上一篇
下一篇
NIDS几处位置的不同作用
作者:Richard 日期:2010-05-19
当实际使用IDS 时,首先面临的问题是:决定在系统的什么位置部署检测和分析入侵行为用的嗅探器或检测引擎。在如下图所示的典型网络拓扑结构中,给出了NIDS 检测引擎的6 处部署位置,请分别简要回答检测引擎部署于这6 处的作用。
——置于三级网、四级网防火墙前以检测企图对公司局域网的攻击;
——置于防火墙之后以检测成功地穿越防火墙的攻击和来自局域网内部的攻击;
——置于核心交换机上以来检测局域网内的攻击行为。
检测入侵的技术是从事件中检测出通常表示恶意或可疑企图的攻击特征。根据事件来源的不同,入侵检测系统可以被分成两类:
一类是基于主机的入侵检测系统(HIDS)。入侵检测系统通过分析审计日志纪录中检测攻击特征,称其为基于主机。审计日志是主机系统的一项安全设施,能够对主机资源的使用事件:哪个用户、使用何种资源、如何使用以及使用的时间等问题提供完备记录,以备非法事件发生后能够有效的追查。
另一类是基于网络的入侵检测系统(NIDS)。入侵检测系统从网络流量中检测这些特征时,我们称其为基于网络;基于网络入侵检测系统(NIDS)具有实时性、隐蔽性、与操作系统无关性等优于HIDS的特点。同时由于NIDS既检测包头,也检测包的载荷,因此它可以检测到HIDS可能会遗漏的攻击。而且NIDS安全探测器可置于防火墙外来检测企图对它保护的资源进行攻击的恶意流量(由于防火墙可以拒绝一些入侵企图,因而它们可能无法到达主机系统,但是获得关于这些攻击的类型和频率方面的信息仍然是至关重要的)。位于防火墙内部的安全探测器也可以作为审查防火墙配置的安全工具。
引入基于网络入侵检测系统(NIDS),以实时监控网络流量,保障数据安全。可以确保网络的安全性、合规性。
位置1应该是处于 ——置于三级网、四级网防火墙前以检测企图对公司局域网的攻击;
位置2、3 ——置于防火墙之后以检测成功地穿越防火墙的攻击和来自局域网内部的攻击;只是一个是检测服务器一个是检测各部门核心交换层。
位置4、5、6 ——置于核心交换机与各部门交换层之间以来检测局域网内的攻击行为。
若有勘误之处欢迎邮件交流:webmaster@hao3w.com
——置于三级网、四级网防火墙前以检测企图对公司局域网的攻击;
——置于防火墙之后以检测成功地穿越防火墙的攻击和来自局域网内部的攻击;
——置于核心交换机上以来检测局域网内的攻击行为。
检测入侵的技术是从事件中检测出通常表示恶意或可疑企图的攻击特征。根据事件来源的不同,入侵检测系统可以被分成两类:
一类是基于主机的入侵检测系统(HIDS)。入侵检测系统通过分析审计日志纪录中检测攻击特征,称其为基于主机。审计日志是主机系统的一项安全设施,能够对主机资源的使用事件:哪个用户、使用何种资源、如何使用以及使用的时间等问题提供完备记录,以备非法事件发生后能够有效的追查。
另一类是基于网络的入侵检测系统(NIDS)。入侵检测系统从网络流量中检测这些特征时,我们称其为基于网络;基于网络入侵检测系统(NIDS)具有实时性、隐蔽性、与操作系统无关性等优于HIDS的特点。同时由于NIDS既检测包头,也检测包的载荷,因此它可以检测到HIDS可能会遗漏的攻击。而且NIDS安全探测器可置于防火墙外来检测企图对它保护的资源进行攻击的恶意流量(由于防火墙可以拒绝一些入侵企图,因而它们可能无法到达主机系统,但是获得关于这些攻击的类型和频率方面的信息仍然是至关重要的)。位于防火墙内部的安全探测器也可以作为审查防火墙配置的安全工具。
引入基于网络入侵检测系统(NIDS),以实时监控网络流量,保障数据安全。可以确保网络的安全性、合规性。
位置1应该是处于 ——置于三级网、四级网防火墙前以检测企图对公司局域网的攻击;
位置2、3 ——置于防火墙之后以检测成功地穿越防火墙的攻击和来自局域网内部的攻击;只是一个是检测服务器一个是检测各部门核心交换层。
位置4、5、6 ——置于核心交换机与各部门交换层之间以来检测局域网内的攻击行为。
若有勘误之处欢迎邮件交流:webmaster@hao3w.com
文章来自: 
引用通告: 
Tags: 评论: 0 | 引用: 0 | 查看次数: -
发表评论