- 什么是IDS?
入侵检测系统,是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。
- IDS和防火墙有什么不同?
1、防火墙是针对黑客攻击的一种被动的防御,旨在保护;
IDS则是主动出击寻找潜在的攻击者,发现入侵行为。
3、防火墙是设置在**保护网络(本地网络)和外部网络(主要是Internet)**之间的一道防御系统。
3、防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,
IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补;
4、防火墙可以允许内部的一些主机被外部访问,IDS则没有这些功能,只是监视和分析用户和系统活动。
3. IDS工作原理?
1、IDS分为实时入侵检测和事后入侵检测:
实时入侵检测:在网络连接过程中进行,发现入侵迹象立即断开当前连接,并收集证据和实施数据恢复。
事后入侵检测:由安全人员进行检测。
2、入侵检测分类:
基于网络:通过连接在网络的站点捕获数据包,分析是否具有已知攻击模式。
基于主机:通过分析系统审计数据来发现可疑活动,比如内存和文件的变化;输入数据只要来源于系统日志。
3、入侵检测技术途径:
信息收集:系统日志、目录以及文件的异常改变、程序执行中的异常行为、物理形式的入侵信息。
数据分析
- IDS的主要检测方法有哪些详细说明?
主要检测方法有两种
- 异常检测 首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵
- 误用检测 收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与苦衷的记录想匹配时,系统就认为这种行为是入侵,误用检测模型 预备认为特征检测
- IDS的部署方式有哪些?
旁路部署 需要早部署旁挂设备商使用端口镜像功能,把需要采集的端口
流量镜像到IDS旁挂口,也可以使用集线器,分光器实现流量复制
- IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS的签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。
签名过滤器作用:
由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。
签名过滤器的动作分为:
首先如图搭建拓扑结构
配置防火墙G0/0/0 接口的IP地址
配置防火墙的接口IP地址 和划分区域
防火墙上面做策略
配置服务器和 客户端的IP地址
用客户端测试一下
Ping成功
启动服务端的http服务
客户端正常可以访问
这是用客户端使用sql注入的话 就会被防火墙拦