1. 什么是IDS?
IDS(入侵检测系统):入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。主要针对防火墙涉及不到的部分进行检测。
入侵检测主要面对的三类用户:
- 合法用户
- 伪装用户
- 秘密用户
2. IDS和防火墙有什么不同?
- 防火墙是针对黑客攻击的一种被动的防御,旨在保护;IDS则是主动出击寻找潜在的攻击者,发现入侵行为
- 防火墙是设置在保护网络(本地网络)和外部网络之间的一道防御系统
- 防火墙只是防御为主,通过防火墙的数据便不再进行任何操作,IDS则进行实时的检测,发现入侵行为即可做出反应,是对防火墙弱点的修补
- 防火墙可以允许内部的一些主机被外部访问,IDS则没有这些功能,只是监视和分析用户和系统活动
入侵检测的模型:
- 主体
- 对象
- 审计记录
- 活动档案
- 异常记录
- 活动规则
3. IDS工作原理?
入侵检测作用与原理:
- 识别入侵者
- 识别入侵行为
- 检测和监视已成功的入侵
- 为对抗入侵提供信息与依据,防止时态扩大
入侵检测的意义:
入侵检测是防火墙的一个有力补充,形成防御闭环,可以及时、准确、全面的发现入侵弥补防火墙对应用层检查的缺失
4. IDS的主要检测方法有哪些详细说明?
异常检测模型(Anomaly Detection)
- 首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。
误用检测模型(Misuse Detection)
收集非正常操作的行为特征,建立相关的特征库,当检测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵,误用检测模型也称为特征检测
5. IDS的部署方式有哪些?
- 共享模式和交换模式:从HUB上的任意一个接口,或者在交换机上做端口镜像的端口上收集信息。
- 隐蔽模式:在其他模式的基础上将探测器的探测口IP地址去除,使得IDS在对外界不可见的情况下正常工作
- Tap模式:以双向监听全双工以太网连接中的网络通信信息,能捕捉到网络中的所有流量,能记录完整的状态信息使得与防火墙联动或发送Reset包更加容易
- In-Iine模式:直接将IDS串接在通信线路中,位于交换机和路由器之间。这种模式可以将威胁通信包丢弃,以实时阻断网络攻击
- 混合模式:通过监听所有连接到防火墙的网段,全面了解网络状况。
6. IDS的签名是什么意思?签名过滤器有什么作用?例外签名配置作用是什么?
IDS的签名:入侵防御签名用来描述网络中存在的攻击行为的特征,通过将数据流和入侵防御签名进行比较来检测和防范攻击。如果某个数据流匹配了某个签名中的特征项时,设备会按照签名的动作来处理数据流。入侵防御签名分为预定义和自定义签名。
签名过滤器作用:由于设备升级签名库后会存在大量签名,而这些签名没有进行分类,且有些签名所包含的特征本网络中不存在,需要设置签名过滤器对其进行管理,并过滤掉。
签名过滤器的动作:
- 阻断:丢弃命中签名的报文,并记录日志
- 告警:对命中签名的报文放行,但记录日志。
- 采用签名的缺省动作,实际动作以签名的缺省动作为准
例外签名:
作用:由于签名过滤器会批量过滤出签名,且通常为了方便管理会设置为统一的动作。如果管理员需要将某些 签名设置为与过滤器不同的动作时,可将这些签名引入到例外签名中,并单独配置动作。
动作:
- 阻断:丢弃命中签名的报文并记录日志
- 告警:对命中签名的报文放行,但记录日志
- 放行:对命中签名的报文放行,且不记录日志。
相关实验:
实验拓扑:
具体过程:
1.配置路由
2.添加安全策略
3.在安全策略中修改入侵防御配置文件
基本配置完成确定提交即可