网络安全-04

IDS与IPS讲解及安全的网络架构涉及

IDS

• 入侵检测系统（intrusion detection system简称IDS），是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。
• IDS的作用和功能：防火墙的重要补充，构建网络安全防御体系的重要环节，客服了传统防御的机制；功能是检测并分析用户和系统的活动，检查系统配置和漏洞，对操作系统进行日志管理，并识别违反安全策略的用户活动，针对已经发现的攻击行为，做出适当的反应，如警告，终止进程。
• 分类

按入侵检测形态：硬件入侵检测，软件入侵检测
按目标系统分类：网络入侵，主机入侵
按系统结构分类：集中式，分布式

• 入侵检测技术的架构：

IETF将一个入侵检测系统分为四个组件:
事件产生器:采集和监视被保护系统的数据
事件分析器：分析数据，发现为先、异常事件、通知响应单元
响应单元:对分析结果做出反应
时间数据库：存放各种中间和终端数据

• 工作过程图
  

• 数据检测技术——误用检测
  1、常用技术：基于简单规则的模式匹配技术，基于专家系统的检测技术，基于状态转换分析发的检测技术
  2、攻击特征提取：专家提取，自动提取方法（热点）
  3、优点：准确率高，算法简单
  4、关键问题：有所有的攻击特征，建立完备的特征库，特征库要不断更新，无法检测新的入侵。

• 数据检测技术——异常检测
  1、常用技术：统计方法，预测模式，神经网络
  2、优点：可检测未知攻击，自适应自学习能力
  3、缺点：误报率高，漏报率高

• 入侵检测技术的种类：

基于网络的入侵检测系统（NIDS）:IDS 可以放在防火墙或网关的后面，以网络嗅探器的形式捕获所在的对内对外的数据包
基于主机的入侵检测系统（HIDS）：安全操作系统必须具备一定的审计功能，并记录相应的安全性日志，1、基于内核：从操作系统的内核接收数据2、基于应用：从正在运行的应用程序中收集数据
分布式入侵检测系统(DIDS)

• 入侵检测系统的局限性：
  1、对用户的知识要求高，配置，操作和管理是使用较为复杂
  2、网络技术迅速发展，对入侵检测系统的处理性能要求越来越高，现有技术难以满足实际需要
  3、高虚警率，用户处理的负担重
  4、由于警告信息记录的不完整，许多警告信息可能无法与入侵行为相关联，难以得到的有用的结果
  5、在应对对自身的攻击时对其他数据的检测也可能会被抑制或受到影响

• 安全隔离与信息交换系统（网闸）
  1、组成：外部处理单元，内部处理单元，仲裁处理单元
  2、特点：断开内外网之间的额回话（物理隔离，协议隔离）同时集合了其他安全防护技术。

• 统一威胁管理系统（UTM）（firewall+ids+IPs）也叫胖防火墙
  1、接入方式：串行
  2、工作机制：检测+阻断+病毒防护+流控
  3、不足：单点故障，性能瓶颈，误报

入侵防御系统（IPS）

• 接入方式：串行
• 工作机制：检测加阻断
• 不足：单点故障，性能瓶颈，误报

IDS和IPS

• IDS：旁路监听，只起到detection作用机制，侧重低漏效率，造成误报率较高，对使用者技术要求水平较高，应急响应及时。
• IPS：内联模式，实时处置数据包，侧重低误报率，高效处理性能，即插即用，无需使用者参与

安全的网络架构涉及

• 合理划分网络安全区域，规划网络IP地址，VLAN设计，安全配置路由交换设备，网络边界访问 控制策略，网络冗余配置，负载切换。
  1、安全域划分：是遵守相同安全策略的用户和系统的集合
  目的是：将大规模负责系统安全问题化解为更小区域的安全保护问题，网络抗渗透的有效保护方式，安全栈边界是灾难发生时的抑制点
  划分方法：业务和功能特性，安全性要求，现有状况，网络地址（地域，机房）
  2、IP地址划分：自顶向下的方法，为所设计的网络节约节点，网络设备划分给合适的IP地址，综合考虑网络层次规划，路由协议规划，流量规划。
  IP地址分配：静态IP地址分配，动态IP地址分配，NAT
  3、VLAN设计：将网内设备的逻辑地址划分成一个个网段，从而实现虚拟工作组，通过VLAN隔离技术，可以把一个网络系统中的众多网络设分成若干个虚拟工作组。
  安全作用：建立VLAN之间的访问机制，阻止蠕虫和恶意病毒的广泛传播，建立VLAN之间的安全和资源保护，将受限制的应用程序和资源置于更为安全的VLAN中
  VLAN的作用：控制广播风暴，提高网络安全性，简化网络管理
  设计要点：根据业务需要划分虚拟工作组，保护重要资源，建立VLAN之间的访问机制
  VLAN划分：基于端口划分VLAN，基于Mac地址划分VLAN，基于网络层划分VLAN，根据IP组控划分VLAN
  4、路由交换设备的安全配置：设备操作系统版本，关闭空闲的物理端口，访问控制，日志保护，配置备份
  5、网络边界访问控制：具有不同安全级别的网络之间的分界线，都可以定义为网络边界
  网络边界的范例：内部网络与互联网之间，内部网络与外部网络之间，重要部门与其他部门之间，组织机构总部与分支机构之间。
  6、网络冗余配置：作用：防止单点故障，可以提高网络之间的健全性及稳定性
  考虑因素：接入互联网时，同时采用不同电信运营商网络，相互备份，且相互不影响；核心层，汇聚层和接入层的设备均应双机热备；保证网络带宽和网络设备的业务处理能力，具备冗余空间，满足业务高峰期和业务发展需要。