IDS-IPS入侵防御原理与实践
首先要注意,IDS 和 IPS 是两款产品。
概述
IDS,intrusion detection system,入侵检测系统;
IPS,intrusion prevention system,入侵防御系统;
网络安全系统中用于防御或者检测黑客攻击的产品。防火墙更多是在做隔离,且在应用层面隔离效果一般,例如部署防火墙可以做到控制某台设备是否可以访问百度,而至于能否控制其访问百度某个页面的某个模块,就需要入侵检测和防御产品。
IDS-IPS 厂商:
绿盟科技
天融信
启明星辰
原理
防火墙部署时,默认高级别区域可以访问低级别区域,但是当高级别区域发送的数据包中包含木马病毒时,防火墙是无法检测出来的。入侵检测产品虽然和防火墙都会将数据包分解成七层,但是入侵检测产品会将数据包的特征与病毒特征库进行比较,当有木马病毒经过时会进行拦截,可以做到更深层次的防护。但是不能理解为入侵防御产品一定是防火墙的升级版,只是定位不同,防火墙定位访问控制,入侵检测定位解决黑客攻击,一般在网络拓扑中会同时部署。
原本内网路由器连接到防火墙的基础上,出口再连接一个入侵防御检测产品后接入互联网。这样做可以在数据流传播时先进行防御,将带病毒的数据包先行处理掉。
IDS/IPS 的部署方式:
在线式部署:inline,在流量的中间进行防御,响应速度快,但可能会引发链路故障。
旁路式部署:bypass,不会影响接收发送端