1. 入侵檢測系統(IDS)
IDS是英文“Intrusion Detection Systems”的縮寫,中文意思是“入侵檢測系統”。專業上講就是依照一定的安全策略,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。
我們做一個比喻——假如防火牆是一幢大廈的門鎖,那么IDS就是這幢大廈里的監視系統。一旦小偷進入了大廈,或內部人員有越界行為,只有實時監視系統才能發現情況並發出警告。
與防火牆不同的是,IDS入侵檢測系統是一個旁路監聽設備,沒有也不需要跨接在任何鏈路上,無須網絡流量流經它便可以工作。因此,對IDS的部署的唯一要求是:IDS應當掛接在所有所關注的流量都必須流經的鏈路上。在這里,“所關注流量”指的是來自高危網絡區域的訪問流量和需要進行統計、監視的網絡報文。
IDS在交換式網絡中的位置一般選擇為:盡可能靠近攻擊源、盡可能靠近受保護資源。
這些位置通常是:
服務器區域的交換機上;
Internet接入路由器之后的第一台交換機上;
重點保護網段的局域網交換機上。
2. 入侵防御系統(IPS)
IPS是英文“Intrusion Prevention System”的縮寫,中文意思是入侵防御系統。
隨着網絡攻擊技術的不斷提高和網絡安全漏洞的不斷發現,傳統防火牆技術加傳統IDS的技術,已經無法應對一些安全威脅。在這種情況下,IPS技術應運而生,IPS技術可以深度感知並檢測流經的數據流量,對惡意報文進行丟棄以阻斷攻擊,對濫用報文進行限流以保護網絡帶寬資源。
對於部署在數據轉發路徑上的IPS,可以根據預先設定的安全策略,對流經的每個報文進行深度檢測(協議分析跟蹤、特征匹配、流量統計分析、事件關聯分析等),如果一旦發現隱藏於其中網絡攻擊,可以根據該攻擊的威脅級別立即采取抵御措施,這些措施包括(按照處理力度):向管理中心告警;丟棄該報文;切斷此次應用會話;切斷此次TCP連接。
進行了以上分析以后,我們可以得出結論,辦公網中,至少需要在以下區域部署IPS,即辦公網與外部網絡的連接部位(入口/出口);重要服務器集群前端;辦公網內部接入層。至於其它區域,可以根據實際情況與重要程度,酌情部署。
3. IPS與IDS的區別、選擇
IPS對於初始者來說,是位於防火牆和網絡的設備之間的設備。這樣,如果檢測到攻擊,IPS會在這種攻擊擴散到網絡的其它地方之前阻止這個惡意的通信。而IDS只是存在於你的網絡之外起到報警的作用,而不是在你的網絡前面起到防御的作用。
IPS檢測攻擊的方法也與IDS不同。一般來說,IPS系統都依靠對數據包的檢測。IPS將檢查入網的數據包,確定這種數據包的真正用途,然后決定是否允許這種數據包進入你的網絡。
目前無論是從業於信息安全行業的專業人士還是普通用戶,都認為入侵檢測系統和入侵防御系統是兩類產品,並不存在入侵防御系統要替代入侵檢測系統的可能。但由於入侵防御產品的出現,給用戶帶來新的困惑:到底什么情況下該選擇入侵檢測產品,什么時候該選擇入侵防御產品呢?
從產品價值角度講:入侵檢測系統注重的是網絡安全狀況的監管。入侵防御系統關注的是對入侵行為的控制。與防火牆類產品、入侵檢測產品可以實施的安全策略不同,入侵防御系統可以實施深層防御安全策略,即可以在應用層檢測出攻擊並予以阻斷,這是防火牆所做不到的,當然也是入侵檢測產品所做不到的。
從產品應用角度來講:為了達到可以全面檢測網絡安全狀況的目的,入侵檢測系統需要部署在網絡內部的中心點,需要能夠觀察到所有網絡數據。如果信息系統中包含了多個邏輯隔離的子網,則需要在整個信息系統中實施分布部署,即每子網部署一個入侵檢測分析引擎,並統一進行引擎的策略管理以及事件分析,以達到掌控整個信息系統安全狀況的目的。
而為了實現對外部攻擊的防御,入侵防御系統需要部署在網絡的邊界。這樣所有來自外部的數據必須串行通過入侵防御系統,入侵防御系統即可實時分析網絡數據,發現攻擊行為立即予以阻斷,保證來自外部的攻擊數據不能通過網絡邊界進入網絡。
入侵檢測系統的核心價值在於通過對全網信息的分析,了解信息系統的安全狀況,進而指導信息系統安全建設目標以及安全策略的確立和調整,而入侵防御系統的核心價值在於安全策略的實施—對黑客行為的阻擊;入侵檢測系統需要部署在網絡內部,監控范圍可以覆蓋整個子網,包括來自外部的數據以及內部終端之間傳輸的數據,入侵防御系統則必須部署在網絡邊界,抵御來自外部的入侵,對內部攻擊行為無能為力。IPS可以理解為深度Firewall。