IDS和IPS雖然一個字母只差,但是部署方式以及其功能有明顯的區別。首先我們從部署方式上講起。
IDS網路拓撲部署
一、IDS入侵檢測(旁路部署)
專業上講IDS是依照一定的安全策略,對網路、系統的運行狀況進行監視,儘可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。打個比喻——假如防火牆是一幢大廈的門鎖,那麼IDS就是這幢大廈里的監視系統。一旦小偷進入了大廈,或內部人員有越界行為,只有實時監視系統才能發現情況並發出警告。與防火牆不同的是,IDS入侵檢測系統是一個旁路監聽設備,沒有也不需要跨接在任何鏈路上,無須網路流量流經它便可以工作。因此,對IDS的部署的唯一要求是:IDS應當掛接在所有所關注的流量都必須流經的鏈路上。在這裡,「所關注流量」指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。IDS在交換式網路中的位置一般選擇為:儘可能靠近攻擊源、儘可能靠近受保護資源。當然IDS也可以和防火牆進行聯動的來阻攔入侵的行為。
IDS的原理
這些位置通常是:
1、伺服器區域的交換機上;
2、Internet接入路由器之後的第一台交換機上;
3、重點保護網段的區域網交換機上
IPS的網路拓撲部署
二、IPS入侵防禦(串列部署)
IPS系統是電腦網路安全設施,是對防病毒軟體和防火牆的補充。 IPS系統是一部能夠監視網路或網路設備的網路資料傳輸行為的計算機網路安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網路資料傳輸行為。對於部署在數據轉發路徑上的IPS,可以根據預先設定的安全策略,對流經的每個報文進行深度檢測(協議分析跟蹤、特徵匹配、流量統計分析、事件關聯分析等),如果一旦發現隱藏於其中網路攻擊,可以根據該攻擊的威脅級別立即採取抵禦措施,這些措施包括(按照處理力度):向管理中心告警;丟棄該報文;切斷此次應用會話;切斷此次TCP連接。
辦公網中,需要在以下區域部署IPS:
1、辦公網與外部網路的連接部位(入口/出口);
2、重要伺服器集群前端;
3、辦公網內部接入層。
4、至於其它區域,可以根據實際情況與重要程度,酌情部署。
IPS與IDS的區別?
A、IPS對於初始者來說,是位於防火牆和網路的設備之間的設備。這樣,如果檢測到攻擊,IPS會在這種攻擊擴散到網路的其它地方之前阻止這個惡意的通信。而IDS只是存在於你的網路之外起到報警的作用,而不是在你的網路前面起到防禦的作用。
B、IPS具有檢測已知和未知攻擊並具有成功防止攻擊的能力而IDS沒有
C、IDS的局限性是不能反擊網路攻擊,因為IDS感測器基於數據包嗅探技術,只能眼睜睜地看著網路信息流過。IPS可執行IDS相同的分析,因為他們可以插入網內,裝在網路組件之間,而且他們可以阻止惡意活動
如何選擇入侵檢測產品,什麼時候該選擇入侵防禦產品呢?
從產品價值角度講:入侵檢測系統注重的是網路安全狀況的監管。入侵防禦系統關注的是對入侵行為的控制。與防火牆類產品、入侵檢測產品可以實施的安全策略不同,入侵防禦系統可以實施深層防禦安全策略,即可以在應用層檢測出攻擊並予以阻斷,這是防火牆所做不到的,當然也是入侵檢測產品所做不到的。從產品應用角度來講:為了達到可以全面檢測網路安全狀況的目的,入侵檢測系統需要部署在網路內部的中心點,需要能夠觀察到所有網路數據。如果信息系統中包含了多個邏輯隔離的子網,則需要在整個信息系統中實施分布部署,即每子網部署一個入侵檢測分析引擎,並統一進行引擎的策略管理以及事件分析,以達到掌控整個信息系統安全狀況的目的。而為了實現對外部攻擊的防禦,IPS系統需要部署在網路的邊界。這樣所有來自外部的數據必須串列通過入侵防禦系統,IPS系統即可實時分析網路數據,發現攻擊行為立即予以阻斷,保證來自外部的攻擊數據不能通過網路邊界進入網路。IDS系統的核心價值在於通過對全網信息的分析,了解信息系統的安全狀況,進而指導信息系統安全建設目標以及安全策略的確立和調整,而入侵防禦系統的核心價值在於安全策略的實施—對黑客行為的阻擊;IDS系統需要部署在網路內部,監控範圍可以覆蓋整個子網,包括來自外部的數據以及內部終端之間傳輸的數據,入侵防禦系統則必須部署在網路邊界,抵禦來自外部的入侵,對內部攻擊行為無能為力。
原創文章,作者:投稿專員,如若轉載,請註明出處:https://www.506064.com/zh-tw/n/223271.html
微信掃一掃 
支付寶掃一掃 