选择可扩展的入侵检测方案
2007-12-07 12:00
253 查看
[align=left]如果考虑选择IDS/IPS,挑选正确的方案是一件重要的工作。尤其是在你预见到自己的业务和网络都会不断扩张的时候。下面为如何做出最佳选择给出 了建议。[/align]
[align=left]如果仅仅是因为有了防火墙,你就认为不再需要入侵检测系统(IDS)和入侵防护系统(IPS),这是非常错误的。防火墙的目的是阻断指定端口的访问 。单纯防火墙没有办法探测针对某特定端口的访问是合法的,还是入侵尝试。[/align]
[align=left]例如,如果允许访问端口80,那么外部网络就可以访问你的Web服务器,而攻击者也可以使用这一端口攻击服务器。IDS可以参考已知攻击类型数据库信 息,通过比较流量特征对Web服务器访问进行区分,判断是对Web服务器端口的合法访问,还是尝试性攻击行为。[/align]
[align=left]如果考虑添加IDS/IPS,挑选正确的方案是一件重要的工作。市场上有很多IDS/IPS的解决方案,从简单免费的到复杂收费的。如果你认为自己的网络和业 务能在今后几年会增长,那么你应当选择具有扩展性的产品。现在就来看看影响到IDS/IPS解决方案扩展性的因素。[/align]
[align=left]IDS还是IPS
首先,你需要判断,你需要的是入侵防护系统(IPS)还是入侵检测系统(IDS)?有什么区别么?IDS顾名思义是探测入侵的发生并向你发送警报的。剩下要做什么随便你了。而IPS被配置为对入侵作出反应而无需干预。例如,如果它发现了可疑的入侵行为,它会自动地关闭端口,或者阻断来自嫌疑IP地址的后续流量。[/align]
[align=left]IPS提供了快速的反应,因此系统不大有可能遭受入侵的影响。另一方面,它也可能发出“假警报”,结果干扰了正常的网络流量。[/align]
[align=left]开源还是商用
一旦决定部署,你需要考虑采用开放源代码的免费IDS/IPS还是购买商业解决方案。前者的最大好处是省钱。如果业务不大,预算有限,你可能无法负担最好的商业IDS/IPS产品。这时,最经济的解决方案就是使用免费的解决方案,然后待业务和收入都增长后再迁移到商业产品上。[/align]
[align=left]最为流行的开放源代码IDS/IPS选择就是Sourcefire的Snort。该项产品获得了广泛的开发社区支持。它可以提供实时的流量分析以及日志功能,能够探测多种不同类型的攻击,包括秘密端口扫描、CGI攻击、OS指纹以及SMB探测和其他攻击。你可以使用插件对这些探测功能进行扩充。该软件的代码还被用到了一些商业IDS产品中。Snort最初是针对UNIX/Linux平台的,现在也可以用于Windows上。[/align]
[align=left]尽管它具备IDS/IPS的全部功能,Snort通常还是被认为是一种“轻量级”的IDS/IPS。当你已经决定迁移到更为成熟稳定的解决方案时,有很多商业产品可以 选择。最下面的就是一些流行的商业产品:[/align]
[align=left]
Internet Security Systems (ISS) RealSecure Network[/align]
[align=left]NFR Sentivist IDS and IPS appliances[/align]
[align=left]McAfee's Entercept[/align]
[align=left]GFI LANGuard S.E.L.M.[/align]
[align=left]Cisco Secure IDS appliance
在购买之前,你或许会问到一些关于可扩展性的问题:[/align]
[align=left]
产品的可扩展性如何?当网络扩展时,可以添加管理、报表等等模块么?[/align]
[align=left]对那些基于网络的IDS/IPS来说,限制了被探测机器的数量么?[/align]
[align=left]如果网络增添了计算机,你是否需要购买额外的许可证?[/align]
[align=left]方案兼容交换局域网么?
基于主机还是网络
IDS/IPS解决方案通常被分为两类:基于主机(HIDS)以及基于网络(NIDS)。两类方案各有优劣。基于主机的系统安装在单机上,保护单机。它通常是 针对特定平台的,也就是说被设计在特定平台上运行。基于网络的产品则可以保护网络上运行不同操作系统的多台计算机。[/align]
[align=left]基于网络的IDS通常需要安装在具有网络接口的系统上,并且运行在混杂模式,可以捕获网络上那些并不产生于IDS安装机器,或者目的地也不是IDS安装 机器的数据包。[/align]
[align=left]基于主机的IDS(或者代理软件)必须安装在你需要保护的每一台计算机上。基于主机的解决方案在探测本地网络产生的攻击(内部攻击)方面要略胜一 筹,两种类型的IDS在探测外部网络方面都表现很好。[/align]
[align=left]Tripwire运行在Linux上,这是一种流行的基于主机的IDS软件,Red Hat Linux软件包包括了该软件。前面提到的Snort,是网络IDS。[/align]
[align=left]要把基于网络和基于主机的IDS产品集成到一起,将其作为多层入侵检测预防系统是有可能的,也是众望所归的。[/align]
[align=left]作为可扩展IDS方案的一部分,你或许希望先行一步,然后再完善方案。如果预算是一个大问题,你或许可以首先部署基于网络的IDS,然后等手上宽裕了再添加基于主机的IDS。如果安全是你企业优先考虑的问题,你或许应该先安装基于主机的IDS,因为在工作站或服务器阻断入侵更为有效。[/align]
[align=left]可管理的入侵检测系统
我们正听到越来越多关于可管理服务的讨论,因此现在有很多公司提供了可管理的入侵检测服务。ISS,除了RealSecure Network应用外,还提供了可管理 的IDS/IPS服务。[/align]
[align=left]可管理服务是一种极具可扩展性的方案,因为在业务发展后你不需要在硬件和软件上进行投资,绝大多数的服务商都能够很轻松的处理业务增长后带来 的额外负载。[/align]
[align=left]如果仅仅是因为有了防火墙,你就认为不再需要入侵检测系统(IDS)和入侵防护系统(IPS),这是非常错误的。防火墙的目的是阻断指定端口的访问 。单纯防火墙没有办法探测针对某特定端口的访问是合法的,还是入侵尝试。[/align]
[align=left]例如,如果允许访问端口80,那么外部网络就可以访问你的Web服务器,而攻击者也可以使用这一端口攻击服务器。IDS可以参考已知攻击类型数据库信 息,通过比较流量特征对Web服务器访问进行区分,判断是对Web服务器端口的合法访问,还是尝试性攻击行为。[/align]
[align=left]如果考虑添加IDS/IPS,挑选正确的方案是一件重要的工作。市场上有很多IDS/IPS的解决方案,从简单免费的到复杂收费的。如果你认为自己的网络和业 务能在今后几年会增长,那么你应当选择具有扩展性的产品。现在就来看看影响到IDS/IPS解决方案扩展性的因素。[/align]
[align=left]IDS还是IPS
首先,你需要判断,你需要的是入侵防护系统(IPS)还是入侵检测系统(IDS)?有什么区别么?IDS顾名思义是探测入侵的发生并向你发送警报的。剩下要做什么随便你了。而IPS被配置为对入侵作出反应而无需干预。例如,如果它发现了可疑的入侵行为,它会自动地关闭端口,或者阻断来自嫌疑IP地址的后续流量。[/align]
[align=left]IPS提供了快速的反应,因此系统不大有可能遭受入侵的影响。另一方面,它也可能发出“假警报”,结果干扰了正常的网络流量。[/align]
[align=left]开源还是商用
一旦决定部署,你需要考虑采用开放源代码的免费IDS/IPS还是购买商业解决方案。前者的最大好处是省钱。如果业务不大,预算有限,你可能无法负担最好的商业IDS/IPS产品。这时,最经济的解决方案就是使用免费的解决方案,然后待业务和收入都增长后再迁移到商业产品上。[/align]
[align=left]最为流行的开放源代码IDS/IPS选择就是Sourcefire的Snort。该项产品获得了广泛的开发社区支持。它可以提供实时的流量分析以及日志功能,能够探测多种不同类型的攻击,包括秘密端口扫描、CGI攻击、OS指纹以及SMB探测和其他攻击。你可以使用插件对这些探测功能进行扩充。该软件的代码还被用到了一些商业IDS产品中。Snort最初是针对UNIX/Linux平台的,现在也可以用于Windows上。[/align]
[align=left]尽管它具备IDS/IPS的全部功能,Snort通常还是被认为是一种“轻量级”的IDS/IPS。当你已经决定迁移到更为成熟稳定的解决方案时,有很多商业产品可以 选择。最下面的就是一些流行的商业产品:[/align]
[align=left]
Internet Security Systems (ISS) RealSecure Network[/align]
[align=left]NFR Sentivist IDS and IPS appliances[/align]
[align=left]McAfee's Entercept[/align]
[align=left]GFI LANGuard S.E.L.M.[/align]
[align=left]Cisco Secure IDS appliance
在购买之前,你或许会问到一些关于可扩展性的问题:[/align]
[align=left]
产品的可扩展性如何?当网络扩展时,可以添加管理、报表等等模块么?[/align]
[align=left]对那些基于网络的IDS/IPS来说,限制了被探测机器的数量么?[/align]
[align=left]如果网络增添了计算机,你是否需要购买额外的许可证?[/align]
[align=left]方案兼容交换局域网么?
基于主机还是网络
IDS/IPS解决方案通常被分为两类:基于主机(HIDS)以及基于网络(NIDS)。两类方案各有优劣。基于主机的系统安装在单机上,保护单机。它通常是 针对特定平台的,也就是说被设计在特定平台上运行。基于网络的产品则可以保护网络上运行不同操作系统的多台计算机。[/align]
[align=left]基于网络的IDS通常需要安装在具有网络接口的系统上,并且运行在混杂模式,可以捕获网络上那些并不产生于IDS安装机器,或者目的地也不是IDS安装 机器的数据包。[/align]
[align=left]基于主机的IDS(或者代理软件)必须安装在你需要保护的每一台计算机上。基于主机的解决方案在探测本地网络产生的攻击(内部攻击)方面要略胜一 筹,两种类型的IDS在探测外部网络方面都表现很好。[/align]
[align=left]Tripwire运行在Linux上,这是一种流行的基于主机的IDS软件,Red Hat Linux软件包包括了该软件。前面提到的Snort,是网络IDS。[/align]
[align=left]要把基于网络和基于主机的IDS产品集成到一起,将其作为多层入侵检测预防系统是有可能的,也是众望所归的。[/align]
[align=left]作为可扩展IDS方案的一部分,你或许希望先行一步,然后再完善方案。如果预算是一个大问题,你或许可以首先部署基于网络的IDS,然后等手上宽裕了再添加基于主机的IDS。如果安全是你企业优先考虑的问题,你或许应该先安装基于主机的IDS,因为在工作站或服务器阻断入侵更为有效。[/align]
[align=left]可管理的入侵检测系统
我们正听到越来越多关于可管理服务的讨论,因此现在有很多公司提供了可管理的入侵检测服务。ISS,除了RealSecure Network应用外,还提供了可管理 的IDS/IPS服务。[/align]
[align=left]可管理服务是一种极具可扩展性的方案,因为在业务发展后你不需要在硬件和软件上进行投资,绝大多数的服务商都能够很轻松的处理业务增长后带来 的额外负载。[/align]
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 入侵检测方案
- 可扩展、高可用、负载均衡网站架构设计方案
- 入侵检测产品
- Java Web中的入侵检测及简单实现
- Asp.Net大型项目实践-关键技术方案选择理由及思路
- 一个轻客户端,多语言支持,去中心化,自动负载,可扩展的实时数据写服务的实现方案讨论
- 如何在CentOS上配置基于主机的入侵检测系统?
- 入侵检测全景图
- 从多种解决方案中选择最优方案
- 七牛云储存视频播放器的选择方案
- 扩展RBAC用户角色权限设计方案
- 扩展RBAC用户角色权限设计方案
- 入侵检测系统的性能的辨别(3)
- 提供一种直观、可扩展的MasterPage方案
- 内网安全系列|对后渗透中的探测入侵内网Web系统行为的检测(一)
- 为什么用快慢指针检测链表是否有环的时候,快指针的步长选择的是2,而不是3,4,5?
- 表扩展方案
- opencv 自带人脸检测模型haarcascade_fromtalface选择对比
- JAVA开源选择方案
- 一次入侵检测经过