理解IPS和IDS

1.IPS和IDS是什么

IDS(入侵检测系统)(旁路监听)

Intrusion Detection System

依照一定的安全策略,对网络,系统的运行情况进行监视,尽可能的发现各种攻击企图,攻击行为或者攻击结果,以保证网络资源的机密性和可用性

假如防火墙是门锁,IDS就是监视系统。一旦小偷进来了,或者内部成员有越界行为,只有实时监视系统才能发现情况

IDS是一个旁路监听设备,没有也不需要跨接在任何链路上,无需网络流量流经便可以工作,因此,对IDS部署的唯一要求是:IDS应当挂接在所有所关注的流量都必须流经的链路上。在这里,“所关注流量”指的是来自高危网络区域的访问流量和需要进行统计,监视的网络报文。

IDS在交交换式网络中的位置一般选择为:尽可能的靠近攻击源,尽可能的靠近受保护源

这些位置通常是:

服务器区域的交换机上

Internet接入路由器的第一台交换机上

重点保护网段的交换机上

IPS(入侵防御系统)(串行部署)

Intrusion Prevention System

随着网络攻击技术的不断提高和网络安全漏洞的不断发现,传统防火墙加IPS无法应对一些安全威胁。在这种情况下IPS技术出现了

IPS技术可以深度感知并且检测流量数据,对恶意报文进行丢弃以阻断攻击,对滥用报文进行限流以保护网络带宽资源

对于部署在转发路径上的IPS,可以根据预先设定的安全策略,对流经的报文进行深测(协议分析跟踪,特征匹配,流量统计分析,事件关联分析等),如果一旦发现隐藏于其中的攻击,可以根据攻击采取抵御措施,这些措施包括(按照处理力度):向管理中心告警;丢弃该报文;切断此次会话;切断此次TCP连接。

办公网中,我们需要在以下区域部署IPS:

1.办公网与外部网络连接的部位

2.重要的集群服务器前端

3.办公网内部接入层

4.其他区域,酌情部署

2.两者区别:

1.IPS对于初学者来说,是位于防火墙和网络的设备之间的设备。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。

2.IPS检测攻击的方法也与IDS不同。一般来说,IPS系统都依靠对数据包的检测。IPS将检查入网的数据包,确定这种数据包的真正用途,然后决定是否允许这种数据包进入你的网络。

3.目前无论是从业于信息安全行业的专业人士还是普通用户,都认为入侵检测系统和入侵防御系统是两类产品,并不存在入侵防御系统要替代入侵检测系统的可能。但由于入侵防御产品的出现,给用户带来新的困惑:到底什么情况下该选择入侵检测产品,什么时候该选择入侵防御产品呢?

3.使用场景分析:

从产品价值角度讲:入侵检测系统注重的是网络安全状况的监管。入侵防御系统关注的是对入侵行为的控制。与防火墙类产品、入侵检测产品可以实施的安全策略不同,入侵防御系统可以实施深层防御安全策略,即可以在应用层检测出攻击并予以阻断,这是防火墙所做不到的,当然也是入侵检测产品所做不到的。

从产品应用角度来讲:为了达到可以全面检测网络安全状况的目的,入侵检测系统需要部署在网络内部的中心点,需要能够观察到所有网络数据。如果信息系统中包含了多个逻辑隔离的子网,则需要在整个信息系统中实施分布部署,即每子网部署一个入侵检测分析引擎,并统一进行引擎的策略管理以及事件分析,以达到掌控整个信息系统安全状况的目的。

而为了实现对外部攻击的防御,入侵防御系统需要部署在网络的边界。这样所有来自外部的数据必须串行通过入侵防御系统,入侵防御系统即可实时分析网络数据,发现攻击行为立即予以阻断,保证来自外部的攻击数据不能通过网络边界进入网络。

入侵检测系统的核心价值在于通过对全网信息的分析,了解信息系统的安全状况,进而指导信息系统安全建设目标以及安全策略的确立和调整,而入侵防御系统的核心价值在于安全策略的实施—对黑客行为的阻击;入侵检测系统需要部署在网络内部,监控范围可以覆盖整个子网,包括来自外部的数据以及内部终端之间传输的数据,入侵防御系统则必须部署在网络边界,抵御来自外部的入侵,对内部攻击行为无能为力。IPS可以理解为深度Firewall。

  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ARP欺骗、IP欺骗和DNS欺骗都是网络安全攻击中常见的欺骗手段。它们的原理和防范措施如下: 1. ARP欺骗 ARP欺骗是指黑客伪造地址解析协议(ARP)的信息,将受害者的IP地址映射到不正确的MAC地址上,从而使受害者无法访问网络。黑客可以通过ARP欺骗攻击窃取网络中的数据或者对网络进行拒绝服务攻击。 防范措施:可以通过静态ARP表、开启ARP检测、使用ARP防火墙等方式防范ARP欺骗攻击。另外,还可以使用网络入侵检测系统(IDS)和网络入侵防御系统(IPS)来监测和阻止ARP欺骗攻击。 2. IP欺骗 IP欺骗是指黑客冒充合法的IP地址,对网络进行攻击或者窃取数据的行为。黑客可以通过IP欺骗攻击,伪造合法的IP地址,进行欺骗和攻击。 防范措施:可以使用网络入侵检测系统(IDS)和网络入侵防御系统(IPS)来检测和阻止IP欺骗攻击。另外,也可以使用IP过滤、IP验证等技术来防范IP欺骗攻击。 3. DNS欺骗 DNS欺骗是指黑客通过欺骗DNS服务器,将域名解析到错误的IP地址上,从而使用户访问到错误的网站或者受到安全攻击。黑客可以利用DNS欺骗攻击窃取用户的账号密码、财务信息等重要信息。 防范措施:可以使用DNSSEC技术来防范DNS欺骗攻击。DNSSEC技术可以对DNS服务器的信息进行数字签名,确保DNS服务器的信息不被篡改。另外,也可以使用防火墙、入侵检测系统(IDS)和网络入侵防御系统(IPS)来监测和阻止DNS欺骗攻击。 综上所述,ARP欺骗、IP欺骗和DNS欺骗都是网络安全攻击中常见的欺骗手段。为了防范这些攻击,需要采取多种安全措施和技术来保障网络的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值