外部***的防禦,***防禦系統需要部署在網路的邊界。這樣所有來自外部的資料必須序列通過***防禦系統,***防禦系統即可實時分析網路資料,發現***行為立即予以阻斷,保證來自外部的***資料不能通過網路邊界進入網路。
***檢測系統ids的核心價值在於通過對全網資訊的收集、分析,了解資訊系統的安全狀況,進而指導資訊系統安全建設目標以及安全策略的確立和調整,而***防禦系統ips的核心價值在於對資料的深度分析及安全策略的實施—對***行為的阻擊;***檢測系統需要部署在網路內部,監控範圍可以覆蓋整個子網,包括來自外部的資料以及內部終端之間傳輸的資料,***防禦系統則必須部署在網路邊界,抵禦來自外部的***,對內部***行為無能為力。
ips可以理解為深度filewall。
IDS與IPS的區別
1.檢測系統 ids ids是英文 intrusion detection systems 的縮寫,中文意思是 檢測系統 專業上講就是依照一定的安全策略,對網路 系統的執行狀況進行監視,盡可能發現各種 企圖 行為或者 結果,以保證網路系統資源的機密性 完整性和可用性。我們做乙個比喻 假如防火牆是一幢...
IDS與IPS的區別
1.檢測系統 ids ids是英文 intrusion detection systems 的縮寫,中文意思是 檢測系統 專業上講就是依照一定的安全策略,對網路 系統的執行狀況進行監視,盡可能發現各種 企圖 行為或者 結果,以保證網路系統資源的機密性 完整性和可用性。我們做乙個比喻 假如防火牆是一幢...
IPS和IDS的區別
入侵檢測系統 ids ids intrusion detection systems,入侵檢測系統 專業上講就是依照一定的安全策略,對網路 系統 執行狀況進行監視,盡可能發現各種攻擊企圖 攻擊行為或者攻擊結果,以保證網路系統資源的機密性 完整性和可用性。入侵防禦系統 ips ips intrusio...