IDS/IPS
IDS/IPS
一、IDS
1、IDS
Intrusion Detection Systems == 入侵检测系统
定义:专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,并记录及报警,以保证网络系统资源的机密性、完整性和可用性 ,但不能实时的对入侵进行阻断。
2、IPS
Intrusion Prevention Systems == 入侵防御系统
定义:IPS系统检测流经的数据流量,阻断攻击,对攻击采取防御措施。防御措施包括:向管理中心告警;丢弃该报文;丢弃该会话;切断会话连接
二、IDS/IPS与防火墙的关系
防火墙:关心的是区域隔离,要说防火墙有检测入侵行为的能力,那也仅限于DDOS攻击之类!
IPS:关心的是数据本身是否又入侵行为!
三、IDS与IPS的区别
四、IDS与IPS的部署
IPS:因为可以阻断攻击阻断入侵,所以部署方式为串联模式
IDS:因为IDS不能阻断攻击,一般部署方式为旁路模式(并行),然后设置交换机某个端口的镜像到IDS的端口,就可以得到数据进行入侵检测了。
五、IDS体系架构
1、控制中心:一般不是设备,是PC。
2、引擎:才是IDS设备本身,流量数据收集,入侵行为检测分析,分析结果交给控制中心。
六、IPS体系架构
包含了引擎+控制中心,一般可以直接插入电话卡、音响、显示器。
七、IPS的常用功能
- 入侵防御-弱口令
- 入侵防御-防暴力破解
- 入侵防御-SQL注入
- 入侵防御-XSS注入
- 入侵防御-防病毒
- 入侵防御-恶意样本检测
- 入侵防御-服务器自学习防护
- 上网行为管理
- 应用过滤-WEB过滤
- 应用过滤-邮件过滤
- 应用过滤-敏感信息防护
- WEB恶意扫描防护
- HA/链路聚合等
八、IDS与IPS的两个重要参数
误报:检测系统在检测时,将系统的正常行为判为入侵行为的错误,被称为误报。检测系统在检测过程中,出现误报的概率称为系统的误报率。
漏报:检测系统在检测时,没有能够正确的识别某些入侵行为,因而没有报警现象称为漏报。检测系统在检测过程中出现漏报的概率称为系统漏报率。
九、IPS的部署流程
步骤参考各个厂家的手册!